Маршутизация (посоветуйте).

[FleGG]

Здравствуйте!

После долгого общения с провайдером для нашей сети выделили целых 3 IP адреса Есть задачка (она кажется мне достаточно простой, но найти правильное решение пока не могу и потому хочу попросить помочь) - разрешить доступ к одной машине из внешней сети (Intenet) и из внутренней (сеть предприятия). На машине установлена Windows 2003 Server и две сетевые платы.
Уровень оборудования - что к чему подключается:

Инет -> свич (1) -> роутер (1) -> свич (2)
-> свич (3) -> "сервер" (конечная точка).

Интернет приходит на свич (1), куда воткнут роутер (1) - наш "шлюз" (D-Link), а уже в роутер подключен другой свич (2), куда подключены все машины в одном офисе. В другой офис тоже идёт витая пара и там также установлен свич (3), который соединён с оборудованием свич (1).
Все ходят в Инет через "шлюз" D-Link, а "серверу" я присвоил собственный IP адрес (на один сетевой интерфейс). Второму сетевой интерфейс имеет адрес "шлюза" - т.е. все настройки для подключения к роутер (1). Вот при такой конфигурации не работает - что и следовало ожидать (комп не видел в Интрасети).

А вот собственно и сами настройки:
(с "белым" IP):
IP: 241.55.130.170
Mask: 255.255.255.248
Gate: 241.55.130.169
(на внутреннюю сеть):
IP: 192.168.0.29
Mask: 255.255.255.0
Gate: 192.168.0.1

Подскажите - в какую собственно сторону копать и как настроить маршрутизацию. Вариант, который я вижу - сделать "шлюз" на этой машине (Usergate) и пустить через неё юзеров в Инет Тогда проблем не возникает. Но есть тонкость и так сделать нельзя.

Вообщем, прошу помочь

Спасибо!

Добавлено позднее:
Почитал про DMZ - попробую реализовать всё это средствами роутера. Однако ОЧЕНЬ бы хотелось услышать Ваше мнение - может быть есть другие решения.

 

[Mikerl]

В правильном варианте ты должен построить DMZ, в которую надо поместить сервер. http://en.wikipedia.org/wiki/Demilitarized_zone_(computing)
К сожалению, перевод на русский этой статьи довольно кривой (скажем, мне не нравится), это даже по картинкам видно...
Если я правильно понимаю тему, то ключевой элемент в конструкции D-link (кстати, какой?). Предложил-бы следующее:
1. На D-linke завести VLAN-интерфейс в сторону свича(2).
2. Пробросить VLAN через свич(2) и свич(3).
3. Прописать на D-linkе и сервере IP-адреса, сделать маршрутизацию на Dlink. Как сделать маршрутизацию на D-link пока не понимаю. 3 адреса дали из одной подсети? Если да, то эту подсеть можно настроить между D-linkом и сервером.

 

[FleGG]

2 Mikerl

Честно скажу - не знаю, можно ли назвать D-Link (DI-604) ключевым элементом...
Почитал статью (спасибо!)
Я пока новичок в вопросах администрирования, поэтому сразу возникло несколько вопросов
Насколько я понимаю, VLAN можно настроить на управляемых свичах? К сожалению, все свичи неуправляемые (также D-Link - DI-1016, например). Или это можно реализовать программными средствами?
3 адреса ("белых" IP) находятся в одной подсети - 241.55.130.170, 241.55.130.171, 241.55.130.172 и шлюз - 241.55.130.169.
Прочитал сейчас несколько статей о D-Link и нашёл информацию, что DMZ не всегда корректно работает на DI-604.
Вообще-то, может быть проще написать вопрос, исходя из задач:
- нужно чтобы компьютер-сервер был виден из Интернета по "белому" IP (в идеале, отличному от IP маршрутизатора) - для организации FTP, HTTP и доступа по VPN и для подключения через pcAnywhere;
- нужно чтобы компьютеры (из локальной сети) видели компьютер-сервер "по внутреннему" IP (печать на принтер, загрузка информации на FTP по локальной сети);
- нужно чтобы при всём при этом не менялись настройки IP / gate / mask для локальной сети, т.к. мы делим Инет "с соседями", а у них сервер FreeBSD (администрирую не я и поменять настройки пока не представляется возможным!)...

Как выполнить все эти условия - ума не приложу

 

[Mikerl]

Из документации на D-link:
The DI-604 can be configured as a virtual server so that remote users
accessing Web or FTP services via the public IP address can be
automatically redirected to local servers in the LAN network.
The DI-604 firewall feature filters out unrecognized packets to protect your
LAN network so all computers networked with the DI-604 are invisible to
the outside world. If you wish, you can make some of the LAN computers
accessible from the Internet by enabling Virtual Server. Depending on the
requested service, the DI-604 redirects the external service request to the
appropriate server within the LAN network.
The DI-604 is also capable of port-redirection meaning incoming traffic to
a particular port may be redirected to a different port on the server
computer.

Коротко - можно настроить доступ к виртуальным серверам внутри LAN перенаправлением портов. Очень удобная фича и решает твою проблему полностью.

