[win7] Specifieke ports over andere NIC

Kun je niks met route add? Gewoon wat static routes toevoegen? Ik weet alleen niet of dat ook op portnummer kan.

Ander alternatief: windows firewall uitschakelen en FW software installeren.

Ik zat zelf ook met dit probleem, en heb dit opgelost door een virtuele machine te bridgen aan het publieke netwerk, en hierin alles te doen wat niet over het bedrijfsnetwerk mag.
Niet echt een oplossing, wel een (voor mij) goede workaround.

Je kan inderdaad de betreffende ip's / subnets in je routetabel gaan opnemen; da's de enige manier.
En windows doet geen random keuze mbt de uitgaande interface; er is maar 1 interface met een default gateway dus al het verkeer wat niet in het subnet van de andere interface valt gaat daar overheen.

Kan je SSH niet binden op een specifiek adres en die opnemen in de routing table?

_Thanatos_ schreef op woensdag 18 juli 2012 @ 15:59:
Ja dat bedoel ik dus. Een "default gateway" betekent in mijn ogen dat er ook een "alternate gateway" moet kunnen bestaan.

Maar dan zal ik het dus met IP-ranges en/of subnetten moeten doen, voorlopig.

Toch is het raar. Als verkeer via gateway A niet kan, waarom gaat het dan niet automatisch via gateway B? Dat is het toch het hele idee ervan?

Omdat er nog een stap voor zit
Jij geeft een URL op, en de bij de naam behorend IP krijg je terug van de DNS server. Op basis daarvan moet ie een gateway kiezen. Ergo: als jij controle wilt over wat voor IP en dus welke gateway (zie voorgaande route opmerking) je pc gaat pakken, moet je dus je DNS aanpassen of lokaal gaan draaien.

Ik denk dat een hosts-aanpassing het snelste is

Om deze discussie waardevol te laten zijn, lijkt het me handig dat je even de output van ipconfig /all kopieert in een berichtje hier. Daarnaast even aangeven wat je nu waarheen wilt en wat een eventuele uitzondering zou moeten zijn.

Je kunt toch ook aangeven per netwerkadapter welke poorten open/dicht moeten staan? Lijkt mij de makkelijkste oplossing. Hij gaat nu toch (mits niet teveel gerommeld in je routetabellen) de kortste route zoeken over beide netwerkkaarten. Wanneer ze dus dicht staan zal hij automagisch de andere pakken.

Ik kan helaas even niet precies vertellen waar het zit, aangezien hier op het werk de spullen zo dichtgetimmerd staan dan ik nog net de muis mag bewegen.

Wat je wilt is redelijk omslachtig op deze manier. Je legt de routerings 'beslissing' op een rare plaats, daarnaast routeer je normaal gesproken op IP en niet op poort (althans, in kleine omgevingen).

Als je bijvoorbeeld een SSH sessie op wilt bouwen, naar welk IP-adres gaat dat dan? Zit je NAT over NAT te doen?

muppet99 schreef op woensdag 18 juli 2012 @ 17:18:
Je kunt toch ook aangeven per netwerkadapter welke poorten open/dicht moeten staan? Lijkt mij de makkelijkste oplossing. Hij gaat nu toch (mits niet teveel gerommeld in je routetabellen) de kortste route zoeken over beide netwerkkaarten. Wanneer ze dus dicht staan zal hij automagisch de andere pakken.

Dat gaat over inkomend netwerk verkeer. TS heeft het over uitgaand netwerkverkeer, dus geinitieerd vanuit zijn systeem. Bovendien gaat dit over filtering, en niet over linksaf/rechtsaf beslissingen.

IP routering gebeurt op basis van destination IP adres. Niks meer en niks minder.

Met behulp van (Cisco term) policy routing kun je op andere parameters een routebeslissing nemen, bijvoorbeeld op basis van destination port nummer of source IP adres.

Ergo: met een externe cisco router kan dit gebouwd worden. In een linux machine zou het waarschijnlijk ook kunnen met IP tables of hoe dat daar tegenwoordig ook heet.

