expe Опубликовано 6 апреля, 2009 (изменено) · Жалоба Может есть на этом форуме гуру, который скажет в чем причина и как ее можно обрулить: Есть Сервер с Win2k3, на нем три сетевых карты со статическими IP адрессами. например у одной 10.0.0.1 (провод идет в локальную сеть), 11.0.0.2 (провод идет в оборудование провайдера, этот адресс виден с интернета), 12.0.0.1 (провод идет в свичь 5 портов, в который вставлен еще наш сервер у которого две сетевухи, одна 12.0.0.2 и провод идет в 5 портовый свичь, вторая 10.0.0.2 провод идет в локальную сеть). Так вот адресса 12.0.0.х тоже выдал провайдер и они должны быть видны с интернета, но проблема их настроить. Мне нужно чтобы с интернета были одновременно видны адресса 12.0.0.2 и 11.0.0.2. На интерфейсе 11.0.0.2 включен NAT (RRAS сервис) и через него пользователи локальной сети юзают интернет. И в этом случае на 12.0.0.2 трафик из интернета не ходит... когда удаляю интерфейс 11.0.0.2 из списка NAT, то 12.0.0.2 начинает из вне пинговаться... (в службе RRAS включена обычная маршрутизация). Так вот как бы сделать чтобы и NAT работал, чтобы пользователи могли юзать интернет, и чтобы второй сервер был виден из интернета со своим IP адрессом, который выдал провайдер... Грубо говоря чтобы и обычная IP маршрутизация работала и NAT работал одновременно. Как видно из схемы подсети везде разные.... Изменено 6 апреля, 2009 пользователем expe Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ева Опубликовано 6 апреля, 2009 · Жалоба А для чего используется интерфейс 12.0.0.1 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
expe Опубликовано 6 апреля, 2009 · Жалоба А для чего используется интерфейс 12.0.0.1 ? ну у 12.0.0.2 должен же быть какой-то шлюз? вот 12.0.0.1 это он и должен быть..... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
expe Опубликовано 7 апреля, 2009 · Жалоба Up вот если что картинка, может поможет облегчить понимание схемы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Iapetus Опубликовано 7 апреля, 2009 (изменено) · Жалоба Схема кривоватая. Правильнее линк от провайдера воткнуть в 5-портовый свич, включить роутер в свич из сетевой с адресом 11.0.0.1, а на второй сервер выдать адрес 11.0.0.3, вместо 12.0.0.2. Изменено 7 апреля, 2009 пользователем Iapetus Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Grey Опубликовано 7 апреля, 2009 · Жалоба Может есть на этом форуме гуру, который скажет в чем причина и как ее можно обрулить:Есть Сервер с Win2k3, на нем три сетевых карты со статическими IP адрессами. например у одной 10.0.0.1 (провод идет в локальную сеть), 11.0.0.2 (провод идет в оборудование провайдера, этот адресс виден с интернета), 12.0.0.1 (провод идет в свичь 5 портов, в который вставлен еще наш сервер у которого две сетевухи, одна 12.0.0.2 и провод идет в 5 портовый свичь, вторая 10.0.0.2 провод идет в локальную сеть). Так вот адресса 12.0.0.х тоже выдал провайдер и они должны быть видны с интернета, но проблема их настроить. Мне нужно чтобы с интернета были одновременно видны адресса 12.0.0.2 и 11.0.0.2. На интерфейсе 11.0.0.2 включен NAT (RRAS сервис) и через него пользователи локальной сети юзают интернет. И в этом случае на 12.0.0.2 трафик из интернета не ходит... когда удаляю интерфейс 11.0.0.2 из списка NAT, то 12.0.0.2 начинает из вне пинговаться... (в службе RRAS включена обычная маршрутизация). Так вот как бы сделать чтобы и NAT работал, чтобы пользователи могли юзать интернет, и чтобы второй сервер был виден из интернета со своим IP адрессом, который выдал провайдер... Грубо говоря чтобы и обычная IP маршрутизация работала и NAT работал одновременно. Как видно из схемы подсети везде разные.... имхо:1. свитч (слева по схеме) убрать. 