Kiinteä ip ja lähiverkko

Minulla on telewellin ea716 -modeemi/palomuuri/kytkin hässäkkä ja kiinteä ip.

Onko niin, että en pysty tällä purkilla luomaan sisäistä lähiverkkoa siten että vain yksi ip näkyisi ulospäin? Kun en saa NAT-toimintoa päälle, ilmeisesti tuon kiinteän ip:n takia. NATillahan annetaan lähiverkon koneille omat ip:t mitkä ei näy ulospäin, esim. 192.168.x.x, eikö ole näin?

Jos olen ymmärtänyt asian oikein niin pitäisikö minun hommata toinen purkki, esim. palomuuri/kytkin jossa olisi dmz-ominaisuus, johon liitän lähiverkon laitteet kiinni?

Vai onnistuuko tuolla tw:n ea716-laitteella saamaan useamman kuin yhden koneen kiinni ulkoiseen verkkoon kun on kiinteä ip käytössä? Nettiin nimittäin pääsee kyllä yhdellä koneella kerrallaan, mutta pitäisi saada muitakin koneita kiinni...

 

Kun pistän NAT:in päälle niin sen jälkeen ei pääse yhdelläkään koneella ulospäin. Kun minun ymmärtääkseni purkki yrittää jakaa kiinteätä ip:tä, eli minun tapauksessani 82.116.x.x osoitetta lähiverkkoon. Jos taas purkin lan-asetuksissa vaihtaa 82-alkuisen ip:n esimerkiksi 192.168.x.x-osoitteeksi lakkaa yhteys myöskin toimimasta.

 

Onko sinulla kiinteä ip? Entä onko purkkisi reitittävässä vai sillatussa tilassa?

 

olen saanut ISP:ltä seuraavanlaiset ohjeet konffaukseen:

LAN IP 82.116.x.x, GW 82.116.x.x, mask 255.255.x.x
WAN IP 10.116.x.x, GW 10.116.x.x, mask 255.255.x.x
VCI/VPI 0/33, RFC 1483 Routed IP LLC, Ei NATia

Lisäksi kun kysyin miksei Nat:ia saa päälle, tuli seuraavanlainen vastaus:

"Ei voi tehdä nattia adsl-laittessa, näillä asetuksilla, se estää kiinteän ip-osoiteen siirtymisen eteenpäin. Vaatisi myös dmz:n adsl-laittessa."

Dmz kyllä löytyy tuosta ea716-purkista.

Jollain tavalla se kiinteä ip siis liittyy Nat:in toimimattomuuteen. Vastausta en vain ole vielä saanut että miten...

Olen käsittänyt että yhteyden pitäisi olla reitittävä, jotta nat toimisi. Eikö asia olekaan näin?

 

Mitä eroa on purkin siltaavassa/reitittävässä ja yhteyden siltaavassa/reitittävässä tilassa?

 

Eli siis tuloksena on se että kun tarvitsen NAT:in ja palomuurin ja minulla on kiinteä ip, pitää minulla olla sekä yhteys että laite reitittävässä tilassa. Tällä hetkellä se myös on niin. Saunalahdenkaan siltaavaan yhteyteen ei näemmä saa kiinteitä ip-osoitteita. Mahtaako muihinkaan saada?

Täytyypä vielä kysyä ISP:ltä tuosta NAT:ista, on meinaan muutama muukin ihmetellyt miksei NAT:ia voi laittaa tämän hetkisillä asetuksilla päälle.

 

Minua ihmetyttää tuo DMZ:n käytön mainostaminen? Eihän sitä normaalikäyttäjä tarvitse. Ainoastaan jo kaverilla on kotiverkko ja sen lisäksi vaikkapa FTP/WEB serveri voisi tuon serverin siirtämistä DMZ:aan harkita. Itse asiassa olisi suotavaa jolloin se on erossa varsinaisesta koriverkosta ja saadaan näkymään "ainoana" ulospäin. Toki kotiverkkokkin toimii aivan normaalisti. Itsellä oli tuollainen viritys jonkin aikaa.

 

kertokaas nyt tumpelolle et mikä tarkoitus tällä dmz:lla on??Tai siis mikä se ylipäätänsä on?...

 

Tuo DMZ tarkoittaa 'neutraalia' tai 'aseetonta' vyökykettä.

Idea on, tietotekniikassa ja politiikassa, muodostaa aluejako joka toimii eräänlaisena eristimenä kahdeen alueen välissä.

Verkkomaailmassa tuo tarkoitta lähinnä sitä että on alue joka on esim. sisäverkon ja ulkoverkon välissä. Sinne työnnetään yleensä palomuurit, reitittimet, posti- ja webbipalvelimet jotka halutaan että ovat yhteydessä ulkomaailmaan. Tuon alueen takana on sitten suojattuna yleensä sisäverkko erotettuna sekä tuosta DMZ:stä että internetistä.

DMZ on siis eräänlainen porttialue, jonka kautta kuljetaan mutta joka pidetään erillään sisäverkosta. Pienessä ympyröissä tuon käyttö on ehkä vähän yliampuvaa.

 

Kiitos dmz-infosta!

Onkin varsin mielenkiintoinen ominaisuus tuo ja minulle aivan uusi. Lisäturvallisuus on minun tapauksessani pelkästään plussaa.

 

Selvennyksenä, että ei sen sisäverkon liikenteen tarvitse kulkea DMZ:n läpi sisään/ulos. DMZ on vain määritelty alue joka näkyy ulospäin.

Itselläni oli yksi kone WEB/FTP-serverinä joka oli määritelty reitittimeltä DMZ alueelle. Kotiverkon muut koneet oli piilossa saman reitittimen kautta muulta maailmalta. Toki sieltäkin yhteydet toimivat normaalisti ulospäin, mutta kaikki pyynnöt ohjautuivat tuolle DMZ alueella olleelle servulle - sikäli kuin ne oli sallittu.

Eli en itse ainakaan menisi tuolle DMZ alueelle laittamaan yhtäkään kotiverkon konetta ellei ole tarvetta (serveri käyttö). DMZ alueella oleva kone siis ei ole mitenkään turvassa, pikemminkin päin vastoin - se on alttiina hyökkäyksille.

 

Päivitystä tilanteeseen:

ISP on nyt ehdottanut tilanteeseeni, että hommaisin erillisen palomuuri/kytkimen johon kiinteän ip:n osuus päättyy. Tw-ea716 siis toimisi pelkkänä modeemina ja erillinen palomuuri/kytkin hoitaisi NAT:in ja DCHP:n sisäverkolle. Ja kaikki tämä vain kiinteän ip:n takia. Kun ISP:n omissa jutuissa ei toimi NAT kiinteän ip:n kanssa. On se kummaa touhua !....

 

niin ymmärsin ISP:n puheista, että NAT ei voi toimia samassa purkissa mihin tulee kiinteä ip. Kiinteän ip:n takia pitää olla toinen palomuuri tai vaihtoehtosesti esim. joku nuhapumppu-pc palvelimena adsl-purkin vieressä. Vaikka ei minunkaan järkeni mukaan NATilla ja kiinteällä ip:llä ole mitään tekemistä keskenään. Noo, käskin ISPltä tulemaan jonkun asentajan näyttämään miten systeemi heidän mielestään pitäisi konffata. Saa nyt nähdä miten sen kanssa loppujen lopuksi käy...