Доступ к внутренней сети из интернета
 

Имеется сеть:

Не суть, но таким образом найдена проблема:
1 - Имеется программные продукты Filemaker (эпловский прототип MS Access), в работе по сети использует порт 5003
2 - На сервере установлено ПО - FileMaker Server 12, дает доступ к расшаренным базам.
3 - На компьютере 192.168.0.5, установлен Filmaker Pro 12, работа с базами, а также имеет аналогичные но урезанные функции сервера (ограниченное количество подключений).

Доступ к базам во внутренней (локальной) сети - есть.
Доступ к странице DSL_2640NRU из интернета (ввод динамического, внешнего ип модема в браузере) - есть.
Брандмауеры везде отключены.
Проброс портов (Forwarding port) делал на сервере, далее решил мучить свой слушебный ПК (присвоив ему статичского ИП в подсети с модемом):
1 - виртуальный сервер

2 - ДМЗ (читал, что тоже используется для проброса портов)

Какие еще варианты есть, чтобы открыть порт?

Наверно прикольно иметь сетку из различных устройств Apple но при этом зажать денег на нормальный шлюз и построить сеть на широпотребном DSL_2640NRU.

Простите, не совсем понятен вопрос.
Вас интересует чисто теоретически список всех способов которыми можно "открыть" порт? (таких, строго говоря, вообще не существует, но это уже скорее вопрос терминологии)
Или у Вас по каким-то причинам не получается выполнить перенаправление портов и Вы хотите найти какой-то другой способ? Или Вы всё-таки перенаправление выполнили, но порт из сети сканируется как закрытый?
Если бы Вы немного пояснили смысл своего вопроса, нам был бы легче Вам попытаться Вам помочь.

Не все сразу, работаем с тем что есть:)
Это намек на то, что проблема может быть в DSL_2640NRU?
Нет, не теоретически, а практический выход из ситуации. Просто незнаю уже что делать. И где искать проблему, несчитая провайдера.
Если по 2 и 3 рис. можно сказать, что я выполнил перенаправление - то да, ищу и другие способы и порт все таки закрыт.

Я попробую пояснить, если получится. Смысл: предоставить программе-клиенту, использующую 5003 порт, доступ к программе-серверу, тот же порт.

Нужно уточнение вопроса: на каком комп-е работает программа-сервер и на каких клиенты. Что работает и что не работает в настоящее время.
Используйте cisco, они надежнее работают и гибче настраиваются.
Если на 0.5 (DMZ) из локалки не работает, то так и должно, но на сервере базы, наверно уж, работают или нет?

kairden, А у Вас ip белый хоть?

Это намек на то что данного оборудования в организации быть вообще не должно.
И да, сложно диагностировать проблемы на таком оборудовании.
Особенно D-link у которых прошивки пишут китайцы, хотя у всех бюджетников пишут китайцы...

Программа-сервер работает на сервере (рис. 1), клиенты - все стац и портат пк. В настоящее время не работает доступ из интернета, к компьютерам внутренней (локальной) сети.
Если имеешь ввиду - доступ к базам внутри сети (локально), то - да.
Насколько вероятно, что новое оборудование решит проблему?
То, что проблема может исхоить от провайдера - возможно?

kairden, спасибо, теперь понятно. У Вас не получается "открыть" порт.
При этом у Вас очень хорошо сформулирован исходный вопрос. Не хватало только фразы о том, что доступа к программе-серверу на 192.168.0.5 из интернета всё равно почему-то нет.
Давайте пойдем по пунктам.
Исходя из того что Вы написали, видно, что все необходимые действия Вами выполнены. Но результата нет.
Для начала Вы можете просканировать Ваш внешний ip чем-нибудь вроде nmap и показать результаты (только порты, Ваш ip не нужен).
Вопрос второй - можете тем же nmap просканировать 192.168.0.5 из сети?
Вопрос третий, есть ли у Вас под рукой какой-нибудь сниффер? Wireshark или tcpdump - я ПО Mac'ов, к сожалению, не знаю.

Поясняю причину, по которой я задал такие вопросы: Вы допускаете возможность, что программе-серверу требуется еще какой-нибудь порт?

kairden, я вот смотрю на ваш скриншот настроек виртуальных серверов и не могу понять, как можно одновременно пробрасывать порты для разных подсетей??? У вас внутренняя сеть шлюза точно 192.168.0.х?

Я думаю, это сеть класса "B", а не С.

Непохоже, ибо
То есть получается, сервер еще служит шлюзом между подсетью 192.168.0.х и 192.168.1.х.

Возможно причина каким-то образом связана с подсетями/коммутатором? Не думаю, что дело в Д-Линке, тем более что доступ к его интерфейсу из Интернета есть.

Если так, то порты проброшены в разные подсети - ничего особенного в этом тоже нет. NAT - это ведь всего лишь процедура замены в заголовке IP пакета одного адреса другим. Нет никаких ограничений на адреса которые или на которые заменяют. Если они из другой сети - какая разница? Главное чтобы их могли потом правильно маршрутизировать. А маршрутизироваться они должны правильно, потому что DNAT всегда выполняется в цепочке PREROUTING.

Так информацию по поводу ip мы не узнаем?

Автор написал, что доступ к http-серверу маршрутизатора из сети есть. С вероятностью 99% это означает наличие публичного ip. Согласитесь, глупо было бы со стороны провайдера выполнять NAT и переадресовывать единственный порт - всё равно публичных ip понадобится столько же, сколько есть клиентов.
Скорее уж можно было бы задать вопрос не выполняет ли провайдер фильтрацию портов. Я не стал его задавать, поскольку если порты и фильтруются, то всегда только привилегированные.