2. на роутере сказать NAT-у чёб не натил белые адреса. 3. адрес 12.0.0.1 перенести алиасом на интерфейс с адресом 10.0.0.1 (на этом интерфейсе шлюз указывать не надо) 4. адрес 12.0.0.2 перенести на интерфейс с адресом 10.0.0.2, а 10.0.0.2 сделать алиасом на этом же интерфейсе (т.е. основной адрес 12.0.0.2, шлюз 12.0.0.1 маска соответственно, алиасом 10.0.0.2) 5. лишние интерфейсы (оставшиеся без адреса) или убрать или оставить для красоты :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
expe Опубликовано 8 апреля, 2009 · Жалоба Схема кривоватая. Правильнее линк от провайдера воткнуть в 5-портовый свич, включить роутер в свич из сетевой с адресом 11.0.0.1, а на второй сервер выдать адрес 11.0.0.3, вместо 12.0.0.2. В том-то и дело что схема кривоватая. Во первых 11.0.0.1 у меня на схеме вообще нету, во вторых если имелось ввиду 11.0.0.2, то этот адресс выдал провайдер и в этой подсети только его, т.е. я не могу написать 11.0.0.3. Суть в чем: за нами был закреплен один адресс 11.0.0.2, мы попросили выдать нам дополнительный пул адрессов, потому что 1 адресса нам мало, так они выдали нам 12.0.0.х адресса и прописали их маршрутизацию на своем 11.0.0.1, т.е. для нас проблема встала настроить подсеть 12.0.0.х через 11.0.0.2, через который идет NAT локальной сети 10.0.0.х Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
expe Опубликовано 8 апреля, 2009 · Жалоба имхо:1. свитч (слева по схеме) убрать. 2. на роутере сказать NAT-у чёб не натил белые адреса. 3. адрес 12.0.0.1 перенести алиасом на интерфейс с адресом 10.0.0.1 (на этом интерфейсе шлюз указывать не надо) 4. адрес 12.0.0.2 перенести на интерфейс с адресом 10.0.0.2, а 10.0.0.2 сделать алиасом на этом же интерфейсе (т.е. основной адрес 12.0.0.2, шлюз 12.0.0.1 маска соответственно, алиасом 10.0.0.2) 5. лишние интерфейсы (оставшиеся без адреса) или убрать или оставить для красоты :) А разве в одной тупой сети (через тупые свичи) не должно быть не более одной подсети? или я не шарю.... мне вот и надо было выделить новую подсеть в отдельную физическую сеть, для этого и свичь, и там будет стоять не один сервер, а три или четыре, и че мне теперь в мою локалку запердолить другую подсеть..... как-то я даже не знаю, нет другого способа? почему же тогда в моей текущей схеме не работает, что нешает конкретно, не могу понять... потому что пакеты с 12.0.0.2 ходит в интернет и даже возвращается обратно, а вот с интернета что-то не даёт пройти Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Grey Опубликовано 8 апреля, 2009 (изменено) · Жалоба имхо:1. свитч (слева по схеме) убрать. 2. на роутере сказать NAT-у чёб не натил белые адреса. 3. адрес 12.0.0.1 перенести алиасом на интерфейс с адресом 10.0.0.1 (на этом интерфейсе шлюз указывать не надо) 4. адрес 12.0.0.2 перенести на интерфейс с адресом 10.0.0.2, а 10.0.0.2 сделать алиасом на этом же интерфейсе (т.е. основной адрес 12.0.0.2, шлюз 12.0.0.1 маска соответственно, алиасом 10.0.0.2) 5. лишние интерфейсы (оставшиеся без адреса) или убрать или оставить для красоты :) А разве в одной тупой сети (через тупые свичи) не должно быть не более одной подсети? или я не шарю.... мне вот и надо было выделить новую подсеть в отдельную физическую сеть, для этого и свичь, и там будет стоять не один сервер, а три или четыре, и че мне теперь в мою локалку запердолить другую подсеть..... как-то я даже не знаю, нет другого способа? почему же тогда в моей текущей схеме не работает, что нешает конкретно, не могу понять... потому что пакеты с 12.0.0.2 ходит в интернет и даже возвращается обратно, а вот с интернета что-то не даёт пройти в одном сегменте (так это называется) может быть сколько угодно IP подсетей, не вижу проблемы.