12. april 2003 - 01:22Der er
44 kommentarer og 1 løsning
Flere IP-adresser i XP
Jeg har en TDC BB-løsning med 6 ip'er. Det er ikke altid, at alle ip'erne er i samme subnet, og derfor kører jeg også IPX på maskinerne. Desværre er der nogle applikationer, som f.eks. Remote Desktop Connection, som kun kører over IP, og for at det ikke skal køre via WAN, har jeg brug for at kunne assigne alle maskinerne en manuel IP. Hvordan pokker gør jeg det i XP? Jeg har prøvet LAN-connection -> Properties -> TDCP/IP -> Properties -> Alternate Configuration. Her har jeg givet en maskine ip'en 10.0.0.1 og en anden 10.0.0.2 og subnet 255.0.0.0 og så disabled og enabled forbindelsen, men maskinerne kan hverken pinge sig selv eller hinanden på den manuelle ip. Hvad gør jeg galt?
Du må ikke selv give maskinerne en IP og slet ikke en som begynder med 10. Du skal sætte alle til selv automatisk at give en Ip adresse. Hvorfor køre IPX skulle absolut ikke være nødvendigt, kun hvis maskinerne skal spille mod hinanden. Aldrig en god ide at tilføje pga. sikkerheden.
Desværre, den med subnettet 255.255.255.0 har jeg prøvet, og hvis jeg sætter en manuel ip under fanebladet generelt, får den rigtigt nok en manuel ip, men så ryger den DHCP-tildelte ...
hvis du vil kombinerer dhcp og fast ip skal du lave nogle tricky ændringer i reg-databasen. Jeg vil helt klart foreslå du får fat i en router og dropper de 5 af ip-adresserne.
Du kan som riversen anbefaler anskaffe dig en router eller evt. en lille SOHO firewall (vil være min anbefaling, eks. har Watchguard nogle formidable små bokse) eller alternativt installere et ekstra netkort der kører "lokalt", det er mig bekendt ikke muligt at kombinere DHCP og statiske IP adresser på det samme kort.
Du kan stadig have en router/firewall, der router dine public IP adresser direkte igennem, men giver mulighed for et "internt net" med non public IP. Den illustrerede løsning har jo stort set ingen mulighed for en fornuftig sikkerhed. Men nevermind :o)
I øvrigt kan jeg da lige fortælle, at jeg ikke er enehersker over alle de dejlige ip'er. Vi er fire i hytten, og jeg låner de tre og vil så gu ha wan-ip'er.
John: For det første vil sådan en router koste mange knapper, for det andet, er du sikker på, at man kan få sådan en router til at trække alle 6 ip-adresser? Er det ikke nødvendigt med 6 netkort, før routeren på TDC's side vil afgive alle ip-adresserne?
Just for the record; wan er ikke lig public ip, it depends :o)
Som du ser af mit svar, har du på de fleste routere mulighed for at route dine public ip direkte + sætte sikkerhed op, samt spare "besværlig" specialkonfiguration. Men jeg respekterer din holdning, giver kun mit ydmyge besyv med i debatten :o)
Kender ikke lige til hvordan det er med TDC Brdbånd, men på ProAccess får routeren et IP nummer og så router TDC de faste IP numre til dette. "Opsplitning" sker i routeren, der igen kanaliserer direkte til din maskine. En sådan router koster vel fra et par tusinde, ved det ikke helt, men det virker. Jeg har selv kørt med dette, men kører nu med en firewall og NAT, så jeg bruger kun et IP nummer i dag.
Riversen: Ak, jeg kan ikke få din metode til at virke. Jeg har lokeret mit netkort, da der under denne key står min ip-adresse (under DhcpIPAddress) mm. IPAddress og SubnetMask står begge i forvejen til 0.0.0.0, og hvis jeg ændrer disse som foreslået på din side og disabler og enabler netværksforbindelsen, får jeg hverken DHCP-tildelt eller manuel ip. Har jeg misforstået noget?!
riversen: Hvis grav vil have 6 "servere", der eks. kan køre ftp bag routeren, så skal han jo i princippet bruge alle 6, men min forklaring er angivet herover. Det kan lade sig gøre.
Riversen: Jo, jeg har skam stadig brug for alle 6 ip-adresser, da jeg ikke ønsker at køre med LAN-ip'er. John: ProAccess (eller TDC BB prof.) kører med en anden protokol end TDC's privat-produkt.
grav: Tidligere kørte ProAccess med ATM, men jeg har selv kørt ProAccess med den samme firewall som jeg bruger nu, den kører standard ethernet. Eneste forskel er at BB kører DHCP og ProAccess fast IP.
Riversen: Præcist, derfor skriver jeg også i princippet :o) Men da pris tilsyneladende er et issue, er det vel relevant at sige at han skal have 6 IP numre, til den bemeldte netværkskonfiguration. Forestiller mig et eller andet med at alle fire gutter vil kunne fange deres maskiner udefra eks. via RDPClient ...?
John: Det er en protokol, der ligger et eller flere lag under DHCP. Kan desværre ikke huske hvad den hedder, men det er den, der gør at det ene produkt får tildelt ip'erne fra en router på DSLAM'en, og at det andet produkt selv kan administrere ip'erne hos brugeren. Så jeg tror jeg skal op og have fat i TDCs professionelle produkt, hvis det skal kunne lade sig gøre. Riversen: Har du nogle hints til, hvad jeg gør galt, jævnfør min tidligere beskrivelse?
