אם למשל יש לי משרד על ראוטר 192.168.3.1
וכדי לספק אינטרנט לכיתה משכתי מיציאת LAN שלו כבל ל WAN של ראוטר אחר שהוא מחלק כתובות 192.168.2.1 ומשתף להם אינטרנט ..
אז למרות שכעת יש לי שני רשתות שונות שהאחת לא רואה את השניה ,
אבל בפועל, הראוטר השני בעצם מנתב את הפניות של הכיתה החוצה לרשת 192.168.3.1
ובאותה מדה כל תלמיד יכול בעצם לגשת לכל מחשב ברשת א' של המשרד ע"י כתובת ה-IP שלו .


שאלה נוספת היא, האם המצב הזה לא יוצר בעיה למחשב השרת למשל, שיש לו שני כרטיסי רשת
האחד לרשת המשרד והשני לרשת הכיתה .
ובעצם יוצא מצב שכל פניה שלו לכתובת 192.168.3 יכולה להגיע לכתובת משני הכרטיסים .

עד כאן מצב א'
אחרי שאבין אותו אולי תפתר לי גם בעייה ב' בשני שרתים של שני כיתות
לכל שרת שני כרטיסים, האחד לכיוון הרשת המשרדית והשני לכיתה שלו .

שבסריקת הרשת מכיוון הכרטיס של הכיתה ע"י תוכנת SCAN אני מקבל מין לופ של כל הכתובות
כשהכתובת הפיזית שמופיע היא בעצם של ראוטר שנמצא על הרשת הראשונה .

(האמת שזה קורה דווקא בתוכנת סריקה הזו , ורק אם אני סורק קודם את הרשת הראשונה ואז את השניה
אבל אם אני סורק קודם את השניה הפלט יוצא נקי .
בתוכנה אחרת כמו netscan זה לא קורה )






ואילו סריקה מהכרטיס השני יוצאת תקינה .

למנוע ממשתמש חכם או ממשתמש טיפש?

ממשתמש טיפש, אתה יכול להוסיף בכל המחשבים ברשת 192.168.2 ניתוב סטטי קבוע (בעולמה של מיקרוסופט: route -p) לכיוון 192.168.3.0/255.255.255.0 דרך IP שלא קיים באותה רשת, נניח 192.168.2.254 (בהנחה שזה אכן IP שלא קיים). זה יגרום לכל תעבורה שיעדה הוא הרשת השנייה - לא להגיע לשום מקום.

אבל משתמש חכם יעלה על זה ופשוט ימחק את הניתוב.

אם אתה רוצה למנוע תעבורה דרך התקן רשת - הפתרון היחיד הוא פיירוול (בציוד תקשורת כגון נתבים או מתגים שכבה 3 זה נקרא לרוב ACL)

לגבי מחשב שיש לו שני כרטיסי רשת: אם שניהם מוגדרים כל אחד ברשת אחרת (IP/Mask), הוא יוציא את התקשורת אל הרשת הרלוונטית מהכרטיס שחבר בתוכה (אם כי, ברשתות עם ציוד מתחכם, בעיקר סיסקו, עלול להיות מופעל בברירת מחדל משהו שנקרא proxy-arp שעלול לגרום לכל מיני תקלות מוזרות. אני ממליץ לכבות.). הוא לא ינסה לנתב דרך ה default gateway משום שה default gateway הוא בעצם מה שנקרא gateway of last resort - אם לא נמצא אף נתיב אחר - לך לשם. אבל ברגע שאתה מתחבר לרשת, מוגדר לך אוטומטית "ניתוב" לכל טווח הרשת (בהתאם ל netmask שלך) שהוא "מקומי" (ב scope של ה link) - ולפיכך - כיוון שהוא ניתוב ספציפי יותר מהניתוב הכללי של ה DGW שהוא 0.0.0.0/0 (הכי כללי שיש) - זה יצא דרך שם, אלא אם כן תעשה משהו מכוון כדי שזה לא.

לגבי הסריקות - אני לא כל כך מבין מה המטרה שלך ומה אתה בודק (או חושב שאתה בודק ) אז אני לא יכול להגיב לגביהן

נמאס לכם לזכור סיסמאות? לחצו כאן!

א' תודה על התשובה, אנסה ללמוד אותה , ואכן כב שמעתי ממישהו שיתכן וה- ARP PROXY שבראוטר של סיסקו שבמקום גורם לפלט הזה .
אצטרך להתקשר לבב"ל שמנהלים אותו שיבטלו .

