Винда и маршрутизация
 

Народ, есть проблема.
Имеется сетка (домен Win2k3). Имеется парочка серверов вне домена. Имеется кучка филиалов, ранее соединявшихся по dial-up, и юзающих почти все сервера (собственно, видеть сетку им нафиг не надо). А теперь вот пришли прогресс и xDSL.
Внимание, вопрос: как заставить нормально работать сетку с 3 или 4 роутерами в главном офисе? Причем надо это сделать именно под виндой, очень срочно... Раньше был только один ADSL-модем, который был шлюзом по умолчанию, а теперь чего?..
Жду не дождусь когда придет маршрутизатор CISCO, там то я смогу все это настроить, а кто даст точный рецепт под виндовый роутинг?
Может, лучшим вариантом будет всунуть в один сервак 4 сетевухи и на каждую прицепить по роутеру? (вроде бы свободные PCI в таком количестве на одном сервере есть)
Есть весьма туманные мысли про такой вариант и настройку RRAS...
Но честно говоря, нету времени разбираться с RRAS, хотя было бы неплохо:)
Кто чего дельного подскажет? :help:
А то хоть стреляйся, пока эту сиську не привезут... :(

ЗЫЖ адреса сеток - главная: 10.10.0.x / 24
филиал 1: 10.10.1.x / 24
. . . . . . . . . .
филиал N: 10.10.N.x / 24

route add 10.0.1.0 mask 255.255.255.0 [router1] -p
...
route add 10.10.N.0 mask 255.255.255.0 [routerN] -p
дефолт - в настройках DSL-соединения

на сервере работает, проверено

Подскажите с маршрутизацией
 

вообщем проблема такова
есть сеть 192,168,0,х и внешняя сеть 192,168,1,х за роутером с фаерволом. Все настроил работает, но во внешней сети есть файловый сервер вин2003. Если захожу на него со своей сети заходит отлично запускаю с сервера скажем видео файл работает ок, но если одновременно заходить с другого компьютера моей сети (192,168,0,х) то блин сбрасыватся подключение у предыдущего т.е. можно рулить только одним компом. Что за беда? НАТ на роутере и маршрутизация настроены правильно, причем такая же фишка была когда-то на роутере под Фрей, но уже не помню как бывший адимин ее убрал :idontnow:
где грабли? :молись:

Если адреса именно такие, то не видна необходимость ната. Если такая необходимость есть, то настройки ната в студию =)

Если твоя сеть ходит во внешнюю через НАТ, то значит все пользуются одним IP. Соответственно, с точки зрения файлового сервера, получается множественное подключение с одного IP-адреса, а это, скорее всего, запрещено.
Если маршрутизация настроена верно, то НАТ - не нужен и тогда каждый компьютер из твоей сети будет ходить во внешнюю со своим собственным IP.

Вот у меня такая прабла... перидически пропадает инет... отучил инспектор по способу нулевого маршрута...
А трабл такой.
серверная Ось ХР SP1 , стоят три сетевые карточки.
1-ая смотрит в АДСЛ ай-пи у неё 192.168.1.2 (у модема АДСЛ ай-пи 192.168.1.1)
2-ая 123.123.123.123 добавил команду route add -p 0.0.0.0 mask 255.255.255.255 123.123.123.123
3-я 192.168.0.1 и эта карточка смотрит в локалку
в свойства 1 сетевой карточки поставил пункт Общий доступ к интернету(подключать пользователей к инету)
трафик считается.. и блокируется...НО ПЕРЕОДИЧЕСКИ пинги в инет пропадают. пишет недоступен заданный узел.....
когда же отключаю подключение к локальной сети и отключаю 2-ую сетевуху (обманка инспектора) пинги появляются.. подключаю обратна 2-ую и 3-ю сетевухи, интернет в сети ЕСТЬ
таблица маршрутизации:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.0.1 20
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.2 20
0.0.0.0 0.0.0.0 192.168.1.2 123.123.123.123 20
0.0.0.0 255.255.255.255 123.123.123.123 123.123.123.123 50
123.123.123.0 255.255.255.0 123.123.123.123 123.123.123.123 20
123.123.123.123 255.255.255.255 127.0.0.1 127.0.0.1 20
123.255.255.255 255.255.255.255 123.123.123.123 123.123.123.123 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1 20
192.168.0.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.0.255 255.255.255.255 192.168.0.1 192.168.0.1 20
192.168.1.0 255.255.255.0 192.168.1.2 192.168.1.2 20
192.168.1.2 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.2 192.168.1.2 20
224.0.0.0 240.0.0.0 123.123.123.123 123.123.123.123 20
224.0.0.0 240.0.0.0 192.168.0.1 192.168.0.1 20
224.0.0.0 240.0.0.0 192.168.1.2 192.168.1.2 20
255.255.255.255 255.255.255.255 123.123.123.123 123.123.123.123 1
255.255.255.255 255.255.255.255 192.168.0.1 192.168.0.1 1
255.255.255.255 255.255.255.255 192.168.1.2 192.168.1.2 1
Основной шлюз: 123.123.123.123
===========================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 255.255.255.255 123.123.123.123 50
Подскажите как с этим бороться.....

