Перейти к содержимому
Калькуляторы

Маршрутизация сложности

Ответить

expe   

expe
Опубликовано (изменено) · Жалоба

Может есть на этом форуме гуру, который скажет в чем причина и как ее можно обрулить:

Есть Сервер с Win2k3, на нем три сетевых карты со статическими IP адрессами. например у одной 10.0.0.1 (провод идет в локальную сеть), 11.0.0.2 (провод идет в оборудование провайдера, этот адресс виден с интернета), 12.0.0.1 (провод идет в свичь 5 портов, в который вставлен еще наш сервер у которого две сетевухи, одна 12.0.0.2 и провод идет в 5 портовый свичь, вторая 10.0.0.2 провод идет в локальную сеть). Так вот адресса 12.0.0.х тоже выдал провайдер и они должны быть видны с интернета, но проблема их настроить. Мне нужно чтобы с интернета были одновременно видны адресса 12.0.0.2 и 11.0.0.2. На интерфейсе 11.0.0.2 включен NAT (RRAS сервис) и через него пользователи локальной сети юзают интернет. И в этом случае на 12.0.0.2 трафик из интернета не ходит... когда удаляю интерфейс 11.0.0.2 из списка NAT, то 12.0.0.2 начинает из вне пинговаться... (в службе RRAS включена обычная маршрутизация). Так вот как бы сделать чтобы и NAT работал, чтобы пользователи могли юзать интернет, и чтобы второй сервер был виден из интернета со своим IP адрессом, который выдал провайдер... Грубо говоря чтобы и обычная IP маршрутизация работала и NAT работал одновременно. Как видно из схемы подсети везде разные....

Изменено пользователем expe

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Ева   

Ева
Опубликовано · Жалоба

А для чего используется интерфейс 12.0.0.1 ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

expe   

expe
Опубликовано · Жалоба

А для чего используется интерфейс 12.0.0.1 ?

ну у 12.0.0.2 должен же быть какой-то шлюз? вот 12.0.0.1 это он и должен быть.....

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

expe   

expe
Опубликовано · Жалоба

Up

вот если что картинка, может поможет облегчить понимание схемы

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Iapetus   

Iapetus
Опубликовано (изменено) · Жалоба

Схема кривоватая. Правильнее линк от провайдера воткнуть в 5-портовый свич, включить роутер в свич из сетевой с адресом 11.0.0.1, а на второй сервер выдать адрес 11.0.0.3, вместо 12.0.0.2.

Изменено пользователем Iapetus

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Grey   

Grey
Опубликовано · Жалоба
Может есть на этом форуме гуру, который скажет в чем причина и как ее можно обрулить:

Есть Сервер с Win2k3, на нем три сетевых карты со статическими IP адрессами. например у одной 10.0.0.1 (провод идет в локальную сеть), 11.0.0.2 (провод идет в оборудование провайдера, этот адресс виден с интернета), 12.0.0.1 (провод идет в свичь 5 портов, в который вставлен еще наш сервер у которого две сетевухи, одна 12.0.0.2 и провод идет в 5 портовый свичь, вторая 10.0.0.2 провод идет в локальную сеть). Так вот адресса 12.0.0.х тоже выдал провайдер и они должны быть видны с интернета, но проблема их настроить. Мне нужно чтобы с интернета были одновременно видны адресса 12.0.0.2 и 11.0.0.2. На интерфейсе 11.0.0.2 включен NAT (RRAS сервис) и через него пользователи локальной сети юзают интернет. И в этом случае на 12.0.0.2 трафик из интернета не ходит... когда удаляю интерфейс 11.0.0.2 из списка NAT, то 12.0.0.2 начинает из вне пинговаться... (в службе RRAS включена обычная маршрутизация). Так вот как бы сделать чтобы и NAT работал, чтобы пользователи могли юзать интернет, и чтобы второй сервер был виден из интернета со своим IP адрессом, который выдал провайдер... Грубо говоря чтобы и обычная IP маршрутизация работала и NAT работал одновременно. Как видно из схемы подсети везде разные....