בכלי הסריקה אני משתמש כמעט בכל מקום כדי בדוק את הרשתות את הכתובות והרכיבים שמחוברים ,
ורק כאן נתקלתי בפלט המוזר שנראה כמו תקלה , לכן אני מנסה לחקור אחר הסיבה .

האמת שבינתיים זה לא מפריע לתיפקוד הרשת , בעבר הי לי מקרה מוזר שכיתה A קיבלה כתובות מה-DHCP של שרת מכיתה B אבל יתכן שזו הייתה טעות של כבילה בארונות ,
בינתיים זה לא חזר על עצמו .

ולגבי החסימה, האם יש סיכוי שבראוטר עממי/בזק אמצא הגדרה שתחסום את הגישה לרשת האם ?
STATIC ROUTE .?

אני מן הסתם הבנתי שכלי הסריקה "סורק", אבל מה מהות הבדיקה? מה אתה מגלה / יודע / מצפה להשיג בסריקה הזו? (לא מה אתה עושה ואיך, אלא מה המטרה שלך?) מהי מבחינתך "תקלה"? מה זה מבחינתך "תקין"? כשיהיו תשובות על השאלות האלה, אפשר לנסות להסביר את מה שאתה רואה או להמליץ על שיטה אחרת להשיג מה שאתה רוצה, או פשוט להגיד לך שמה שאתה מצפה לו לא באמת אפשרי. וכו'...

יש לפעמים ACL/Firewall גם בראוטרים פשוטים. אז סיכוי יש... כמו כן, ישנם ראוטרים שהתאימו להם firmware קוד פתוח, שאפשר להחליף את מערכת ההפעלה המקורית של הראוטר במשהו יותר טוב (מבוסס לינוקס בדרך כלל, ואז אתה יכול לעשות כמעט הכל כי יש לך גישה...). למשל: https://en.wikibooks.org/wiki/Tomat...pported_Devices - רשימת פיצ'רים: https://en.wikipedia.org/wiki/Tomato_(firmware)#Features

נמאס לכם לזכור סיסמאות? לחצו כאן!

אז מסתבר שהפלט הזה תקין ומראה לי רשימת כתובות שנובעת מה-ARP ולא מתקלה כל שהיא ,
אני משתמש בכלי הזה כבר המון זמן ומעולם לא פגשתי ב"תופעה" הזו אז חשבתי שהיא מראה על תקלה ברשת .
וכנראה שכל אחת מהתוכניות האלו משתמשת בשיטת סריקה שונה ולכן השוני בתוצאות .
אבל זה לא אמור להפריע לתיפקוד הרשת .

בנוגע לבעיה השניה אבדוק אם בראוטר השני שמשתמשים שם יש את האפשרות הזו ,

ומדבריך שכתבת שגם ROUTE בתחנות יכול לעזור , אז למה שלא נבצע את זה בראוטר עצמו ,
אני חושב שאת האופציה הזו יש יותר סיכוי למצא בראוטרים שבשוק .

השאל האם אחרי שנחסום להם את הפניה לסידרה של 192.168.3.0 הם יוכלו עדיין לצאת לאינטרנט .
אני עדיין לא מבין למה זה עובד בצורה כזו שהמשתמש חייב "לראות" את הראוטר הראשון
ואי אפשר לעבוד בצורה שהראוטר המגשר ינהל את התקשורת מול הראוטר הראשון ,
האם לא כך עובד NAT ?
למה למשל בשרתים שבהם הגדרתי ROUTE זה עובד כך והם משתפים את האינטרנט לכיתה מבלי שהתחנות יוכלו לגשת לרשת שממנה מגיע הגישה לאינטרנט .

תודה .

אתה לא יכול לעשות את ה route הזה בראוטר משום שברגע שהתעבורה כבר הגיעה אל הראוטר, רשת היעד (192.168.3.0/0) היא כבר directly connected עליו, וכבר יהיה בו ניתוב מקומי אליה עבור תקשורת עם מי שמחובר איתו ברשת ההיא. גם אם נניח שאפשר לעשות קומבינות בכיוון הזה (מה שמכונה PBR בסיסקו), הסיכוי שהן יהיו אפשריות אבל ACL/Firewall לא - מאוד נמוך. ACL/Firewall נחשבות פונקציות הרבה יותר "פשוטות".