подскажите как можно решить такую задачу:

У компа две сетевухи. 1ая смотрит в и-нет, 2ая в локалку на 8 хостов.

1ая имеет реальный ip адрес в 1ой подсети ваыделенной провайдером.
2ая имеет реальный Ip адрес в 2ой подсети выделенной провайдером.

К 2ой подключены 6 хостов через свич, им назначены адреса из этой подсети. Т.е. адреса реальные.

НУжно организовать роутинг, так чтобы из и-нета были видны хосты подключённые ко 2ой сетевухе и были видны их ip.
Как такое сделать без роутера? В WinRoute проставляю правила, я всех из 2ой подсети вижу, мои ip невидны. И это трабл!

Буду ооочень признателен тому человеку который сможет доходчиво обьяснить как такое можно сделать.

knack
ты при помощи route add ... маршруты добавлял? IP-форвардинг включил? Напиши что получилось.
Только учти, что перед всем этим настоятельно рекомендуется отключить WinRoute, а лучше снести.

идея фикс заключается в том чтобы все компы лазили через один фаервол, т.е. через керио. Чтобы можно было следить за трафиком и централизованно управлять политиками. Как бы удобно должно быть по идее. А с командой route я вообще никогда не работал, вот сяду сегодня почитаю, попробую.

Т.е. теоритически виндовыми способами описанную мною задачу решить можно и ip будут видны из и-нета?

knack
Я уже закрыл одну твою тему и там ясно написал, что если тебе нужна помощь в настройке или реализации каких-либо идей именно с Винроутом, то и спрашивать надо в топе про Винроут :mad: И даже ссылку на этот топ дал.

Если адреса "настоящие" и маршрутизация настроена правильно, то ДА.

я про винроут что-то сдесь срашивал? Я описал схему которую хочу реализовать, и мне интересны вопросы в контексте данного топа, т.е. реализация схемы по средствам винды. Вообще любым способом но насколько я понял это делается именно так.
Я не требую помощь, но вообще написал в форум именно для получения оной. Кто-то может мне в этом помочь?


кстати оказывается то, что я хочу имеет термин - DMZ. во как... никогда до этого даже не слышал.

Мож поможет кому. две сетки 192,168,1,0 и 192,168,2,0 надо было объеденить. Лепил я маршруты прям вспотел. Никак не получалось компы из другой сети увидеть, только поиском по ip. В это же время позвали сетку посмотреть 172,16,х,y смотрю а там маска 255,255,0,0 и этих x и y до этой самой матери. короче я у себя вписал эту же маску вместо 255,255,255,0 и пошли у меня пинги во все стороны. обе сетки торчат в один хаб и нормально все работает. Понимаю что сделал не по правилам но ведь работает. Модератор. Вдруг что не так не ругайся пожалуйста.

Да, спрашивал.
Керио Винроут это, в первую очередь, это софтверный раутер, обеспечивающий доступ посредством НАТ, а функции брендмауэра в нем являются дополнительными. Надеюсь, что такое НАТ объяснять не нужно?
А, исходя из твоих объяснений, тебе нужен не НАТ, а правильно настроенная маршрутизация.

Далее, основная идея ДМЗ заключается в том, что она не является непосредственно ни частью внешней, ни частью внутренней сети и доступ к ней возможен только по специально заданным правилам брендмауэра.
В ДМЗ могут быть только сервера и служит она для того, чтобы не дать доступ из внешней сети к машинам внутренней сети. Это происходит при помощи выноса из локальной сети (в эту самую демилитаризованную зону) всех сервисов, требующих доступа снаружи. При этом, из самой демилитаризованной зоны, как правило, доступа не дается никуда, кроме как внутри зоны.
Согласись, что это немного не то, что ты формулировал в своем запросе.
А в контексте того, что ты хочешь построить именно ДМЗ отвечаю: одних встроенных средств Виндовс тут недостаточно. В дополнение потребуется надежный брендмауэр. Кстати, я слышал, что Lan2net NAT Firewall довольно неплохо решает поставленную тобой задачу.
Линьки на соответствующие топы на форуме:
http://www.imho.ws/showthread.php?t=...hlight=Lan2net
http://www.imho.ws/showthread.php?t=...hlight=Lan2net