вообще, можно и так решать как у вас начато, только однозначно надо разбираться с NAT-ом.... вторую белую подсеть надо пропустить мимо ната... как это вы на винде сделаете - вам и карты в руки... :) в свою локалку можно и "запердолить", почему нет?, только необходимо предпринять меры чёб юзеры не могли самовольно присваивать себе ip из другой подсети (в идеале вообще менять ip не должны)... ну т.е. попробовать может и смогут, но чтоб при этом ничего не работало :) Т.е. сейчас не обсуждаем вашу внутреннюю политику безопасности ... если у вас в сети анархия - дело ваше, это поставленной задачи не касается ... ... у вас есть пограничный роутер, на нём NAT... всё логично и правильно... какие свичи использовать внутри - ваше дело, но для второй белой подсети необходимо просто пропустить траифк внутрь сети в обход NAT-а... имхо вот и всё... если хотите секурнее - решайте вопрос со сменой адресов клиентами и на роутере организуйте "этому можно то-то, а этому низя то-то" т.е. в фаерволе рулите ... а ещё один свич, ещё один сетевой интерфейс в сервере ... думаю это ненужная избыточность в сети .... или тогда пусть к серверу клиенты ходят не по серому адресу а по белому ... опять же мимо НАТ (это надо в любом случае настроить) .... тогд авторая сетёвка на сервере с серым адресом и не нужна :) P.S. вообще задача самая заурядная .... на FreeBSD к примеру решается за пару минут ... (роутер из винд ыделать не привык, да ещё и в инет его выставлять) ;) Изменено 8 апреля, 2009 пользователем Grey Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
expe Опубликовано 9 апреля, 2009 · Жалоба в одном сегменте (так это называется) может быть сколько угодно IP подсетей, не вижу проблемы.вообще, можно и так решать как у вас начато, только однозначно надо разбираться с NAT-ом.... вторую белую подсеть надо пропустить мимо ната... как это вы на винде сделаете - вам и карты в руки... :) в свою локалку можно и "запердолить", почему нет?, только необходимо предпринять меры чёб юзеры не могли самовольно присваивать себе ip из другой подсети (в идеале вообще менять ip не должны)... ну т.е. попробовать может и смогут, но чтоб при этом ничего не работало :) Т.е. сейчас не обсуждаем вашу внутреннюю политику безопасности ... если у вас в сети анархия - дело ваше, это поставленной задачи не касается ... ... у вас есть пограничный роутер, на нём NAT... всё логично и правильно... какие свичи использовать внутри - ваше дело, но для второй белой подсети необходимо просто пропустить траифк внутрь сети в обход NAT-а... имхо вот и всё... если хотите секурнее - решайте вопрос со сменой адресов клиентами и на роутере организуйте "этому можно то-то, а этому низя то-то" т.е. в фаерволе рулите ... а ещё один свич, ещё один сетевой интерфейс в сервере ... думаю это ненужная избыточность в сети .... или тогда пусть к серверу клиенты ходят не по серому адресу а по белому ... опять же мимо НАТ (это надо в любом случае настроить) .... тогд авторая сетёвка на сервере с серым адресом и не нужна :) P.S. вообще задача самая заурядная .... на FreeBSD к примеру решается за пару минут ... (роутер из винд ыделать не привык, да ещё и в инет его выставлять) ;) В общем времени было в обрез, решил эту проблему иначе. Поставил впереди роутер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...