Prihlásiť sa Odoslať Novinky :: FAQ :: Rozšírené vyhľadávanie :: Napísali o nás :: Ankety
Main Menu
· Home
· 
· FAQ
· 
· Diskusia
· 











Main Menu
· Domov

Moduly
· AvantGo
· Downloads
· FAQ
· News
· Recommend Us
· Reviews
· Search
· Sections
· Stats
· Topics
· Top List
· Web Links
· Forum

Jazyk
Výber jazykovej mutácie:



The time now is 28.03.2024 - 19:03


AirOS 5.5 final je von....

Post new topic Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
Page 2 of 4 < 1234 >
Author Message
pedro4444
Post subject: RE: AirOS 5.5 final je von....  PostPosted: 12.04.2012 - 18:12 #98099
Ucen


Joined: Júl 15, 2011
Posts: 769

preco hlupost? ja pouzivam ku koncovemu zakaznikovi pokila chce priamo do pc tak nat a zatial ziadny problem...
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
JOFO
Post subject: RE: AirOS 5.5 final je von....  PostPosted: 12.04.2012 - 18:15 #98100
Majster


Joined: Jan 08, 2006
Posts: 2583

chcelo by to skor nejaky jednoduchy nacrt topologie resp tejto situacie, aby som tomu uplne porozumel, cez co vsetko to ma ist... Smile
ak som to spravne pochopil tak mas na mysli nieco taketo:
Code: › NSLM5 <-- wlan --> RM5 <-- lan0 -- ether1 --> RB3 <-- ether2 -- ether1 --> RB2 <-- wlan1 -- wlan1 --> RB1 <-- ether1 --> verejne ipcky
RM5 je v mode AP-Bridge, RB1 s RB2 su v mode AP-Bridge

Takze pekne po poriadku:
1. Na RB1 vytvoris nad wlan1 VLAN Iface s VLAN Id 32 s nazvom pub1
2. Na RB1 vytvoris bridge iface napr PUB_IP do ktoreho das pub1 a ether1
3. Na RB2 vytvoris nad wlan1 VLAN Iface s VLAN Id 32 s nazvom pub1
4. Na RB2 vytvoris nad ether1 VLAN iface s VLAN Id 32 s nazvom pub2
5. Na RB2 vytvoris bridge PUB_IP a don das pub1 a pub2
6. Na RB3 vytvoris nad ether2 VLAN iface s VLAN Id 32 s nazvom pub1
7. Na RB3 vytvoris nad ether1 VLAN iface s VLAN Id 32 s nazvom pub2
8. Na RB3 vytvoris bridge PUB_IP do ktoreho das opat pub1 a pub2
9. Ak mas RM5 v bridge mode, nepotrebujes nic riesit. Ak ho mas v router mode, vytvoris na WLAN aj LAN0 VLAN s Id 32. Pridas novy bridge a das don wlan.32 aj lan0.32
10. Na NSLM5 vytvoris VLAN wlan.32 a ako WAN Interface nastavis wlan.32
Pripadne ak nenatujes, tak spravis brodge s lan0 a wlan.32

Takto by si mal zabezpecit ze klient sa bude tvarit, akoby bol pripojeny priamo k RB1 na uplink...
Snad som sa nikde nepomylil Smile


Last edited by JOFO on 12.04.2012 - 18:21; edited 1 time in total
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
midnight_man
Post subject: RE: AirOS 5.5 final je von....  PostPosted: 12.04.2012 - 18:15 #98101
Majster


Joined: Feb 14, 2011
Posts: 2544

verejky do PC? Very Happy si normalny?
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
marsl
Post subject: RE: AirOS 5.5 final je von....  PostPosted: 12.04.2012 - 18:15 #98102
Basic


Joined: Dec 08, 2006
Posts: 401

pedro4444 wrote: ›preco hlupost? ja pouzivam ku koncovemu zakaznikovi pokila chce priamo do pc tak nat a zatial ziadny problem...


