שלום

לאחר שהבנתי מקריאה בפורום שהדרך האחת והיחידה לחיבור VPN נורמלי היא רק ע"י openvpn...

התקנתי והגדרתי את הסרבר והקליינט, והחיבור נוצר בהצלחה.

אני מעוניין לאפשר גישה לקליינט לכל הרשת המקומית, ולא רק למחשב הסרבר שאליו הוא התחבר.

הרשת המקומית היא ב 192.168.2.0

כתובת ההתקשרות 10.8.0.0

הוספתי ב config הסרבר את השורה:

קוד:

push "route 192.168.2.0 255.255.255.0" 

וכעת מחשב הקליינט אכן מחזיר פינג גם לכתובת מחשב הסרבר ברשת המקומית, היינו (במקרה שלי) 192.168.2.110, אך לא לשום כתובת אחרת ברשת המקומית.

אני מניח הגדרת הניתוב ש'נדחפת' לקליינט אכן נכונה, ומה שחסר זהו הגדרת הניתוב במחשב הסרבר.

בתודה

האם שרת ה VPN הוא ה default gateway של הרשת שלו? אם לא, תעבורה חוזרת לטווח הרשת של ה VPN (שבו הקליינט חבר...) - תלך ל default gateway ולא תגיע חזרה אל שרת ה VPN, וממילא לא אל הלקוח.

אם כך הדבר, יש שני פתרונות: או להפוך את שרת ה VPN ל default gateway של הרשת שלו, או, לחלופין, להוסיף בכל אחד מהמחשבים, route אל עבר תת הרשת שהקצת ללקוחות ה VPN, דרך ה IP הפנימי של שרת ה VPN.

אם זו לא הבעייה, בדוק שהפעלת בשרת IP Forwarding. אם גם זו לא הבעייה, תן בבקשה את כל הקונפיגים, קשה לי לנחש מה עשית.

נמאס לכם לזכור סיסמאות? לחצו כאן!

שרת ה VPN הוא לא ה DGW, הרשת מנוהלת ע"י ראוטר (EDIMAX), ואז הבעיה היא כפי שכתבת, ואני מניח שאין לי אפשרות להגדיר בראוטר הזה את ההפניות.

אני לא יכול להפוך את המחשב שרת ה VPN ל DGW, שהרי אז במקרה והמחשב הזה נופל/מכובה, אני מאבד את כל הרשת...

אני לא יכול גם להגדיר הפניה בכל המכשירים ברשת, כיון שיש כמה מכשירים שלא ניתן להגדיר אותם, כמו חלק מהמדפסות, ועוד אחרים.

server config

קוד:

port 1194
mssfix 1400
proto udp
dev tap
dev-node MyTap
ca "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.crt"
key "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\server.key" 
dh "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\dh1024.pem"
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "route 192.168.2.0 255.255.255.0"
client-to-client
keepalive 10 120
cipher BF-CBC		
comp-lzo
persist-key
persist-tun
status openvpn-status.log
verb 3

עד היום, הייתי משתמש בחיבור VPN המובנה ב WINXP, כשהייתי מגדיר את הכתובת וחלוקת הכתובות של השרת, באותו הטווח של הרשת המקומית, ואז היתה גישה לקליינט המרוחק לכל מחשב ומכשיר ברשת.

אז אולי זה לא היה VPN ניתובי אלא VPN מסוג bridge, שהלקוח כאילו מתחבר לסוויצ' של הרשת המקומית.

אגב, בקונפיג שלך אני רואה שזה מה שעשית, הגדרת tap ולא tun. במקרה הזה אין צורך בדחיפת שום מיפוי ושום טווח כתובות IP כיוון שהמחשב המתחבר כבר יקבל מה DHCP של ה LAN (בהנחה שלא היה שום פיירוול בדרך שחסם את התעבורה...)

אגב, גם כשהאדימקס שלך יכבה, תאבד את כל הרשת (מנסיון העבר שלי, מחשבים החזיקו אצלי יותר שנים מציוד של אדימקס...).

ייתכן שתוכל להגדיר route באדימקס, בדוק את זה.

נמאס לכם לזכור סיסמאות? לחצו כאן!

ראשית, אתה צודק, ומיותר אצלי להגדיר TAP במקום TUN, שיניתי את זה.