Wellicht is er een windows toolie of driver die dit kan.. google is your friend.

Microsoft heeft hier expliciet niks voor en laat dit soort gespecialiseerd werk over aan de netwerk vendors.

Zie
http://blogs.technet.com/...er-operating-systems.aspx

[ Voor 47% gewijzigd door joopv op 18-07-2012 17:33 ]

Sowieso heb je geen drol te maken met poorten maar wil je je services aan een IP kunnen binden - RD ondanks dat je eerst zegt van niet, MySQL, SSHD (!) en mail services zo te zien.
Maar goed. Je werkt met twee DHCP-configured netwerkconnecties met ieder een eigen defGW.

_Thanatos_ schreef op woensdag 18 juli 2012 @ 16:58:
Ik denk ook niet dat een DNS- of hosts-aanpassing gaat helpen, want daarin kun je volgens mij niet aangeven via welke interface die verbinding moet lopen, of wel?

maar wat is er nou mis met een paar handmatige regeltjes in je routing tabel inkloppen? Je gaat over die poorten toch naar hosts waar je over het bedrijfsnetwerk niet heen gaat lijkt me?

[ Voor 11% gewijzigd door Verwijderd op 19-07-2012 11:27 ]

_Thanatos_ schreef op donderdag 19 juli 2012 @ 13:05:
Daar is niets mis mee, maar hoe dan? Daar probeer ik het hele topic lang al achter te komen.

start - run - CMD
route help
en dan de instructies op je scherm volgen.

Volgens mij zit het hele probleem in het feit dat er 2 gateways gedefinieerd staan.
Inkomende traffic is uiteraard geen probleem, omdat deze zich al op de juiste NIC aanbiedt.

Uitgaande traffic gaat mis, aangezien je er 2 gateways op hebt zitten. Je zegt dus min of meer tegen je machine dat als de host die je wilt benaderen niet in hetzelfde segment zit, het package dan moet worden aangeboden aan de gateway... Maar op de ene gateway kom je op je LAN uit, en de andere gateway gaat naar extern. Als je dan niet specificeerd wat waar naartoe gaat, dan gaat het natuurlijk mis.

Nu kan je uiteraard wel weer dat op de machine zelf oplossen, maar echt duidelijker wordt het er daarmee niet op. Daarnaast kan je daar nog beste problemen mee krijgen als er bijvoorbeeld nieuwe netwerk-drivers worden geinstalleerd (worst case scenario zelfs automatische updates); daarmee zijn vaak ook je routing rules weer weg. Daarnaast zou een werkplek ook gewoon via DHCP moeten werken zeker en geen aparte routing rules moeten gaan bevatten; werkplekken moet je zo "dom" mogelijk maken en daarmee dus ook zo eenvoudig mogelijk te vervangen moeten zijn.

Een nettere oplossing is door je traffic over een router te laten routeren (want dat is wat je eigenlijk op je pc anders ook zou gaan doen). Je gebruikt dan nog 1 NIC, en je laat de traffic altijd naar diezelfde gateway (de router dus) toe bonjouren. Je router laat je vervolgens alle traffic naar je LAN routeren, met uitzondering van poort 22 (en eventueel nog andere poorten).

kroegtijger schreef op donderdag 19 juli 2012 @ 13:54:
mooi verhaal over routers

Volgens mij schrijft hij dat hij van netwerkbeheer niet allerhande freaky spul over het LAN mag laten lopen. Dat is een indicatie dat hij dus geen netwerkbeheerder is en dat de oplossing twee NICs te gebruiken ipv een extra router dus niet door hem, maar voor hem gemaakt is.

Verwijderd schreef op donderdag 19 juli 2012 @ 14:59:
[...]

Volgens mij schrijft hij dat hij van netwerkbeheer niet allerhande freaky spul over het LAN mag laten lopen. Dat is een indicatie dat hij dus geen netwerkbeheerder is en dat de oplossing twee NICs te gebruiken ipv een extra router dus niet door hem, maar voor hem gemaakt is.