Problem to nie je aspom som stym problem nemal ked som to pouzival. Ale je kopa ludi ktora chce verejnu IP a ked im povies ze IP 10.10.100.158 je v skutocnosti x.x.x.x verejna Ip tak pozera na teba ci si normalny, ze preco to robis tak ked inde to robia inak atd...
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
marsl
Post subject: RE: AirOS 5.5 final je von....  PostPosted: 12.04.2012 - 18:21 #98103
Basic


Joined: Dec 08, 2006
Posts: 401

JOFO wrote: ›chcelo by to skor nejaky jednoduchy nacrt topologie resp tejto situacie, aby som tomu uplne porozumel, cez co vsetko to ma ist... Smile
ak som to spravne pochopil tak mas na mysli nieco taketo:
Code: › NSLM5 <-- wlan --> RM5 <-- lan0 -- ether1 --> RB3 <-- ether2 -- ether1 --> RB2 <-- wlan1 -- wlan1 --> RB1 <-- ether1 --> verejne ipcky
RM5 je v mode AP-Bridge, RB1 s RB2 su v mode AP-Bridge

Takze pekne po poriadku:
1. Na RB1 vytvoris nad wlan1 VLAN Iface s VLAN Id 32 s nazvom pub1
2. Na RB1 vytvoris bridge iface napr PUB_IP do ktoreho das pub1 a ether1
3. Na RB2 vytvoris nad wlan1 VLAN Iface s VLAN Id 32 s nazvom pub1
4. Na RB2 vytvoris nad ether1 VLAN iface s VLAN Id 32 s nazvom pub2
5. Na RB2 vytvoris bridge PUB_IP a don das pub1 a pub2
6. Na RB3 vytvoris nad ether2 VLAN iface s VLAN Id 32 s nazvom pub1
7. Na RB3 vytvoris nad ether1 VLAN iface s VLAN Id 32 s nazvom pub2
8. Na RB3 vytvoris bridge PUB_IP do ktoreho das opat pub1 a pub2
9. Ak mas RM5 v bridge mode, nepotrebujes nic riesit. Ak ho mas v router mode, vytvoris na WLAN aj LAN0 VLAN s Id 32. Pridas novy bridge a das don wlan.32 aj lan0.32
10. Na NSLM5 vytvoris VLAN wlan.32 a ako WAN Interface nastavis wlan.32

Takto by si mal zabezpecit ze klient sa bude tvarit, akoby bol pripojeny priamo k RB1 na uplink...
Snad som sa nikde nepomylil Smile


Je mi to jasne. Ako to com som pisal ani nemam v skutocnosti len som to chcel kus skomplikovat Smile Ale myslim si ze som to pochopil... Wink
Dakujem sa vysvetlenie.

Len este uvazujem ako pod linuxom na hlavnej brane dam vlanu na eth1 a eth2. Eth0 je uz uplink do netu... Aby som mohol vlany pouzivat v celej sieti kedze jedna cas siete s druhou sa stretavaju na brane...
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
JOFO
Post subject: RE: AirOS 5.5 final je von....  PostPosted: 12.04.2012 - 18:24 #98104
Majster


Joined: Jan 08, 2006
Posts: 2583

v linuxe je na vytvaranie vlan utilita vconfig
Code: › vconfig add iface vlanid

a bridge vytvaras cez brctl
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
marsl
Post subject: RE: AirOS 5.5 final je von....  PostPosted: 12.04.2012 - 18:27 #98105
Basic


Joined: Dec 08, 2006
Posts: 401

JOFO wrote: ›v linuxe je na vytvaranie vlan utilita vconfig
Code: › vconfig add iface vlanid

a bridge vytvaras cez brctl
,

Cize opat vytvorim cez vconfig pod eth1 a eth2 vlanu napr s id 32 a dam potom tieto vlany do bridgu?
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
JOFO
Post subject: RE: AirOS 5.5 final je von....  PostPosted: 12.04.2012 - 18:29 #98106
Majster


Joined: Jan 08, 2006
Posts: 2583

hej, presne tak
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
marsl
Post subject: RE: AirOS 5.5 final je von....  PostPosted: 12.04.2012 - 18:34 #98107
Basic


Joined: Dec 08, 2006
Posts: 401

JOFO wrote: ›hej, presne tak


No kedze tomu uz ako tak chapem skus este vysvetlit to co si pisal ze:

- Management VLAN --> radia konfigurujem na samostanej VLANe
- Zakaznicka VLAN --> data od zakaznikov

To znamena ze zakaznikov mas v jednej vlane a zariadenia zakaznikov napr. Loco M5 v inej.
Cize ak si da zakaznik tracert tak ide hned von? A nevidi co vsetko mas po sieti?
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
pedro4444
Post subject: RE: AirOS 5.5 final je von....  PostPosted: 12.04.2012 - 18:40 #98108
Ucen


Joined: Júl 15, 2011
Posts: 769

marsl wrote: ›
pedro4444 wrote: ›preco hlupost? ja pouzivam ku koncovemu zakaznikovi pokila chce priamo do pc tak nat a zatial ziadny problem...


