Jump to content

Маршрутизация

expe
 Share

Recommended Posts

expe

expe

Posted
Posted (edited)

Может есть на этом форуме гуру, который скажет в чем причина и как ее можно обрулить:

Есть Сервер с Win2k3, на нем три сетевых карты со статическими IP адрессами. например у одной 10.0.0.1 (провод идет в локальную сеть), 11.0.0.2 (провод идет в оборудование провайдера, этот адресс виден с интернета), 12.0.0.1 (провод идет в свичь 5 портов, в который вставлен еще наш сервер у которого две сетевухи, одна 12.0.0.2 и провод идет в 5 портовый свичь, вторая 10.0.0.2 провод идет в локальную сеть). Так вот адресса 12.0.0.х тоже выдал провайдер и они должны быть видны с интернета, но проблема их настроить. Мне нужно чтобы с интернета были одновременно видны адресса 12.0.0.2 и 11.0.0.2. На интерфейсе 11.0.0.2 включен NAT (RRAS сервис) и через него пользователи локальной сети юзают интернет. И в этом случае на 12.0.0.2 трафик из интернета не ходит... когда удаляю интерфейс 11.0.0.2 из списка NAT, то 12.0.0.2 начинает из вне пинговаться... (в службе RRAS включена обычная маршрутизация). Так вот как бы сделать чтобы и NAT работал, чтобы пользователи могли юзать интернет, и чтобы второй сервер был виден из интернета со своим IP адрессом, который выдал провайдер... Грубо говоря чтобы и обычная IP маршрутизация работала и NAT работал одновременно. Как видно из схемы подсети везде разные....

Edited by expe
expe

expe

Posted
  • Author
Posted

А для чего используется интерфейс 12.0.0.1 ?

ну у 12.0.0.2 должен же быть какой-то шлюз? вот 12.0.0.1 это он и должен быть.....

Iapetus

Iapetus

Posted
Posted (edited)

Схема кривоватая. Правильнее линк от провайдера воткнуть в 5-портовый свич, включить роутер в свич из сетевой с адресом 11.0.0.1, а на второй сервер выдать адрес 11.0.0.3, вместо 12.0.0.2.

Edited by Iapetus
Grey

Grey

Posted
Posted
Может есть на этом форуме гуру, который скажет в чем причина и как ее можно обрулить:

Есть Сервер с Win2k3, на нем три сетевых карты со статическими IP адрессами. например у одной 10.0.0.1 (провод идет в локальную сеть), 11.0.0.2 (провод идет в оборудование провайдера, этот адресс виден с интернета), 12.0.0.1 (провод идет в свичь 5 портов, в который вставлен еще наш сервер у которого две сетевухи, одна 12.0.0.2 и провод идет в 5 портовый свичь, вторая 10.0.0.2 провод идет в локальную сеть). Так вот адресса 12.0.0.х тоже выдал провайдер и они должны быть видны с интернета, но проблема их настроить. Мне нужно чтобы с интернета были одновременно видны адресса 12.0.0.2 и 11.0.0.2. На интерфейсе 11.0.0.2 включен NAT (RRAS сервис) и через него пользователи локальной сети юзают интернет. И в этом случае на 12.0.0.2 трафик из интернета не ходит... когда удаляю интерфейс 11.0.0.2 из списка NAT, то 12.0.0.2 начинает из вне пинговаться... (в службе RRAS включена обычная маршрутизация). Так вот как бы сделать чтобы и NAT работал, чтобы пользователи могли юзать интернет, и чтобы второй сервер был виден из интернета со своим IP адрессом, который выдал провайдер... Грубо говоря чтобы и обычная IP маршрутизация работала и NAT работал одновременно. Как видно из схемы подсети везде разные....

имхо:

1. свитч (слева по схеме) убрать.

2. на роутере сказать NAT-у чёб не натил белые адреса.

3. адрес 12.0.0.1 перенести алиасом на интерфейс с адресом 10.0.0.1 (на этом интерфейсе шлюз указывать не надо)

4. адрес 12.0.0.2 перенести на интерфейс с адресом 10.0.0.2, а 10.0.0.2 сделать алиасом на этом же интерфейсе (т.е. основной адрес 12.0.0.2, шлюз 12.0.0.1 маска соответственно, алиасом 10.0.0.2)

5. лишние интерфейсы (оставшиеся без адреса) или убрать или оставить для красоты :)

expe

expe

Posted
  • Author
Posted

Схема кривоватая. Правильнее линк от провайдера воткнуть в 5-портовый свич, включить роутер в свич из сетевой с адресом 11.0.0.1, а на второй сервер выдать адрес 11.0.0.3, вместо 12.0.0.2.

В том-то и дело что схема кривоватая. Во первых 11.0.0.1 у меня на схеме вообще нету, во вторых если имелось ввиду 11.0.0.2, то этот адресс выдал провайдер и в этой подсети только его, т.е. я не могу написать 11.0.0.3. Суть в чем: за нами был закреплен один адресс 11.0.0.2, мы попросили выдать нам дополнительный пул адрессов, потому что 1 адресса нам мало, так они выдали нам 12.0.0.х адресса и прописали их маршрутизацию на своем 11.0.0.1, т.е. для нас проблема встала настроить подсеть 12.0.0.х через 11.0.0.2, через который идет NAT локальной сети 10.0.0.х

expe

expe

Posted
  • Author
Posted
имхо:

1. свитч (слева по схеме) убрать.

2. на роутере сказать NAT-у чёб не натил белые адреса.