בכדי להשוות את החיבור שאני יוצר עכשיו, למה שהיה לי עד עכשיו, דרך המובנה ב winxp, הגדרתי שהכתובת של הסרבר תהיה גם כן בטווח של 192.168.2.0.

אלא שאז ברגע שהפעלתי את הסרבר, איבדתי אצלו את החיבור לנט, ומה שהבנתי לאחר בדיקה, שלמעשה הוא מקבל את הכתובת 192.168.2.1 שזה הכתובת של הראוטר אצלי.

האם אני יכול להגדיר לסרבר שיקבל כתובת אחרת שלא תתנגש?

ובנוגע להערתך בסוף, אם אכן הייתי יכול להקצות לסרבר מחשב ייעודי, היה עדיף, אבל מחשב שעובדים עליו (ולפעמים לא האנשים המיומנים והחכמים במיוחד), נופל יותר, ושלא לדבר על המצב שהמזכירה שוכחת שביקשתי מליון וחצי פעם להשאיר את המחשב פועל רצוף גם אם היא בחופש מחר.

אבל לפי מה שאני מבין, מה שהיה לך עד עכשיו זה עבודה ב Ethernet Bridge, כלומר TAP, ולא TUN... מה שאתה עושה זה לא להשוות...

אם אתה רוצה VPN ניתובי, אין מה לעשות, צריכים להגדיר ניתוב שטוב לשני הצדדים..

נמאס לכם לזכור סיסמאות? לחצו כאן!

חשבתי להיפך, שהחיבור VPN דרך המובנה ב winxp הוא לא bridge, לכן שיניתי.

לא נח לי להשתמש לאמיתו של דבר ב bridge, כיון שכשאני מגשר את הכרטיסי רשת במחשב, הגשר מקבל כתובת IP שונה, ואז יש צורך לחדש/לשנות את כל ההפניות הקיימות כבר בראוטר למחשב הנוכחי, ולעדכן בכל התוכנות שניגשות למחשב הזה דרך הכתובת הקודמת.

בכל אופן, בתצורה הנוכחית, יש דרך לקבוע כתובת ידנית, שונה, לצורכי החיבור הזה?

אני לא יודע מה היה ב XP, אבל אם הצלחת לגשת למחשבים בלי ניתוב חוזר... זה די אומר שלא היה צורך בניתוב כזה, אחרת הפאקטים היו הולכים ל DGW ונעלמים.

לגבי שאלתך הנוכחית, אני באמת שלא מבין אותה. אני אסביר לך איך VPN מנותב פועל, ואני מקווה שזה יענה על כל השאלות.

1. שרת ה VPN מקצה טווח כתובות עבור כל הלקוחות שמתחברים. הטווח הזה צריך להיות שונה מטווחים קיימים אחרים ברשת, כדי שתעבורה שמיועדת אליו, תוכל להיות מנותבת דרך להיכן שצריך (שרת ה VPN)
2. כשלקוח מתחבר, הוא מקבל IP מטווח הכתובות שהוקצה בסעיף 1, וגם, בנוסף לכך, שרת ה VPN מפרסם לו איזה טווחי רשתות נמצאים מאחורי שרת ה VPN - אחרי שהוא עושה זאת, הלקוח שהתחבר לשרת ה VPN מגדיר ניתוב אל כל טווחי הכתובות שפורסמו לו, דרך ה IP של שרת ה VPN בצד של לקוח ה VPN (שרת ה VPN הוא בעצם ראוטר...)
3. כשהלקוח מנסה לשלוח פאקט לטווח הרשת הפנימית שפורסם, המחשב, שרואה שכתובת ה IP נמצאת בניתוב שהוגדר על ידי לקוח ה VPN, יודע לשלוח את הפאקט הזה ל IP של שרת ה VPN, ובתורו, שרת ה VPN מעביר את הפאקט הלאה לצד השני שלו (שיכול להיות הרשת המקומית, או אפילו ניתוב הלאה במידת הצורך, אם מוגדר ניתוב שכזה בטבלת הניתובים של שרת ה VPN...)
4. כשיש חיבור שמגיע מצד ה LAN, או לחלופין, פאקט שחוזר מצד ה LAN, לכיוון לקוח VPN, בעצם זה פאקט IP שמיועד לטווח הכתובות שהוקצו ללקוחות ה VPN. כדי שהפאקט יצליח להגיע לשם, משהו צריך לגרום למחשב לשלוח אותו אל עבר שרת ה VPN. אם שרת ה VPN הוא ה DGW, זה קורה באופן טבעי, כמו לכל פאקט אחר, שאינו ברשת המקומית. אם לא, חייבים שיהיה ניתוב אל טווח הכתובות באמצעות שרת ה VPN, ולא נמנע שהניתוב הזה יוגדר דווקא ב DGW - כלומר - הפאקט יגיע ל DGW, וה DGW יעביר את הפאקט הלאה, שוב, חזרה לתוך ה LAN, לכיוון המכונה של שרת ה VPN.