John: Well, den konkrete situation er, at vi alle skal have mindst een wan-ip, så vi ikke generer hinandens lyst til at rode med servere og dets lige. Jeg har så været så heldig at få lov at bruge 3 af ip-adresserne. Jeg kunne i princippet godt begynde at rode med et lokalnetværk, men når jeg har muligheden for at få 3 WAN-ip'er, vil jeg gerne benytte mig af den. Mht. sikkerhed er jeg grundlæggende meget lidt nervøs for at blive "hacket" :-)
grav: Heri har du ret, kan faktisk godt huske jeg fik den forklaring af TDC da jeg skiftede fra ProAccess til BB. Jeg skiftede da min firewall gav mig de samme muligheder med et IP, som ProAccess gav mig før. Men jeg har også kun en af hver slags maskine bag min firewall. Antager at min beskrivelse af situationen hos Jer stemmer?
grav: prøv at tjekke din log på webserveren, du vil blive rystet over hvor meget "uatoriseret" trafik der er til din webserver. Over 90% stammer fra ubeskyttede maskiner der er tilsluttet via ADSL. Diverse ormeangreb o.s.v. Alle burde tage lidt mere ansvar og ikke bare sige "jeg er ikke nervøs", eller endnu bedre TDC og company burde opsætte centrale firewalls på kundernes ADSL forbindelser, der som minumum eliminerede de værste sikkerhedstrusler. Ubeskyttede ADSL net er en kæmpesikkerhedstrussel og det bliver værre dag for dag.
Bare et lille eksempel på loggen, fra de sidste to dage ... Nedenstående er uatoriserede adgangsforsøg, bemærk hvor mange (hvis ikke alle) der er fra ADSL opkoblede maskiner.
2003-04-11 12:44:48 80.62.34.29 - W3SVC6 GET 0 - - - 2003-04-11 12:46:52 80.62.9.213 - W3SVC6 GET 0 - - - 2003-04-11 13:18:31 80.62.9.213 - W3SVC6 GET 0 - - - 2003-04-11 13:50:55 80.62.34.29 - W3SVC6 GET 0 - - - 2003-04-11 14:18:09 80.62.78.147 - W3SVC6 GET 0 - - - 2003-04-11 14:28:43 80.181.188.169 - W3SVC6 GET 0 - - - 2003-04-11 14:54:44 80.117.223.115 - W3SVC6 GET 121 - - - 2003-04-11 18:09:15 80.62.9.213 - W3SVC6 GET 0 - - - 2003-04-11 18:29:34 80.62.9.213 - W3SVC6 GET 0 - - - 2003-04-11 21:56:09 80.62.34.29 - W3SVC6 GET 0 - - - 2003-04-11 23:05:31 80.62.9.213 - W3SVC6 GET 0 - - - 2003-04-11 23:18:00 80.62.9.213 - W3SVC6 GET 0 - - - 2003-04-11 23:24:24 80.62.9.213 - W3SVC6 GET 0 - - - 2003-04-11 23:43:18 217.21.114.149 - W3SVC6 CONNECT 50 207.46.181.13:25 - - #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 2003-04-12 00:30:30 #Fields: date time c-ip cs-username s-sitename cs-method sc-win32-status cs-host cs(User-Agent) cs(Referer) 2003-04-12 00:30:30 80.62.34.29 - W3SVC6 GET 0 - - - 2003-04-12 00:56:15 80.62.34.29 - W3SVC6 GET 0 - - - 2003-04-12 03:00:57 80.62.34.29 - W3SVC6 GET 0 - - - 2003-04-12 04:02:54 12.215.218.77 - W3SVC6 GET 0 - - - 2003-04-12 04:51:23 80.103.129.52 - W3SVC6 GET 0 - - - 2003-04-12 08:14:33 80.200.8.176 - W3SVC6 GET 0 - - -
John: Hvis jeg havde været en newbie ud i sikkerhedshensyn, havde en af mine ærede bofæller sikkert også proppet en firewall ned i halsen på mig. ;-) Og ja, jeg er bestemt offer for mange angreb på lige netop min webserver.
Men en tommelfingerregel er, at lader man være med at køre IIS (jeg kører Apache), og kan man finde ud af at klikke på det store, fine WindowsUpdate ikon i ny og næ, er man rimeligt godt sikret :-)
Riversen: Ingen bonus. Her er min nøjagtige fremgangsmåde: 1) Jeg skriver ipconfig /release i en kommandoprompt for at få fjernet DHCP-ip'en 2) Jeg finder mit netkort i regedit og giver ip-adressen 0.0.0.0 192.168.1.2 og subnet-masken 255.255.255.0 3) Jeg genstarter 4) Jeg skriver ipconfig i en kommandoprompt, og det eneste output jeg får er "Windows IP Configuration". Dvs. jeg har nu pludselig overhovedet ingen ip-adresse ...
Riversen: Som du skriver, er det som du skriver her i forummet, eller er det som du skriver på din hjemmeside. Du er nødt til at specificere, hvad jeg gør galt.
Har jeg just prøvet. Altså at sætte en fast ip via egenskaberne for TCP-IP'en. Genstarte maskinen og derefter starte på din guide på din hjemmeside (hvor jeg dog venter med det første trin mht. til DHCP til sidst). Men ak ...
Riversen: Har fået det til at virke nu. Når du skriver "Under denne streng skal du finde punktet 'IPAddress' hvor du fx skriver 0.0.0.0 192.168.0.2" forstod jeg det sådan at jeg skulle skrive "0.0.0.0 192.168.0.2" ud i een køre. Men det skal stå på hver sin linie. Tak for hjælpen :)
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