כן, אם תחסום את הגישה ל 192.168.3.0/24 האינטרנט עדיין יעבוד, וזאת משום שטווח הרשת המדובר לא מכסה אף מחשב באינטרנט אלא רק את הרשת המקומית השניה שלך.

המשתמש לא "רואה" שום דבר. כל התעבורה שנשלחת אל הראוטר עוברת NAT (מסוג SNAT) על ידי הראוטר. הראוטר עצמו הוא כמו כל מחשב אחר ברשת 192.168.3.0/24 - יש לו IP כלשהו ברשת הזו. וכל התעבורה שיוצאת מ 192.168.2.0/0, אחרי שעברה NAT, בעצם יוצאת מה IP-כלשהו הזה ב 192.168.3.0/24 - למשל מ 192.168.3.5. לפיכך, כמו שכל המחשבים ברשת 192.168.3.0/24 יכולים להתחבר לכל המחשבים האחרים ב 192.168.3.0/24 (אא"כ יש פיירוול שחוסם תעבורה כנ"ל, כאמור), אז גם המחשבים של 192.168.2.0/0 שיוצאים מ 192.168.3.5, יכולים.

אני לא יודע מה עשית בשרתים (למה בדיוק היית צריך להגדיר ROUTE בשביל לשתף אינטרנט? ROUTE לאן בדיוק? לא ברור.) ואיך נראית הטופולוגיה שם - אבל גם אם היא זהה לטופולוגיית הראוטרים שלך - בכל מערכת הפעלה מודרנית יש פיירוול, ואולי פשוט שם הוא פועל וקיימים עליו חוקים בסגנון שאמרתי שצריך...

נמאס לכם לזכור סיסמאות? לחצו כאן!

בגלל שאלו כיתות ללא אינטרנט, אז העדפתי שהשליטה בהפעלת השיתוף לצורך עידכונים וכדו' תהיה בצורה קלה מהשרת .
וכך יש לי בשרת קובץ BAT שמפעיל ומכבה את השיתוף לכיוון הכיתה .
כיבוי :
netsh routing ip nat set interface "adsl" private


הדלקה:
netsh routing ip nat set interface "adsl" full

ה ROUTE נעשה בדרך הזו (זה מה שמצאתי כרגע, עשיתי את זה לפני שנים מקווה שזה זהה)



לצפייה במקור באתר YouTube, לחצו כאן.

שוב, גם בחלונות יש פיירוול - אולי מוגדרים שם חוקים בברירת מחדל.

אולי הפיצ'ר של השיתוף מעביר את כל התעבורה ל DGW של השרת, ולא גורם לו להתנהג כמו ראוטר רגיל (שפשוט מעביר את התעבורה ליעד לפי טבלת הניתוב המובנה שלו), מה שכל מערכת הפעלה אחרת תעשה.

אני לא יודע איך מיקרוסופט מימשו את זה, אבל זה שאני לא יודע מה הם עשו לא משנה את נכונות הדברים שאמרתי לעיל... ככה IP עובד, ובזכות זה יש לנו את הדבר הזה שנקרא אינטרנט.

נמאס לכם לזכור סיסמאות? לחצו כאן!

הראוטר מחובר לרשת 192.168.3.0 רק מכיוון ה WAN שלו
והתחנה מגיע אליו מה-LAN שזה על 192.168.2.0
כדי שהוא יגיעה ל.3 הוא חייב את הניתוב של הראוטר . לא ?

ודאי שהוא חייב את הניתוב של הראוטר.

מה שלא מובן הוא למה אתה חושב שאין ניתוב כזה, בהתחשב שיש - שהרי הם מתחברים לאינטרנט דרך ה IP ב 3. מה זה משנה אם היעד הוא בתוך 3 או ברשת אחרת באינטרנט? זה אותו דבר!

נמאס לכם לזכור סיסמאות? לחצו כאן!

אני לא חושב שאין ניתוב כזה, אבל כך היה נשמע לי מההסבר שכתבת :

"אתה לא יכול לעשות את ה route הזה בראוטר משום שברגע שהתעבורה כבר הגיעה אל הראוטר, רשת היעד (192.168.3.0/0) היא כבר directly connected עליו, וכבר יהיה בו ניתוב מקומי אליה עבור תקשורת עם מי שמחובר איתו ברשת ההיא."

היה נשמע שברגע שהלקוח מחובר לכניסת ה-LAN של הראוטר האמצעי הוא נמצא כבר על אותה רשת של המשרד 192.168.3 .
ושאלתי היא, למה לטבלאת הניתוב של הראוטר לא תהיה השפעה על המידע שעובר בין התחנה לרשת הראשונה ,
הרי הראוטר הוא זה שנמצא בין שני הרשתות .מדוע שהוא יפתח את כל הערוץ מול אותה הרשת .