ואחרי כל זה... יש שאלות?

נמאס לכם לזכור סיסמאות? לחצו כאן!

ראשית, תודה רבה על ההסבר המאלף שהשלים לי כמה נקודות חסרות/לא ברורות.

שנית, שאלתי היא, א. האם אפשרי שגם שרת ה VPN יקצה כתובות באותו הטווח של הרשת המקומית, וזאת ע"י שיבדוק קודם שהכתובת שהוא רוצה להקצות אכן פנויה, ורק אז יקצה אותה. ב. האם במצב כזה שגם הלקוח שהתחבר ע"י VPN נמצא באותו הטווח של הכתובות המקומיות, יוכל לקבל פאקט חזרה מהמחשבים בטווח, כיון שגם הכתובת שלו באותו הטווח.

וסימוכין למה שאני חושב שזה אפשרי... מכך שכך הדבר עבד/עובד לי בשרת/לקוח המובנה בwinxp, והגם שאינני מבין לעומק איך זה באמת עובד, מה שאני יכול זה להעלות לך את הפלט של טבלת הניתוב במחשב הסרבר, לפני יצירת החיבור VPN ולאחריו.
לפני:

קוד:

Active Routes:
Network Destination		Netmask		  Gateway	   Interface  Metric
		  0.0.0.0		  0.0.0.0	  192.168.0.1	 192.168.0.2	   20
		127.0.0.0		255.0.0.0		127.0.0.1	   127.0.0.1	   1
	  192.168.0.0	255.255.255.0	  192.168.0.2	 192.168.0.2	   20
	  192.168.0.2  255.255.255.255		127.0.0.1	   127.0.0.1	   20
	  192.168.0.3  255.255.255.255		127.0.0.1	   127.0.0.1	   50
	192.168.0.255  255.255.255.255	  192.168.0.2	 192.168.0.2	   20
		224.0.0.0		240.0.0.0	  192.168.0.2	 192.168.0.2	   20
  255.255.255.255  255.255.255.255	  192.168.0.2	 192.168.0.2	   1
Default Gateway:	   192.168.0.1

אחרי

קוד:

Active Routes:
Network Destination		Netmask		  Gateway	   Interface  Metric
		  0.0.0.0		  0.0.0.0	  192.168.0.1	 192.168.0.2	   20
	80.250.147.29  255.255.255.255	  192.168.0.1	 192.168.0.2	   20
		127.0.0.0		255.0.0.0		127.0.0.1	   127.0.0.1	   1
	  192.168.0.0	255.255.255.0	  192.168.0.2	 192.168.0.2	   20
	  192.168.0.2  255.255.255.255		127.0.0.1	   127.0.0.1	   20
	  192.168.0.3  255.255.255.255		127.0.0.1	   127.0.0.1	   50
	  192.168.0.6  255.255.255.255	  192.168.0.3	 192.168.0.3	   1
	192.168.0.255  255.255.255.255	  192.168.0.2	 192.168.0.2	   20
		224.0.0.0		240.0.0.0	  192.168.0.2	 192.168.0.2	   20
  255.255.255.255  255.255.255.255	  192.168.0.2	 192.168.0.2	   1
Default Gateway:	   192.168.0.1

כש: 192.168.0.1 = כתובת הראוטר המקומי
192.168.0.2 = כתובת המחשב המקומי
192.168.0.3 = כתובת המחשב המקומי כשהוא משמש כשרת VPN
192.168.0.6 = כתובת הלקוח VPN

ונפשי בשאלתי האם והיאך ניתן ליצור דבר כזה גם ע"י שימוש ב openvpn.

