как попасть в сеть за натом
 

собственно сабж
имеется роутер netgear WGR614v9 висящий на статическом внешнем ипе
к роутеру физически доступ получить не могу
к роутеру имею доступ на веб интерфейс
телнет можно активировать(я как понял через чтото типа сплойта) подключившись в один из лан портов.
прошивка на роутере крайне урезаная и может он не много, а именно
отображать ип---нетбиос имя---мак в красивой табличке
порт форвардинг
некий dmz, если можно то в 2х словах что это
служба DynDNS
статическая маршрутизация
upnp
ну собственно и все...

вот мне интересно как лучше достучаться до компьютеров находящихся внутри сети и имеющих адрес 192.168.1.х

первое что пришло в голову впн, но ни сервера ни клиента я на этом роутере не нашол, апнуть прошивку до более новой, которая вроде держит туннели опять же не совсем могу, придется ввоодить ип маску шлюз, хотя можно попросить это сделать клиента чей роутер, но это палево, да еще и тупо уж больно. просачиваться на территорию обьекта и самому по вай фаю настраивать то же не охота, по этому либо заливать прошивку с уже вбитыми в нее ипами или отложить пока что этот вариант

после долгих :) размышлений вспомнил про днс, я думаю это самый прикольный вариант)) думаю сделать свой комп с внешним статич ипом днской и чтобы он ВСЕ днс имена резолвил на мой ип, на котором естественно будет висеть наверно апач и впаривать троев\логеров\etc с красивой надписью 'Вам это нужно для защищенной работы интернета' на фоне скажем yandex.ru или чего нибуть аналогичного))
вариант в целом не плохой и думаю наверно лучший но на линь(ubuntu UE 1.8) я перешол недавно и этот вариант займет много времени и сил, хотя ядумаю остановиться на нем.

в внутренней сети используются в основном ХР и одна тачка под 2000, админа нет, окошки жутко тормазят на всех компах, рабочий стол сильно загажен, визуальных оформлений никаких нет, и исходя из этого надеюсь что часть из них окажется без заплаток, ну я в этом больше чем уверен. точную версию окошек и остальное не смотрел, думал не понадобится... наивный


в общем слушаю ваши идеи по сему вопросу, буду рад любой помощи.
в гугл не отправлять, нахажусь именно там и ищу инфу по данному вопросу
тема про то как Лучше и Прощще получить доступ к внутренней офисной сети а не как получить админку на каждом из компов
если создал тему не там где надо, звиняйте
за орфографию и опечатки опятьже извиняюсь заранее


ах да, забыл упомянуть две вещи
я 2 часа бился с красивой разводкой кабелей по офису, засрал свою любимую футболку, и в благодврность получил только 'Вы наш интернет провайдер и должны все это сделать бесплатно' мне стало это крафне неприятно, в большей части потому что данные работы никак не входят в мои обязаности и еще то что клиент сказал что оплатит работу мастера на месте, как выбить с них деньги я уже придумал а заодно и получить на халяву новенький роутер)) но трафик у нас не дешовый и перегнать через них 20-30 гигов думаю будет нормальной платой за жадность и наглость людей

ну по настройке железки хз ибо сам не видел что там внутри НО если доступна настройка DNS или статической маршрутизации то ты можешь завернуть весь трафф через свой сервак осуществив тем самым атаку man-in-the-middle со всеми вытекающими.

Демилитаризованая зона - зона вне правил твоего основного конфига. Настраивается на определенный порт свича например и нанем вешается ВебСайт Файлообменник или что то еще. Тоесть Служит зона с ограниченной безопасностью.
(http://ru.wikipedia.org/wiki/DMZ)

по поводу остального не осилил - но если это все что ты можешь паравить в свиче - то другого варианта нет - только подмена днс или маршрутов.

Ты подключен к этому маршрутеру физически или нет?!

1) Делаешь порт форвардинг на один из внутренних компов и ломаешь ч/з какой-нибудь бажный сервис
2) Устанавливаешь на ломанную тачку впн клиент который коннектится на твой впн сервер

проще тогда уж через редирект траффа протроянить и сделать бекконект

1) Делаешь порт форвардинг на один из внутренних компов и ломаешь ч/з какой-нибудь бажный сервис

НЕ ОСИЛИЛ - порты то он не физические пробрасывает а порты логические - че ему даст проброс порта. а ну ка подробнее - чет я туплю может?

даст доступ к определенному сервису на конечной тачке. например порт 1500 белого ип привязать к 21 порту локальной машины

спасибо товарищи, пробросить порты я попробовал но чот ничо путного не вышло((( что я делал
1 посмотрел на роутере активных пользователей, ну кто подключен к нету через роутер, там в табличке ип---нетбиос имя----мак
2 пробросил диапазон портов 1-1000 на один из компов с вин ХР
3 просканил nmap'ом и он мне только показал один открытый 1080 порт, на который я настроил управление через веб интерфейс (((

пров блочит 135 137 139 и 445 вроде и все, фаера вроде на компах не было когда я сетку настраивал.
вроде на этом роутере порты можно пробрасывать только так
внешний_ип:21----внутренний_ип:21 посему эти порты как я понял для меня теперь недоступны из вне

подключаюсь к роутеру через инет
мож я nmap'ом неправильно пользуюсь, но мой шлюз и другие компы сканились просто отлично, роутер тоже просканился чотко

просто заверни трафф и протроянь - имхо это самый простой способ. даже на паблик софте получиться должно

в смысле заверни??? сделать свой комп шлюзом и в статических маршрутах пропистаь путь до шлюза, если да то как лучше это сделать, или скажите что в гугле поискать