ישנו מוסד שהתקנתי בו שני ראוטרים
שניהם מחוברים לאותה רשת מקומית, האחד מחובר לאינטרנט רגיל עם גישה מבחוץ
השני מתחבר לרשת סגורה (יוזר מיוחד בספק) שאין אפשרות להגיע אליה מהאינטרנט החיצון .

הסיבה ששידכתי בין הרשתות, משום שחלק מהמחשבים שברשת צריכים יציאה לאינטרנט רגיל
וחלק צריכים את הרשת הסגורה ובחלק הייתי צריך את שני היציאות ,אז הגדרתי שהיציאה הראשית תהיה לחיצון ורק כתובות מסויימות מנותבות לראוטר של הרשת הסגורה .

כאשר אני נמצא בבית שלי ורוצה לעבוד על הרשת הסגורה , למשל כדי להכנס ל vmware view client
אני נכנס בשליטה מרחוק לאחד מהמחשבים וממנו נכנס ל vmware

כעת אני מעוניין ליצור מצב שלא אהיה תלוי במחשב ששם,
כלומר לקנפג את הראוטרים בצורה כזו שאצלי בבית אתקין את הקליינט ואזין בו את הכתובת של ראוטר מס' 1 שמחובר לאינטרנט הרגיל, והוא יפנה אותי לראוטר מס' 2 שברשת שלו ודרכו אצא לרשת השניה ...


לדוגמאה, ראוטר מס1 נמצא על 192.168.3.1
וראוטר מס' 2 על 192.168.3.2
וכתובת ה-IP החיצונית של ראוטר מס' 1 נגישה מבחוץ , למשל 213.90.15.177
לראוטר 2 אין כתובת חיצונית חוקית
והכתובת הפנימית של השרת VMWARE שאני צריך להגיע אליה ברשת הסגורה היא למשל 172.72.10.12

מקווה שהובנתי ואם לא אשמח לפרט יותר .
תודה

אתה יכול ליצור ROUTE MAP שעבור כתובות IP\שירותים וכו' (שימוש ב-ACL) ה-NEXT HOP יהיה הראוטר השני. ה-ROUTE MAP ישב בראוטר הראשון (על הרגל החיצונית לכיוון ה-INBOUND).

זאת אפשרות אחת בשלוף שאני חושב עליה.

לא די שיידע מפקד את מלאכתו. עליו להיות אוהב את האדם, שחיי הפקוד שלו יהיו יקרים לו והחייל שנשלח אליו יהיה יקר לו, שיאהב אותו. רק מפקד כזה ימצא בפקודיו את מסירות-הנפש שתלכם לכל אשר ישלח אותם. אם המפקדים יעוררו את האמון, את הדבקות ואת האהבה בחיילים שלהם-אזי תדע כל אם עבריה כי הפקידה את גורל בניה בידי המפקדים הראויים לכך.

[התמונה הבאה מגיעה מקישור שלא מתחיל ב https ולכן לא הוטמעה בדף כדי לשמור על https תקין: http://i44.tinypic.com/bdqhi0.jpg]

פשוט על ידי הגדרת route לכיוונו של מחשב היעד בכל ה-hop-ים בדרך שהם לא "directly connected" (שכבה 2) מול היעד (כולל פרסום הסאבנט שלו לכיוון לקוח ה VPN שלך - ככה בעצם נקבע עבור אלו טווחי רשת המחשב שלך ינתב את התעבורה דרך ה tunnel של ה VPN במקום דרך ה DGW שלו...)

שים לב שגם המסלול חזור צריך להיות מוגדר באותה הצורה - מהשרת לכיוון הסאבנט שאתה מקבל כלקוח VPN, צריך להיות ניתוב בכל אחד ואחד מ-hop-ים בדרך...

אם אתה שואל מה הפקודה, אז... כל יצרן והפקודות שלו. בסיסקו, למשל, זה:

קוד:

conf t
ip route <destination network> <destination mask> <next hop>

אחרי ששלחתי, ראיתי שהגיבו לפני. חשבתי על זה קצת, ולא הצלחתי להבין כיצד ACL קשור בכלל לעניין.

אשמח לקצת יותר פירוט מבחינה מעשית, אני מבין שאת ההגדרות אני צריך לבצע בטבלאת ה ROUTE שבנתב השני , ובנתב הראשון לבצע הפניית של הפורט של VMWARE ?
אם ידוע לכם על חומר כתוב בצורה ברורה ועם דוגמאות, אשמח לקבל .
מה שראיתי בינתיים זה זה

http://www.tcpipguide.com/free/t_IP...opRouting.h tm

http://searchnetworking.techtarget....lution-Protocol


כאן
לכתובת 172.26.1.20

הזכרת בתשובתך VPN , אז או שאני לא הבנתי את כוונתך או שלא הסברתי נכון

אני התכוונתי לפנות לאותו ראוטר ישירות עם כתובת ה-IP שלו ולא ע"י יצירת VPN
(אא"כ יש לך פתרון אחר מומלץ בשבילי)
אני יוצא מתוך נקודת הנחה שבאותו מקום אין אף מחשב דולק אלא רק שני הראוטרים הללו ,
ואני מעוניין שהראוטר שמחובר לאינטרנט העולמי יקבל את הפניה שלי ויעביר אותה לכתובת שקיימת ברשת של הראוטר השני .