על פניו הכתובת שהוקצתה ללקוח ה VPN היא ב LAN שלך. בשביל שדבר כזה יעבוד (ובהנחה שכתובת לקוח ה VPN היא 192.168.0.6 גם בצד של הקליינט), מדובר כאן, בעצם, בחיבור כרטיס רשת וירטואלי לתוך ה LAN, או במילים אחרות... Bridging. וכן, אפשר לעשות את זה ב openvpn, כפי שאמרתי בהתחלה, במוד TAP במקום TUN.

נמאס לכם לזכור סיסמאות? לחצו כאן!

ראשית, שוב תודה על ההסברים.

אני מנסה להבין, כשאתה מדבר על bridging, האם אתה מתכוין לגשר אמיתי, היינו (ממה שאני מכיר בwin) ליצור גשר בין הכרטיסים, כך שיחשבו למעשה אם אני מגדיר נכון, ככרטיס אחד עם 2 יציאות, או שכוונתך ל 2 כרטיסים נפרדים שמחוברים במחשב אחד.

באופן בו עבדתי עד עכשיו ב win, כל כרטיס מתפקד לעצמו, עם כתובת נפרדת לעצמו (לעומת גשר "אמיתי" שבו 2 הכרטיסים משתפים אותה כתובת).

לפי ההגדרות הראשונות שבניתי, והעלתי למעלה, יש כאן 2 כרטיסים במחשב, אחד כרטיס פיזי שמקבל כתובת מוקצת מה DGW, והכרטיס השני שלא מחובר ישירות ל DGW לא מקבל כתובת אוטו' מה DGW, אלא אני מגדיר לו את הכתובת, או יותר נכון את טווח הכתובות שמשם יקבל את הכתובת לעצמו, לשרת ה DHCP לצורך החיבור וכו'.

כל זה עובד לי מצויין כשאני מגדיר את הטווח בכל טווח שהוא לא הטווח של הרשת המקומית שלי, כשאני מציין בקובץ הקונפיג של הסרבר טווח זהה לטווח הכתובות המקומי שלי, אז הוא לא יקבל כלל כתובות מהטווח שציינתי אלא כתובות אוטו' מהטווח 169.254.X.X (כשההגדרות כאמור ל tap, ולהבנתי זה כך מכיון שהוא מנסה לקבל את הכתובות הראשונות בסידרה, כמו 192.168.2.1 לדוגמא, שכבר מוקצת אצלי לראוטר, וכן נוצרת שגיאה והוא לא מקבל כתובות בכלל מהטווח, לעומת זאת במצב tun הוא אכן מקבל כתובות מהטווח המצויין, אבל לא מתחשב בכך שקיימות זהות ברשת המקומית, ונוצר כפלויות וכו' כיון שמדובר רק בניתוב, כפי שהבנתי מדבריך לעיל).

אז אם לסכם את מה שבעצם מה רוצה לשאול (וכמובן שאני שמח לקרוא כל פיסת מידע ולרכוש ידע גם מעבר לכך...), האם אני יכול (במצב tap), לקבוע את הטווח לסרבר, זהה לטווח הכתובות המקומיות שלי, ולציין בעצמי את הכתובות לכל מה שנצרך מצד הסרבר (בכדי שלא יווצרו התנגשויות).

bridge = שרת ה VPN מתנהג כאילו שהוא סוויצ' שאחד הפורטים שלו מחובר ל LAN שלך, ושאר הפורטים שלו מחוברים ללקוחות ה VPN שמתחברים אליו. המחשב המתחבר כאילו חיבר כבל רשת ישירות לתוך הסוויצ' הרגיל של ה LAN, ששרת ה VPN שלך מחובר אליו, על כל המשתמע מכך. כל זאת, שוב, בהנחה, שאין פיירוול שחוסם תעבורה על הממשקים, ושה Bridging מופעל כראוי... אם אתה מכיר VMWare, זה בדיוק כמו מכונה וירטואלית שכרטיס הרשת שלה מוגדר כ Bridged...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אני מקוה שלא תחשיב אותי כטרדן, אבל אני מנסה באמת להבין.