Я лишь хотел удостовериться, что шлюз и компьютер с программой-сервером находятся в одной подсети. Лично для меня очень странно наблюдать проброс в разные подсети, да еще и на устройство 192.168.1.224, которого на схеме не предусмотрено. :) А это означает, что схема не отражает всей картины сети.

kairden, вы можете на вашем служебном компьютере включить удаленный рабочий стол, пробросить 3389-й порт на ваш ПК и проверить его работоспособность? Или вы пробрасываете порт 8080. Что это и работает ли это правило?

Да, вы правы, не заметил...

Для решения этой задачи Вам нужно или заменять/использовать другое оборудование с vpn (лучше cisco) или ставить между dlink и коммутатором дополнительный компьютер с двумя сетевыми и с Kerio Winroute Firewall (Control) или аналогичным - больше настраивать.
На имеющемся dlink не получится

Здравствуйте, я извинясь за долгое отсутствие.
Вижу, на многие вопросы адресованые мне уже давно ответили... но все равно попробую ответить сам.
Я незнаю что это значит, просто ввожу временный внешний ип-адрес присвоенный модему.
Также вхожу через домен (динднс.орг), ситуация аналогичная.
192.168.0.5 - я специально присвоил этот ип своему пк, думал этот поможет.
я сканировал проброшенные порты некоторыми интернет-ресурсами - везде дали понять что порт пингуется, но закрыт.
Внутри сети, все работает независимо от ип адресов, а с интернета нет.
Я тоже ПО Маков плохо знаю, а еще я незнаю что такое сниффер, Wireshark или tcpdump:) Я погуглю, попробую и отпишусь по этому члучаю.
Я задавал диапазон портов для ТСП и УДП 1-[max] - ситуация не менялась.
Внутренняя сеть шлюза или шлюз внутренней сети? Если первое - я незнаю, второе - единственное что могу написать: у коммутатора ДГС 1216Т шлюз отличный.
Мне почему то кажется, что проблема именно в этом... Я звонил им, они предложили стат ип, и отключили НАТ - ситуация не изменилась.
Изначально это был ип адрес сервера, я забыл почистить список вирт серверов.
Удаленный раб стол во внутренней сети работает.
Через коммутатор, в предистории я же писал, что не могу на прямую подключиться к ДСЛ-роутеру.

Completed Ping Scan at 17:28, 0.08s elapsed (1 total hosts)

Initiating Parallel DNS resolution of 1 host. at 17:28

Completed Parallel DNS resolution of 1 host. at 17:28, 11.75s elapsed

Initiating SYN Stealth Scan at 17:28

Scanning 91.185.30.188 [1000 ports]

Discovered open port 80/tcp on 91.185.30.188

Discovered open port 23/tcp on 91.185.30.188

Discovered open port 8888/tcp on 91.185.30.188

Discovered open port 5431/tcp on 91.185.30.188

Completed SYN Stealth Scan at 17:28, 0.83s elapsed (1000 total ports)

Initiating Service scan at 17:28

kairden, telnet лучше было бы запретить. Уж во всяком случае из интернета...

Сейчас посмотрел какие порты использует filemaker и мне кажется, что одного 5003 ему мало: http://help.filemaker.com/app/answer...d-port-numbers
Я ошибаюсь или это действительно так?

Порт не может пинговаться если он закрыт.
Называйте вещи своими именами. TCP и UDP.
Самое время погуглить.
Скорее всего потому что фильтруют.
Многие провайдеры на динамических ip режут протокол GRE и другие.

Не одного порта проброшенного вами на рисунке я не вижу.

Я только что просканировал ip автора и получил такие результаты:
Прошу отметить, что порт 5003 имеет статус "closed", а не "filtered" - то есть он всё-таки перенаправлен на сервер.


P.S. Автору: может быть Вы попробовали бы отключить DMZ и "пробросить" остальные используемые filemaker'ом порты на 192.168.0.5? Займет ровно 5 мин

Нет, вы не ошибаетесь, просто 16ххх используются для консоли админа, чтобы удаленно управлять приложением-сервер без удал раб стола (как в юзер гейте).
2399 - ODBC
80 - работа с базой в браузере (можно менять), самая полезная вещь в этой программе - своего рода бесплатный клиент, лицензия 300$ стоит. для халявщиков существует еще версия GO для iPad и iPhone.
Наверно потому, что я не умею пользоваться программой Nmap - Zenmap GUI?
Значит проблем с провайдером нет?
Где то читал, что надо диапазон открывать 5002-5004.
DMZ был отключен.
У меня сервер не был запущен, из-за этого может быть closed?

Dear kairden,
У программы Nmap очень много различных настроек.
О них можно почитать на официальном сайте.
Closed обозначает что порт открыт но ответа Nmap так и не получил.
Вполне возможно что из-за того что сервер был отключен.

Именно изза этого, как справедливо отметил предыдущий товарищ.

Проблема решена.
Всем спасибо, особо благодарен Rezor666, который сразу с оскорбительным тоном намекнул на суть проблемы.
Программой используется 5003 порт, который блокировался модемом DSL_2640NRU (Также модем не позволяет использовать 80 порт, резервируя его под свою админку, но порты для uTorrent, MediaGet автоматом сам пробрасывает).

Рад стараться :)
Задумайтесь над покупкой нормального роутера :)