Да, окей, ты впринципе прав, надо было разделить понятия роутинга и контроля за оным. Я керио имел ввиду именно для учёта трафика.
ТАк с чего мне начать? читаю мануал винды 2003ей, очень как-то там запутанно написано про роутинг.
Командой routez я вообще никогда не пользовался, вот сейчас читаю про неё. Про маршруты вроде всё ясно. Мне не ясно как интерфейс который смотрит в и-нет на сервере будет отвечать на запросы к другим Ip из этой подсети. Получается мне одному интерфейсу надо назначить несколько ip адресов? Так чтоли?

knack
Давай подробнее изложи ситуацию, а то непонятно выходит.
Укажи количество физических сетевых интерфейсов в машине, куда они смотрят, адреса подсетей (хотя бы шаблонно) и организацию сети (есть ли в наличии локалка, нужно ли локалке разграничивать доступ к ДМЗ и т.д.)
Чего-нибудь придумаем :)

а пробывал разрешить inet -> lan, lan -> inet any permit? и поставить в локалке шлюз на winroute?

FantomIL
поподробнее всё выглядет вот так:
1ый интерфейс смотрит в и-нет имеет адрес 82.200.173.ххх
2ой интерфейс смотрит в локалку. 192.168.0.1
3ий интефейс смотрит на зону серверов которые должны быть доступны через и-нет. Пров дал подсеть на 8 адресов вида 88.204.128.ххх
Нужно настроить между 3им и 1ым интерфейсом маршрутизацию, так чтобы подсеть подключенная к 3ему интерфейсу была видна из и-нета (т.е. с 1го интерфейса) и обратно по своим ip.
... кривовато выразился..

Ага, сейчас понятно.
Настраивать так:
route -p add 82.200.173.0 mask ххх.ххх.ххх.ххх 82.200.173.ххх eth0

здесь 82.200.173.0 – первая сеть
82.200.173.ххх – IP адрес сетевой карты смотрящей в первую сеть.
eth0 - номер интерфейса сетевой карты смотрящей в первую сеть.

и, соответственно:
route -p add 88.204.128.0 mask ххх.ххх.ххх.ххх 88.204.128.xxx eth2

где 88.204.128.0 – третья сеть
88.204.128.xxx – это IP адрес сетевой карты смотрящей в третью сеть.
eth2 - номер интерфейса сетевой карты смотрящей в третью сеть.

Маска подсети (там, где у меня иксы) должна соответствовать реально используемой маске.

В зависимости от того - нужен ли тебе доступ из подсети 192.168.0.0 в ДМЗ аналогично прописываешь маршрутизацию и для этого интерфейса (или не прописываешь :) доступ они в любом случае получат)

Ну и конечно, на файрволле разрешаешь все входящее в подсеть 88.204.128.0 и запрещаешь исходящее (кроме ответов), а также запрещаешь все входящее на 192.168.0.0

Вроде нигде не ошибся :rolleyes:

Вот, в общем то и все.

сразу куча вопросов.
1) смотрю таблицу маршрутизации и тут есть вообще непонятные адреса, вот например:

169.254.48.0 255.255.255.0 169.254.48.161 169.254.48.161 20
169.254.48.161 255.255.255.255 127.0.0.1 127.0.0.1 20
169.254.255.255 255.255.255.255 169.254.48.161 169.254.48.161 20

у меня такие ip нигде не фигурируют... Откуда они могли взятся?

2)
такого вида "0x20006" ?



3) у меня первая сеть это соединение точка-точка с провайдером, соответсвенно в выданной подсети всего два Ip для хостов. Получается что можно в адресе интерфейса прописать не всю подсеть а только мой ip, а шлюзом (82.200.173.ххх) поставить Ip провайдера, так?

4) во втором route add который ты мне написал разве шлюзом для сети 88.204.128.0 не надо ставить ip 1ой сетевухи? Если так и должно быть то почему?

1. Адреса вида 169.254.х.х генерирует сама Виндовс вслучае, когда не может достучаться до DHCP, а постоянный адрес не назначен.

2. Да, по route print посмотреть можно.

3. Немного не понял, что ты имеешь в виду, когда говоришь "точка-точка". В общем случае тебе параллельно сколько хостов в подсети, просто маска меняется и адрес подсети.

4. Извиняюсь, описАлся :)

Когда ты говоришь "точка-точка" ты имеешь в виду ВПН?

Есть два подключения АДСЛ(через сетевую) и дозвон.
Подскажите, пожалуйста, самый простой вариант - при постоянном АДСЛ подключении периодически подключать дозвон для закачек (даун. мастер)