Problem to nie je aspom som stym problem nemal ked som to pouzival. Ale je kopa ludi ktora chce verejnu IP a ked im povies ze IP 10.10.100.158 je v skutocnosti x.x.x.x verejna Ip tak pozera na teba ci si normalny, ze preco to robis tak ked inde to robia inak atd...



ja som sa s tymto este nestretol jednoducho zakaznik chcel verejnu on ma aj tak vzdy zapnute dhcp, nema sajnu aku ip ma pridelenu odomna a na to mu nanatujem verejnu, tu mu poviem a este som sa nestretol s niekym kto by taketo nieco hovoril, ked mu to ide v pohode preco by sa stazoval....
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
JOFO
Post subject: RE: AirOS 5.5 final je von....  PostPosted: 12.04.2012 - 19:25 #98109
Majster


Joined: Jan 08, 2006
Posts: 2583

marsl: to bol priklad pouzitia.. ja mam NATovanych zakaznikov routovanych cez viacere subnety (podla lokalit). Ale management VLAN je dobra prave pri nasadzovani verejnych IPciek, aby sa to nebilo s klientovimi sluzbami. Teda aby si mohol uzivatel spokojne spravit na svojej verejnej IPcke napr HTTP alebo SSH server.. Proste aby mal komplet vsetky porty volne a nezaberal ich manazment klientskeho radia...
VLANy sa daju pouzit podla lubovole...Smile
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
zelmar
Post subject: RE: AirOS 5.5 final je von....  PostPosted: 12.04.2012 - 20:15 #98110
Guru


Joined: Okt 23, 2005
Posts: 1031
Location: /etc/bin/ladin
marsl wrote: ›
JOFO wrote: ›hej, presne tak


No kedze tomu uz ako tak chapem skus este vysvetlit to co si pisal ze:

- Management VLAN --> radia konfigurujem na samostanej VLANe
- Zakaznicka VLAN --> data od zakaznikov

To znamena ze zakaznikov mas v jednej vlane a zariadenia zakaznikov napr. Loco M5 v inej.
Cize ak si da zakaznik tracert tak ide hned von? A nevidi co vsetko mas po sieti?


Vidim ze tu uz prepukla VLAN mania....

VLANy su skvela vec ako oddelit datove toky od seba (aj ed z pohladu devajsov sa ni nedeje lebo paket je stale taky isty len ma nejake bajtiky navyse.
VLANy su silna vec ale treba si uvedomit ze je to stale len L2 riesenie co so sebou prinasa problemy napr. velka broadcast domena, sledovat MAC address tabulky na davejsoch atd.
Rozdiel medzi routovanim a vlanovanim je ze routre si navzajom vidia iba MAC svojich iface+co je na nich, kdezdo pri vlan topologi kezdy clen tejto topologie vidi mac vsetkych ostatnych a ako to uz vo svete byva vzdy sa najde nieco co sa moze dodrbat.
Preto odporucanie routovat,routovat, routovat to je zlate pravidlo IP sveta a VLANnovat silne s rozumom,premyzlene, lebo to moze priniest viac problemov ako uzitku.
Ked uz tu riesite tie selijake MK a tracerouty tak tam urobi L2TP tunely niekam na centralny router(popr EoIP v podani MK) a zakaznik bude vidiet ze je na jeen skok v nete. Konfiguracia otazka par sekund az minut.
A na setrenie verejnych IP jednoznacne chlapci PPPoE+radius a jeden spolocny pool.
U nas je bezne ze zakaznik ked si pozrie aku ma verejnu IP tak mu vypise napr. 87.239.56.0 a druhemu 57.0 a podobne zhovadilosti.
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
pixall
Post subject: RE: AirOS 5.5 final je von....  PostPosted: 12.04.2012 - 20:41 #98111
Majster