3. адрес 12.0.0.1 перенести алиасом на интерфейс с адресом 10.0.0.1 (на этом интерфейсе шлюз указывать не надо)

4. адрес 12.0.0.2 перенести на интерфейс с адресом 10.0.0.2, а 10.0.0.2 сделать алиасом на этом же интерфейсе (т.е. основной адрес 12.0.0.2, шлюз 12.0.0.1 маска соответственно, алиасом 10.0.0.2)

5. лишние интерфейсы (оставшиеся без адреса) или убрать или оставить для красоты :)

А разве в одной тупой сети (через тупые свичи) не должно быть не более одной подсети? или я не шарю.... мне вот и надо было выделить новую подсеть в отдельную физическую сеть, для этого и свичь, и там будет стоять не один сервер, а три или четыре, и че мне теперь в мою локалку запердолить другую подсеть..... как-то я даже не знаю, нет другого способа? почему же тогда в моей текущей схеме не работает, что нешает конкретно, не могу понять... потому что пакеты с 12.0.0.2 ходит в интернет и даже возвращается обратно, а вот с интернета что-то не даёт пройти
Grey

Grey

Posted
Posted (edited)
имхо:

1. свитч (слева по схеме) убрать.

2. на роутере сказать NAT-у чёб не натил белые адреса.

3. адрес 12.0.0.1 перенести алиасом на интерфейс с адресом 10.0.0.1 (на этом интерфейсе шлюз указывать не надо)

4. адрес 12.0.0.2 перенести на интерфейс с адресом 10.0.0.2, а 10.0.0.2 сделать алиасом на этом же интерфейсе (т.е. основной адрес 12.0.0.2, шлюз 12.0.0.1 маска соответственно, алиасом 10.0.0.2)

5. лишние интерфейсы (оставшиеся без адреса) или убрать или оставить для красоты :)

А разве в одной тупой сети (через тупые свичи) не должно быть не более одной подсети? или я не шарю.... мне вот и надо было выделить новую подсеть в отдельную физическую сеть, для этого и свичь, и там будет стоять не один сервер, а три или четыре, и че мне теперь в мою локалку запердолить другую подсеть..... как-то я даже не знаю, нет другого способа? почему же тогда в моей текущей схеме не работает, что нешает конкретно, не могу понять... потому что пакеты с 12.0.0.2 ходит в интернет и даже возвращается обратно, а вот с интернета что-то не даёт пройти

в одном сегменте (так это называется) может быть сколько угодно IP подсетей, не вижу проблемы.

вообще, можно и так решать как у вас начато, только однозначно надо разбираться с NAT-ом.... вторую белую подсеть надо пропустить мимо ната... как это вы на винде сделаете - вам и карты в руки... :)

 

в свою локалку можно и "запердолить", почему нет?, только необходимо предпринять меры чёб юзеры не могли самовольно присваивать себе ip из другой подсети (в идеале вообще менять ip не должны)... ну т.е. попробовать может и смогут, но чтоб при этом ничего не работало :) Т.е. сейчас не обсуждаем вашу внутреннюю политику безопасности ... если у вас в сети анархия - дело ваше, это поставленной задачи не касается ...

...

у вас есть пограничный роутер, на нём NAT... всё логично и правильно... какие свичи использовать внутри - ваше дело, но для второй белой подсети необходимо просто пропустить траифк внутрь сети в обход NAT-а... имхо вот и всё... если хотите секурнее - решайте вопрос со сменой адресов клиентами и на роутере организуйте "этому можно то-то, а этому низя то-то" т.е. в фаерволе рулите ...

а ещё один свич, ещё один сетевой интерфейс в сервере ... думаю это ненужная избыточность в сети ....

или тогда пусть к серверу клиенты ходят не по серому адресу а по белому ... опять же мимо НАТ (это надо в любом случае настроить) .... тогд авторая сетёвка на сервере с серым адресом и не нужна :)

 

P.S. вообще задача самая заурядная .... на FreeBSD к примеру решается за пару минут ... (роутер из винд ыделать не привык, да ещё и в инет его выставлять) ;)

Edited by Grey
expe

expe

Posted
  • Author
Posted
в одном сегменте (так это называется) может быть сколько угодно IP подсетей, не вижу проблемы.

вообще, можно и так решать как у вас начато, только однозначно надо разбираться с NAT-ом.... вторую белую подсеть надо пропустить мимо ната... как это вы на винде сделаете - вам и карты в руки... :)

 

в свою локалку можно и "запердолить", почему нет?, только необходимо предпринять меры чёб юзеры не могли самовольно присваивать себе ip из другой подсети (в идеале вообще менять ip не должны)... ну т.е. попробовать может и смогут, но чтоб при этом ничего не работало :) Т.е. сейчас не обсуждаем вашу внутреннюю политику безопасности ... если у вас в сети анархия - дело ваше, это поставленной задачи не касается ...

...

у вас есть пограничный роутер, на нём NAT... всё логично и правильно... какие свичи использовать внутри - ваше дело, но для второй белой подсети необходимо просто пропустить траифк внутрь сети в обход NAT-а... имхо вот и всё... если хотите секурнее - решайте вопрос со сменой адресов клиентами и на роутере организуйте "этому можно то-то, а этому низя то-то" т.е. в фаерволе рулите ...

а ещё один свич, ещё один сетевой интерфейс в сервере ... думаю это ненужная избыточность в сети ....

или тогда пусть к серверу клиенты ходят не по серому адресу а по белому ... опять же мимо НАТ (это надо в любом случае настроить) .... тогд авторая сетёвка на сервере с серым адресом и не нужна :)

 

P.S. вообще задача самая заурядная .... на FreeBSD к примеру решается за пару минут ... (роутер из винд ыделать не привык, да ещё и в инет его выставлять) ;)

В общем времени было в обрез, решил эту проблему иначе. Поставил впереди роутер.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.