אם יש לי 2 כרטיסי רשת במחשב אחד, אחד מחובר ישירות לראוטר, או לסוויצ' שמחובר לראוטר, והשני לא. הכרטיס השני הרי לא יקבל כתובת מהראוטר, אך ורק בגלל שהוא מחובר במחשב שיש בו כרטיס שכן מתחבר בדרך כלשהיא לראוטר.

ולכן, הכרטיס הנוסף של שרת ה VPN לא יקבל כתובת מהראוטר, וכן הלקוחות שמתחברים לכרטיס הזה, גם כן לא יקבלו כתובות מהראוטר, ומה שאני רוצה הוא להקצות כתובת לכרטיס הזה, שונה מההקצאה המוגדרת בברירת המחדל (כיון שהכתובת המוקצת בברירת המחדל סותרת לכתובות אחרות ברשת), ושרת DHCP שיקצה כתובות ללקוחות שמתחברים דרך הכרטיס הזה.

האם אני טועה?

רק עכשיו שמתי לב שהגבת לזה. עדיין רלוונטי?

נמאס לכם לזכור סיסמאות? לחצו כאן!

ראשית תודה

בשביל מה שהייתי צריך אז, זה לא רלוונטי ברגע זה, אולם זה ודאי יועיל לי לעתיד.

ציטוט:

במקור נכתב על ידי met_mizman אני מקוה שלא תחשיב אותי כטרדן, אבל אני מנסה באמת להבין. אם יש לי 2 כרטיסי רשת במחשב אחד, אחד מחובר ישירות לראוטר, או לסוויצ' שמחובר לראוטר, והשני לא. הכרטיס השני הרי לא יקבל כתובת מהראוטר, אך ורק בגלל שהוא מחובר במחשב שיש בו כרטיס שכן מתחבר בדרך כלשהיא לראוטר.

נכון, הם בשני סגמנטים נפרדים

ציטוט:

במקור נכתב על ידי met_mizman ולכן, הכרטיס הנוסף של שרת ה VPN לא יקבל כתובת מהראוטר, וכן הלקוחות שמתחברים לכרטיס הזה, גם כן לא יקבלו כתובות מהראוטר, ומה שאני רוצה הוא להקצות כתובת לכרטיס הזה, שונה מההקצאה המוגדרת בברירת המחדל (כיון שהכתובת המוקצת בברירת המחדל סותרת לכתובות אחרות ברשת), ושרת DHCP שיקצה כתובות ללקוחות שמתחברים דרך הכרטיס הזה. האם אני טועה?

כן, אתה טועה.

משום שבשונה מכרטיס הרשת הנוסף שלך, כאן, כפי שאמרתי, הכרטיס הוירטואלי של שרת ה VPN יהיה מוגדר כ Bridge לכרטיס הרשת הרגיל שלך. כלומר, כאילו חיברת ביניהם עם כבל רשת. יוצא שכרטיס הרשת הוירטואלי של ה VPN בעצם מחובר כעמדת קצה לאותה רשת שהמחשב שלך מחובר אליה, ובאותה צורה בדיוק, מחוברים גם לקוחות ה VPN אל כרטיס הרשת הוירטואלי של שרת ה VPN. יוצא שבעצם שרת ה VPN משמש כסוויצ' שמחובר בין הרשת האמיתית לבין כל לקוחות ה VPN. ככה זה נראה מבחינת הרשת (כמובן שבדרך המידע עובר תיעול והצפנה דרך רשת האינטרנט, אבל מבחינת המשתמשים, כולם נמצאים בתוך ה LAN שמעבר לשרת ה VPN, למעט latency מזעזע של לפחות 20 מ"ש במקום 0.01 מ"ש שבד"כ רואים ב LAN )

נמאס לכם לזכור סיסמאות? לחצו כאן!