Joined: Okt 21, 2003
Posts: 4247

pekne ste sa rozkecali... ja k tomu tolko ze

1) prekladat verejnu IP na vnutornu je zvrhlost pretoze to vyslovene vadi protokolom, ktore IPcku zahrnaju do datovej casti paketu. typicky priklad je FTP, IPSEC, SIP. samotny IPSEC sa odmietne cez natko spojit, poklada ho za porusenie bezpecnosti, lebo s paketom po ceste niekto nieco spravil (prelozil v nom adresu) a uz nie je doveryhodny. existuje na to v IPSECu NAT traversal ktory ten preklad odignoruje, ale uz to nie je taka zaryuka bezpecnosti, ako keby tam NATko nebolo a NAT traversal by nebol zapnuty. pri protokole FTP vedie NAT k nutnosti pouzivat passive mode - a ked ma server passive mode nahodou zakazany, tak FTP nejde pouzit cez NAT vobec. na SIPe je castym prejavom NAT ze telefonny hovor pocut iba v jednom smere, su na to rozne helpery (moduly do NAT ktore maju SIPu pomoct preliezt cez NAT)... otazka je ale, preco ma provider minat vykon svojich zariadeni na NATovanie, ked tym prinesie uzivatelovi mierne pokazenu sluzbu, a sebe naviac problemove situaci pri logovani toho, ktory ucastnik isel do netu pod ktorou IP adresou. NAT je korektny a zmysluplny na vnutrofiremnej sieti, ale na serioznu verejnu telekomunikacnu siet nepatri.

2) verejna IP na klientovom PCcku nie je problem (resp neverejnu IP nie je mozne chapat ako ochranu PC pred nastrahami internetu). windowsy obsahuju firewall uz davno, potom existuju dalsie personal firewally, a v este stale zostava moznost na strane providera filtrovat prichadzajuce spojenia na takyto pocitac....

3) setrit verejne IP sa da najlepsie cez PPPoE. na kazdeho prave prihlaseneho klienta je treba prave jednu verejnu IP adresu, ani o chlp viac. ziadne delenie na subnety, ziadne stratene IP na network, broadcast a router, ziadne nepouzite IPcky v subnetoch... ked mam 1000 klientov z toho maximalne 700 online, staci na to 700 IP adries. nezavisi pritom na akej velkej sieti su, pretoze este raz zdoraznim, PPPoE zerie jednu IP na klienta a netreba nechavat nic na subnet, mask, gateway, ani delit rozsah na mensie subnety (kde potom ostavaju nevyuzite IPky).

4) VLAN versus routovana siet... to co je popisane vyssie (ze sa na ethernet potre dvihne vlana a ta sa zbridzuje s inym portom alebo vlanou) je z nudze cnost ktora vyplyva z implementacie VLAN v linuxe, ale toto nie je to prave orechove. bezna implementacia VLAN v sietovych prvkoch je taka, ze bud zapnes na porte nejake VLANy, alebo naopak pridelis porty do nejakej VLANy, ale uz nic nebridgujes, to sa deje "samo". a nerobia sa VLANy (co je layer2 ficurka) nad routovanou sietou (co uz le layer3), ale naopak, nad fyzickou sietou sa robia VLANy (layer2), a medzi jednotlivymi VLANami sa potom robi routing (layer3).

upozornenie na zaver... vsetky tu spomenute veci (vlany, pppoe, zrusenie NATka) nocu byt na prvy pohlad vselijake, ale ked im clovek pride na chut, su velmi navykove.. kto ich raz skusil, nebude vediet prestat... Laughing
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
JOFO
Post subject: RE: AirOS 5.5 final je von....  PostPosted: 12.04.2012 - 21:16 #98112
Majster


Joined: Jan 08, 2006
Posts: 2583

svata pravda pixall Smile
je to velmi navykove Very Happy
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
ewew
Post subject: RE: AirOS 5.5 final je von....  PostPosted: 12.04.2012 - 21:21 #98113
Basic


Joined: Sep 02, 2009
Posts: 433

pixall wrote: ›pekne ste sa rozkecali... ja k tomu tolko ze

2) verejna IP na klientovom PCcku nie je problem (resp neverejnu IP nie je mozne chapat ako ochranu PC pred nastrahami internetu). windowsy obsahuju firewall uz davno, potom existuju dalsie personal firewally, a v este stale zostava moznost na strane providera filtrovat prichadzajuce spojenia na takyto pocitac....

S správne nastavením firewallom na klientskom PC nie je problém. Len s čo s systémom, ktorý nemá správne nastavený firewall alebo neaktualizovaný systém ?
Iste si počul o probléme s RDP. Iná vec je, že samba tiež posiela broadcasty do Internetu.

Môj názor je, že priama verejná IP je vhodná len pre dobre zabezpečený serve s verejnými službami.
 
 View user's profile Send private message  
Reply with quote Back to top
Display posts from previous:     
All times are GMT
Post new topic Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
Page 2 of 4 < 1234 >
Jump to:  

Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits

(C) SKFree 2002-2010: Powered by POSTNUKE. Môžete prebera? naše správy vo formáte XML(RSS)