אם תוכלו בבקשה לפשט לי את הציור ברמת הרשת ולהסביר לי באיזה דרך מתבצע הפתרון הזה ,
אני יודע מה זה הפניית פורטים ויצא לי (בעבר בעזרתכם כאן בפורום) לבצע route באותה הרשת למחשב שהיה זקוק לגישה לשני הרשתות .

נתחיל מנקודת המוצא שזה המחשב שלי שעליו מותקן הקליינט של vmware שזה בעצם כמו RDP
בתוכו אני מזין שם וסיסמה וכתובת IP של הראוטר הראשון
הפניה הזאת מגיע לראוטר בפורט מסויים
http://pubs.vmware.com/view-50/inde...B2A2237AD1.html

וכעת אני צריך שהוא יפנה אותי לראוטר השני וממנו לרשת השלישית

תודה

חשבתי שאתה מתחבר לתוך הרשת באמצעות לקוח VPN

אם לא, ופשוט עשית "חור" בפיירוול באמצעות port forwarding (מה שמעלה תהיות לגבי כלל אבטחת הרשת שלך, והעניין עם הרשתות הנפרדות...) - אז בפשטות בתוך הראוטר שבו אתה עושה את החור, אתה צריך להגדיר route לכיוון IP היעד. נניח 172.26.1.20 כתבת? אז שים את זה ב Destination, וב Subnet mask תכתוב 255.255.255.255 כי אתה רוצה רק את ה IP הזה. ב Gateway תכתוב את ה IP ברשת המקומית של ה LevelOne שיש ל Gateway השני (יש לו, נכון?). לאחר מכן במחשב היעד תגדיר route בכיוון ההפוך... ל IP שממנו אתה מתחבר (לא קל אם הוא דינאמי, אני משער. טוב, ככה זה שלא משתמשים ב VPN?) - ונראה לי שאמור להיות בסדר.

דבר ראשון, זה לא איזה אירגון מאובטח
סה"כ בית ספר תיכון , והמחשב ש"בצד השני" זה שרת של משרד החינוך
כך שהוא אינו בשלטתי כדי שמישהו שם יבצע עבורי ROUTE
http://cms.education.gov.il/educati...t/manbasvdi.htm

ובנוגע לחששות מ"חורים" , חורים יהיו (כמעט) בכל רשת שאפשר להתקין עליה teamviewer, ammyy ,logmein
אז מה זה משנה אם אני נכנס מרחוק, או שפתחתי איזה פורט בראוטר פשוט ודרכו אני מנתב עצמי לרשת .
ברגע שניתן למזג את הרשת שלהם עם רשת אחרת, קו נוסף או נטסטיק וכדו' אז מה הועילו חכמים .

בשביל להקים VPN אצטרך ראוטר מתאים, כי אם אהיה תלוי במחשב , אז אני כבר לא צריך את כל המערך הזה
יש לי אותו כבר עם teamvewer
יש בו שליטה מרחוק וגם VPN

רק לדוגמא, הם משקיעים בראוטר של ג'וניפר ויוצרים בו מחיצה של שני רשתות
האחת חוטית למשרדי בית הספר והשניה אלחוטית לנוחות המורים בסביבה,
וכמובן שתפקידו של הראוטר היוקרתי הזה, הוא לחצוץ בין ברשתות
אך מה יקרה אם אחד ממחשבי המשרד יצרף עצמו גם לרשת האלחוטית מלבד החוטית שמחוברת אליו
ברגע זה הוא מיזג את שני הרשתות והכל הלך לפך .
לכן אני לא מתלהב ולא כ"כ נבהל מכל מני חורים כאלו
כי מי שירצה ימצא דרך , ואני לא חושב שמקומות כאלו הם בראש מענייניהם של האקרים .

אם אין לך שליטה לא על מחשב היעד ולא על ה DGW שלו, אתה בעצם לא יכול לשלוט על ערוץ התקשורת החוזר, ובהגדרה הפאקטים החוזרים ילכו לכיוון היציאה של הרשת ההיא (לאן שזה לא יהיה) ולא לנתב שלך...

האפשרות הכי קלה היא לחבר את הנתב שלך לרשת של מחשב היעד, כך שיהיו באותו L2, ולהגדיר כתובת משנית על ממשק ה LAN של ה Level1 שלך, ואז זה port forwarding רגיל, בלי ניתובים ובלי כלום - אבל עדיין תצטרך ניתוב חוזר, משום שה IP שממנו אתה מתחבר, נמצא מחוץ לסאבנט... אא"כ ה Level1 שלך יתמוך בביצוע SNAT על החיבורים שיעברו דרכו (קצת לא סביר?)

dd-wrt comes to mind, אבל לא אפשרי בכל נתב...