Dat wil natuurlijk niet zeggen dat de aangeboden oplossing automatisch ook de beste is... Ook daar kan een netwerkbeheerder wel eens voor een oplossing kiezen die niet zo fraai is natuurlijk. Ik vind dat weinig motivatie om daarom maar pruts-werk te gaan aanbevelen. Het lijkt me dat je in eerste instantie voor de beste oplossing moet kiezen, en pas als dat geen optie is (bijvoorbeeld vanwegen de kosten) ga je naar alternatieven kijken lijkt me...

Ik denk dat een huis-tuin-en-keuken routertje aan een bedrijfsnetwekr plaatsen om een werkstation dingen te laten doen die je niet op je netwerk wilt hebben in potentia véél meer prutswerk is dan een paar routetabellen inkloppen, zeker als de eindgebruiker zelf verantwoording voor z'n routingtabel draagt. Als het leven echt zo klote is dat dat gemanaged moet worden maak je een .cmd filetje wat hij op z'n homedir kwakt en kan uitvoeren als hij z'n routes niet op orde heeft.
Nóg erger is een profi router neerhangen voor één werkstation. dan geef je duizend(en) euro('s) uit voor iets wat je even goed met een .cmd filetje kunt doen.

Ik zou dus heel voorzichtig zijn met iets "prutswerk" te noemen terwijl je de situatie misschien niet geheel kent.

Ow.
Is het gewoon dat je náár een ssh server/mySQL/whatevah wil connecten?
Is dat één en dezelfde host of subnet > extra route definieren over je wireless netwerk, en je gateway ordering aanpassen.

En dat kan inderdaad met een batchfile.

_Thanatos_ schreef op vrijdag 20 juli 2012 @ 12:27:
[...]

Right, maar ik zie nergens waar je een port opgeeft. Je kunt alleen IP-adressen en subnets en nogwat opgeven. Had je wel begrepen dat ik per port wil routeren en niet per IP-adres/subnet?

Kan niet zonder policybased routing en dat is niet native supported.
Maar jij weet wel de IP/hostnames van je targets dus kun je die wel naar je wireless GW routeren.

Zelfde effect.
En dus wat je wil.

Hoe moet dat dan met een cmd bestandje?

route /?
Kom op.

Wederom, ik zie niet waar ik dan moet aangeven welke port dan naar de andere NIC gaat...

Wederom, je kan niet native 'ports' doorsturen naar andere nics.
Wel naar de hosts waar je die ports op wil benaderen.

_Thanatos_ schreef op vrijdag 20 juli 2012 @ 12:27:
[...] Right, maar ik zie nergens waar je een port opgeeft. Je kunt alleen IP-adressen en subnets en nogwat opgeven. Had je wel begrepen dat ik per port wil routeren en niet per IP-adres/subnet?

Heb je mijn bericht hierboven wel gelezen of heb ik dat voor jan l*l in zitten kloppen?

/herhaling
Routering gebeurt op basis van bestemmings IP adres (of bestemmings netwerk). Punt.

Als jij die host waarnaar je wilt SSH'en alleen voor SSH wilt bereiken over de ene netwerk poort en voor alle andere protocollen bv http telnet enz., over een andere netwerk poort, dan zul je aan een policy router moeten gaan.

Gevalletje gezamenlijk veelste moeilijk doen?

Zet gewoon je externe adapter als primaire adapter in dit scherm:



Zodra je dan iets over de domain NIC moet hebben zal hij dat zelf kiezen omdat de 1e gateway het dan niet kan routeren.

_Thanatos_ schreef op vrijdag 20 juli 2012 @ 16:43:

[...]

chaoscontrol, waar zit dat schermpje verstopt? Ik kan nergens vinden...
/edit
Laat maar je moet naar Network Connections en dan op Alt drukken. Dan op Advanced en Advanced Settings. Hij zit dus wel echt verstopt

Ik wist het ook alleen nog van Windows XP toevallig dus had het daar ook zo gevonden. Zat goed verstopt ja maar zou precies moeten doen wat jij wil zonder rare statische routes etc in te stellen

Uh. Nee.
Dat ding beinvloed alleen de binding order voor de genoemde clients - wifi zet je bijvoorbeeld het liefst lager als je wil dat je NIC altijd prioriteit heeft (snelheid!) op SMB transfers.