имхо:

1. свитч (слева по схеме) убрать.

2. на роутере сказать NAT-у чёб не натил белые адреса.

3. адрес 12.0.0.1 перенести алиасом на интерфейс с адресом 10.0.0.1 (на этом интерфейсе шлюз указывать не надо)

4. адрес 12.0.0.2 перенести на интерфейс с адресом 10.0.0.2, а 10.0.0.2 сделать алиасом на этом же интерфейсе (т.е. основной адрес 12.0.0.2, шлюз 12.0.0.1 маска соответственно, алиасом 10.0.0.2)

5. лишние интерфейсы (оставшиеся без адреса) или убрать или оставить для красоты :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

expe   

expe
Опубликовано · Жалоба

Схема кривоватая. Правильнее линк от провайдера воткнуть в 5-портовый свич, включить роутер в свич из сетевой с адресом 11.0.0.1, а на второй сервер выдать адрес 11.0.0.3, вместо 12.0.0.2.

В том-то и дело что схема кривоватая. Во первых 11.0.0.1 у меня на схеме вообще нету, во вторых если имелось ввиду 11.0.0.2, то этот адресс выдал провайдер и в этой подсети только его, т.е. я не могу написать 11.0.0.3. Суть в чем: за нами был закреплен один адресс 11.0.0.2, мы попросили выдать нам дополнительный пул адрессов, потому что 1 адресса нам мало, так они выдали нам 12.0.0.х адресса и прописали их маршрутизацию на своем 11.0.0.1, т.е. для нас проблема встала настроить подсеть 12.0.0.х через 11.0.0.2, через который идет NAT локальной сети 10.0.0.х

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

expe   

expe
Опубликовано · Жалоба
имхо:

1. свитч (слева по схеме) убрать.

2. на роутере сказать NAT-у чёб не натил белые адреса.

3. адрес 12.0.0.1 перенести алиасом на интерфейс с адресом 10.0.0.1 (на этом интерфейсе шлюз указывать не надо)

4. адрес 12.0.0.2 перенести на интерфейс с адресом 10.0.0.2, а 10.0.0.2 сделать алиасом на этом же интерфейсе (т.е. основной адрес 12.0.0.2, шлюз 12.0.0.1 маска соответственно, алиасом 10.0.0.2)

5. лишние интерфейсы (оставшиеся без адреса) или убрать или оставить для красоты :)

А разве в одной тупой сети (через тупые свичи) не должно быть не более одной подсети? или я не шарю.... мне вот и надо было выделить новую подсеть в отдельную физическую сеть, для этого и свичь, и там будет стоять не один сервер, а три или четыре, и че мне теперь в мою локалку запердолить другую подсеть..... как-то я даже не знаю, нет другого способа? почему же тогда в моей текущей схеме не работает, что нешает конкретно, не могу понять... потому что пакеты с 12.0.0.2 ходит в интернет и даже возвращается обратно, а вот с интернета что-то не даёт пройти

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Grey   

Grey
Опубликовано (изменено) · Жалоба
имхо:

1. свитч (слева по схеме) убрать.

2. на роутере сказать NAT-у чёб не натил белые адреса.

3. адрес 12.0.0.1 перенести алиасом на интерфейс с адресом 10.0.0.1 (на этом интерфейсе шлюз указывать не надо)

4. адрес 12.0.0.2 перенести на интерфейс с адресом 10.0.0.2, а 10.0.0.2 сделать алиасом на этом же интерфейсе (т.е. основной адрес 12.0.0.2, шлюз 12.0.0.1 маска соответственно, алиасом 10.0.0.2)

5. лишние интерфейсы (оставшиеся без адреса) или убрать или оставить для красоты :)

А разве в одной тупой сети (через тупые свичи) не должно быть не более одной подсети? или я не шарю.... мне вот и надо было выделить новую подсеть в отдельную физическую сеть, для этого и свичь, и там будет стоять не один сервер, а три или четыре, и че мне теперь в мою локалку запердолить другую подсеть..... как-то я даже не знаю, нет другого способа? почему же тогда в моей текущей схеме не работает, что нешает конкретно, не могу понять... потому что пакеты с 12.0.0.2 ходит в интернет и даже возвращается обратно, а вот с интернета что-то не даёт пройти

в одном сегменте (так это называется) может быть сколько угодно IP подсетей, не вижу проблемы.