ודאי שיש לטבלת הניתוב השפעה - זה גם מה שכתבתי - כבר יש ניתוב בטבלה עבור הרשת הזאת. תעשה בחלונות שלך "ROUTE PRINT" ותיווכח שאתה רואה שם שורה עבור הרשת המקומית שלך. אתה בעצם רוצה ליצור "עוד אחד", שהולך לאותו יעד, אבל שישפיע רק על כתובות מקור מסויימות.

ניתוב, הוא, באופן כללי, לפי יעד הפאקט, ולא לפי שום דבר אחר.

יש נתבים מתקדמים יותר שבהם יש מעבר לבסיס הנ"ל - כמו ניתוב לפי מדיניות שהזכרתי קודם (PBR), ניתוב לפי "עלות" הנתיב במובנים של תשלום עבור רוחב פס (LCR) או הבטחת איכות שירות מסויימת (QoS), וכיוצ"ב. אבל אלה המיוחדים יותר, ולא יימצאו בד"כ בראוטר בסיסי.

כאמור, יש סיכוי גבוה בהרבה למצוא אפשרות להגדיר חוקי פיירוול מאשר את התכונות הנ"ל. למה? זה די פשוט - משום ש 99.999999% מהמשתמשים של ציוד מהסוג הזה לא מנסים לעשות מה שאתה עושה.

נמאס לכם לזכור סיסמאות? לחצו כאן!

אז בא נתחיל מהסוף ,
מה היא הדרך הנורמלית והמצויה בשטח שבעזרתה ניתן לחצוץ בין רשתות ובכל זאת להנות מיציאה משותפת לאינטרנט ?

בחלק מהראוטרים אפילו של בזק יש VLAN ,
יש לי דגם מסויים של DLINK DIR-615 עם firmware מקורית שכוללת VLAN
ולצערי, למרות שאני מבין את הרעיון שמאחורי הדבר הזה אני לא מצליח למצא בהגדרות את מה שהייתי מצפה שיהיה (:
אולי ההסבר הכי מובן שמצאתי זה בציוד הזה .
אולי ננסה את הכיוון הזה .

(עריכה)
מצאתי כאן שאלה זהה ותשובה עם שני ראוטרים
http://www.tomshardware.com/forum/2...d-etwork-router




לצפייה במקור באתר YouTube, לחצו כאן.

אם הראוטר שלך תומך במספר VLAN-ים - כלומר - הפרדת רשתות מוחלטת בין הפורטים שלו, כשהוא "חבר" בכל אחד מהם (VLAN Interface בלשונה של סיסקו) - והוא דואג שכל אחד מה VLAN-ים יוכל לצאת לאינטרנט, אבל הוא דואג לא להעביר תעבורה בין 2 ה VLAN-ים למרות שהוא חבר בשניהם וזה מה שקורה בראוטר באופן טבעי - זה יפתור לך את הבעייה.

האם זה אפשרי בדגם שאמרת? אני לא יודע, אבל זו הפונקציונליות שאתה מחפש.

אגב, הרבה נתבים עושים את זה דווקא ב Wi-Fi. הקונספט של "Guest Network" הוא בד"כ של שידור של SSID נוסף שבעצם מתאפשר לו לשלוח תעבורה רק לכיוון הממשק של האינטרנט, ולא למחשבים ב LAN. אבל לרוב מממשים את הפיצ'ר הזה דווקא על האלחוט - מסיבות מובנות (אורחים באים עם התקנים אלחוטיים ולא רוצים להתחיל לחבר כבלים...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

אני חושב שהתצורה הזו דווקא יכולה לעזור לי במקרים אחרים,
יש לי מצלמות אבטחה במקומות מרוחקות ממני כמה מאות מטרים שאני מחובר אליהם מהבית באלחוט מהגגות.
וניסיתי לחפש דרך שבה אוכל לחצוץ בין הרשתות שה-dhcp שלי לא יסתובב אצל כולם,
ועכשיו אני חושב שזה דווקא יכול לשמש פתרון טוב,
ברגע שה-CPE שעל הגג שלי יתחבר אליהם במצב ראוטר ולא ברידג'
אז לי תהיה גישה לרשת המרוחקת ןאילו לרשת לא תהיה גישה חזרה אלי.