ציטוט:

במקור נכתב על ידי שימי כן, אתה טועה. משום שבשונה מכרטיס הרשת הנוסף שלך, כאן, כפי שאמרתי, הכרטיס הוירטואלי של שרת ה VPN יהיה מוגדר כ Bridge לכרטיס הרשת הרגיל שלך. כלומר, כאילו חיברת ביניהם עם כבל רשת. יוצא שכרטיס הרשת הוירטואלי של ה VPN בעצם מחובר כעמדת קצה לאותה רשת שהמחשב שלך מחובר אליה, ובאותה צורה בדיוק, מחוברים גם לקוחות ה VPN אל כרטיס הרשת הוירטואלי של שרת ה VPN. יוצא שבעצם שרת ה VPN משמש כסוויצ' שמחובר בין הרשת האמיתית לבין כל לקוחות ה VPN. ככה זה נראה מבחינת הרשת (כמובן שבדרך המידע עובר תיעול והצפנה דרך רשת האינטרנט, אבל מבחינת המשתמשים, כולם נמצאים בתוך ה LAN שמעבר לשרת ה VPN, למעט latency מזעזע של לפחות 20 מ"ש במקום 0.01 מ"ש שבד"כ רואים ב LAN )

זה נכון כשהגדרתי Bridge בין הכרטיסים במחשב, הפיזי והוירטואלי.
אבל מה קורה במידה ולא הגדרתי במחשב את הגישור, ולמעשה יש לי כרטיס אחד פיזי שמחובר פיזית לראוטר, וכרטיס שני וירטואלי שלא מחובר לראוטר פיזית וגם לא וירטואלית...? האם אני יכול להגדיר על הכרטיס הוירטואלי שירות DHCP, שיחלק כתובות באותו טווח, כשלראוטר אגדיר את הכתובות 192.168.2.1-50, ולשרת DHCP שיופעל על הכרטיס הוירטואלי את הכתובות 192.168.2.51-100.

תלוי מה יהיה ה netmask

בכל מקרה יהיה מדובר בשתי רשתות נפרדות שלא עוברת ביניהן תעבורה

אם ה netmask הוא יהיה 255.255.255.0 - יהיה מדובר בשתי רשתות נפרדות שמחוברות לאותו המחשב, מה שיבלבל אותו מאוד כשהוא יצטרך להעביר מידע כלשהוא ברגע שהוא יגיע אליו. למעשה מה שכנראה יקרה (אם בכלל אפשר לקנפג את זה בלי שהוא יצעק) זה שתהיה תקשורת בין לקוחות ה VPN השונים אבל שום דבר אחר.

אם תחלק את זה לקלאסים קטנים יותר, כך שכל כרטיס יהיה בעצם רשת אחרת, אז לא יהיה שום בלבול, אבל עדיין, לא יהיה שום חיבור בין הרשתות. בלי לנתב, אי אפשר להעביר תעבורה מרשת לרשת. בשביל זה קיים הקונספט של ניתוב. הדרך היחידה להעביר נתונים באופן שקוף בין שני "סוויצ'ים" נפרדים, היא לחבר ביניהם כבל. להלן: Bridging...

נמאס לכם לזכור סיסמאות? לחצו כאן!

תודה רבה. כעת התבהרו הענינים במוחי המעורפל...

מאוחר יותר אציג את הבעיה שאני מנסה לפתור, רק בלי התיסבוכת המיותרת שאליה נכנסתי.

למה לא לתת ל OPENVPN למשוך כתובות מDHCP? ואז מי שיתחבר יישב על אותן כתובת כאילו הוא מחובר עם כבל רשת לEDIMAX?

יש לזה כמה סיבות (במבנה הרשת הספציפית שאני מטפל בה), והפשוטה שבהן, יצירת גשר בין הכרטיס הוירטואלי וכרטיס הפיזי, היתה גורמת לכרטיס הפיזי לאבד את כתובת ה IP הקודמת שלו שהוקצתה לו מהראוטר, והייתי מאבד את החיבור מרחוק למחשב (עד שהייתי מגיע למקום ומגדיר את הכתובת שוב ידנית, או מעדכן את ההפניות לכתובת החדשה).

אני לא רואה שום סיבה לזה שהכ.רשת יאבד את הכתובת ה-IP הקודמת שלו.

פשוט מאוד. הראוטר מחלק כתובת IP ושומר אותן לפי מספרי MAC.

כשאני יוצר גשר רשת, הגשר מקבל כתובת MAC שונה מזה של הכרטיס, ולכן יקבל כתובת IP שונה.