вообще, можно и так решать как у вас начато, только однозначно надо разбираться с NAT-ом.... вторую белую подсеть надо пропустить мимо ната... как это вы на винде сделаете - вам и карты в руки... :)

 

в свою локалку можно и "запердолить", почему нет?, только необходимо предпринять меры чёб юзеры не могли самовольно присваивать себе ip из другой подсети (в идеале вообще менять ip не должны)... ну т.е. попробовать может и смогут, но чтоб при этом ничего не работало :) Т.е. сейчас не обсуждаем вашу внутреннюю политику безопасности ... если у вас в сети анархия - дело ваше, это поставленной задачи не касается ...

...

у вас есть пограничный роутер, на нём NAT... всё логично и правильно... какие свичи использовать внутри - ваше дело, но для второй белой подсети необходимо просто пропустить траифк внутрь сети в обход NAT-а... имхо вот и всё... если хотите секурнее - решайте вопрос со сменой адресов клиентами и на роутере организуйте "этому можно то-то, а этому низя то-то" т.е. в фаерволе рулите ...

а ещё один свич, ещё один сетевой интерфейс в сервере ... думаю это ненужная избыточность в сети ....

или тогда пусть к серверу клиенты ходят не по серому адресу а по белому ... опять же мимо НАТ (это надо в любом случае настроить) .... тогд авторая сетёвка на сервере с серым адресом и не нужна :)

 

P.S. вообще задача самая заурядная .... на FreeBSD к примеру решается за пару минут ... (роутер из винд ыделать не привык, да ещё и в инет его выставлять) ;)

Изменено пользователем Grey

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

expe   

expe
Опубликовано · Жалоба
в одном сегменте (так это называется) может быть сколько угодно IP подсетей, не вижу проблемы.

вообще, можно и так решать как у вас начато, только однозначно надо разбираться с NAT-ом.... вторую белую подсеть надо пропустить мимо ната... как это вы на винде сделаете - вам и карты в руки... :)

 

в свою локалку можно и "запердолить", почему нет?, только необходимо предпринять меры чёб юзеры не могли самовольно присваивать себе ip из другой подсети (в идеале вообще менять ip не должны)... ну т.е. попробовать может и смогут, но чтоб при этом ничего не работало :) Т.е. сейчас не обсуждаем вашу внутреннюю политику безопасности ... если у вас в сети анархия - дело ваше, это поставленной задачи не касается ...

...

у вас есть пограничный роутер, на нём NAT... всё логично и правильно... какие свичи использовать внутри - ваше дело, но для второй белой подсети необходимо просто пропустить траифк внутрь сети в обход NAT-а... имхо вот и всё... если хотите секурнее - решайте вопрос со сменой адресов клиентами и на роутере организуйте "этому можно то-то, а этому низя то-то" т.е. в фаерволе рулите ...

а ещё один свич, ещё один сетевой интерфейс в сервере ... думаю это ненужная избыточность в сети ....

или тогда пусть к серверу клиенты ходят не по серому адресу а по белому ... опять же мимо НАТ (это надо в любом случае настроить) .... тогд авторая сетёвка на сервере с серым адресом и не нужна :)

 

P.S. вообще задача самая заурядная .... на FreeBSD к примеру решается за пару минут ... (роутер из винд ыделать не привык, да ещё и в инет его выставлять) ;)

В общем времени было в обрез, решил эту проблему иначе. Поставил впереди роутер.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Активное оборудование Ethernet, IP, MPLS, SDN/NFV...