Het doet niets met routing, want daar is die binding order niet voor.

Als je perse stronteigenwijs wil doen: ga dan fijn zoeken naar een stuk routingsoftware (3rdparty) en tover je doos om tot router.

Ik quote Knet nog maar even verbatimTrekstor:

Verwijderd schreef op donderdag 19 juli 2012 @ 11:26:
[...]

maar wat is er nou mis met een paar handmatige regeltjes in je routing tabel inkloppen? Je gaat over die poorten toch naar hosts waar je over het bedrijfsnetwerk niet heen gaat lijkt me?

Kortom:
Wat Knet, The Eagle, joopv en ik je zeggen is dat je met routing al hetgeen jij wil/moet (het bereiken van die paar speciale machines buiten het bedrijfsnetwerk) doen kan.

Alleen ben je te eigenwijs om dat te laten doordringen en verdom je het blijkbaar om de builtin routing uberhaupt te testen.

[ Voor 63% gewijzigd door alt-92 op 20-07-2012 18:35 ]

alt-92 schreef op vrijdag 20 juli 2012 @ 17:32:
Uh. Nee.
Dat ding beinvloed alleen de binding order voor de genoemde clients - wifi zet je bijvoorbeeld het liefst lager als je wil dat je NIC altijd prioriteit heeft (snelheid!) op SMB transfers.

Het doet niets met routing, want daar is die binding order niet voor.

Als je perse stronteigenwijs wil doen: ga dan fijn zoeken naar een stuk routingsoftware (3rdparty) en tover je doos om tot router.

Ik quote Knet nog maar even verbatim:
[...]

Kortom:
Wat Knet, The Eagle, joopv en ik je zeggen is dat je met routing al hetgeen jij wil/moet (het bereiken van die paar speciale machines buiten het bedrijfsnetwerk) doen kan.

Alleen ben je te eigenwijs om dat te laten doordringen en verdom je het blijkbaar om de builtin routing uberhaupt te testen.

EDIT: Nevermind, ik zal het eerst eens testen.

[ Voor 28% gewijzigd door chaoscontrol op 20-07-2012 18:07 ]

chaoscontrol:
je VPN doet waarschijnlijk geen split-tunneling (niet ongebruikelijk) en dan wordt sowieso alle verkeer via je VPN adapter gerouteerd.
Net als dialup adapters krijgen die bovendien nog een hogere metric qua IP routing dus ook dat telt nog eens mee in routing decisions.

Daar kun je omheen werken door verkeer bedoeld voor een aantal hosts op een andere gw te routeren - en dat is een kwestie van route add doen - waar je al gelijk een voorbeeld voor geeft inclusief NIC preference.

Moet je natuurlijk wel de moeite nemen om uberhaupt in te tikken.

Wat ik nou niet snap, en wat vást aan mij ligt, is dat thanatos heel druk bezig lijkt te zijn om port-based routing te willen doen (wat alleen kan met heel duur spul) terwijl hij nog steeds niet heeft aangegeven dat da tnodig is. Dat is namelijk uitsluitend dán nodig, als je naar éénzelfde host twee verschillende routes wilt nemen naar verschillende services. Maar dat wil geen kip. Ook TS niet, vermoed ik.

Als je weet welke hosts je heen wilt op poort 22 dan tief je die gewoon in je routing table voor je public netwerkkaart, en klaar is klara.

alt-92 schreef op vrijdag 20 juli 2012 @ 18:34:

offtopic:
ok, wat jij wil dan

[ Voor 32% gewijzigd door Verwijderd op 20-07-2012 18:56 ]

Misschien zou je het met Sandboxie voor elkaar kunnen krijgen. Draai die specifieke programma's in een sandbox en route al het verkeer in die sandbox over de gewenste interface. Wellicht een beetje dirty maar hey, als het werkt?