 

[FleGG]

2 Mikerl
Спасибо! Попробую сегодня же Есдинственное, что меня немного смущает - настройка FTP (нужен будет "пассивный" режим, наверное - как думаешь)?

 

[tur2]

Что значит <DMZ не всегда корректно работает на DI-604>. Под DMZ понимают сегмент сети между внутренней и внешней сетью, обычно ограниченный файрволами.

Сейчас у Вас клиенты ходят в инет через роутер, на котором похоже настроен НАТ. Из Вашего описания непонятно куда подключены интерфейсы сервера. Если оба интерфейса включены в роутер, то понятно почему не работает. Внутренний интерфейс должен быть включен в свитч 2 или 3.

Хотя с этим D-Link-ом можно намного красивее построить всё.

 

[FleGG]

2 tur2
"Что значит <DMZ не всегда корректно работает на DI-604>." - хотел сказать, что в комментариях на форуме D-Link я нашёл несколько упоминаний о том, что в некоторых версиях прошивки девайса ("заводской") при включении опции DMZ в настройках роутер время от времени самостоятельно перезагружается (похожий комментарий я слышал от знакомого админа, который утверждает, что при перезагрузке теряются настройки). Может быть утверждение неверны (сам ведь я не проверял!).

"Схемка" в первом посте "поехала" (неправильно отформатировалась), но я хотел показать, что интерфейсы (на уровне подключений "витой пары" описываю ) "сервера" подключены - в свич (3), который (в свою очередь) подключен к свичу (1) (свич (1) и свич (2) объеденены и в свич (1) подключен роутер) - но не работает (поэтому я спрашивал про настройку маршрутизации, однако подсказали более простой вариант).

Да, на D-Link настроен NAT (прим. - DHCP выключен). А как можно сделать более "красиво" и лучше - что посоветуешь? Решение ведь не единственное, наверняка...

ПС. В описании я указал настройки интерфейсов на "сервере". D-Link имеет IP адрес: 241.55.130.171

 

[Mikerl]

2 Mikerl
Спасибо! Попробую сегодня же Есдинственное, что меня немного смущает - настройка FTP (нужен будет "пассивный" режим, наверное - как думаешь)?

С пассивным режимом придется немного повозиться, вероятно. Тем не менее, может быть, Dlink знает о пассивном режиме и умеет его поддерживать. Тогда вообще ничего не надо.
В общем - удачи!

 

[tur2]

(с "белым" IP):
IP: 241.55.130.170
Mask: 255.255.255.248
Gate: 241.55.130.169
(на внутреннюю сеть):
IP: 192.168.0.29
Mask: 255.255.255.0
Gate: 192.168.0.1

Это настройки интерфейсов сервера? кто такой 192.168.0.1? И почему два основных шлюза прописаны? (если это на одной машине)

Правильнее будет построить сеть следующим образом:
1. На сервере -- два интерфейса: один наружу с шлюзом на D-Link, другой внутрь без шлюза, также поднять службы: DNS(внутренняя зона + форвард на DNS провайдера), WINS, PROXY
2. Клиенты -- адреса из внутренней сети шлюз - внутренний интерфейс сервера, в программах ходящих в инет прописать в качестве прокси адрес внутреннего интерфейса сервера.

В упрощённом виде это всё.

 

[FleGG]

2 tur2
Предлагаешь сделать "сервер" шлюзом в Интернет?

Добавлено позднее:
В примечаниях я написал, что шлюзом в Инет этот компьютер сделать я не могу (есть причины) Всё это очень легко делается.

 

[tur2]

Ещё раз спрошу -- кто такой Gate: 192.168.0.1 и почему он прописан вторым шлюзом по умолчанию на сервере?

 

[Mikerl]

Ещё раз спрошу -- кто такой Gate: 192.168.0.1 и почему он прописан вторым шлюзом по умолчанию на сервере?

tur2
проблемы с двумя default router'ами нет.

Можно иметь с одинаковыми даже метриками два маршрута на сеть 0.0.0.0 на одном компе/рутере. Это никак не нарушает никаких RFC IETF.
Для проверки в винде дай команду:
route ADD 0.0.0.0 MASK 0.0.0.0 157.55.80.1 METRIC 3

Вместо 157.55.80.1 соответственно надо поставить адрес, который есть в твоей сети, любой для проверки. Система сглотнет и не подавится.

В том примере, что привел FleGG, второй gw - это не default gateway, а static route на какую-то сеть.

 

[tur2]

проблемы с двумя default router'ами нет.

Просто в данном случае особого смысла в этом нет.

В том примере, что привел FleGG, второй gw - это не default gateway, а static route на какую-то сеть.

Он пишет, что это настройки интерфейсов сервера, а кому присвоен адрес 192.168.0.1 не говорит, и настройки клиентов не описывает.

 

[Mikerl]

tur2, да в этой части полностью согласен. Настройки интерфейсов сервера - рабочие, все изменится. В сообщениях не все однозначно, да и сформулировать, что именно нужно, чтоб другие влет поняли, сразу не просто.
Все же, кажется, мы помогли FleGGу.
Ну, да он расскажет результаты.
Ему, конечно, по хорошему, нужна DMZ с сервером в нем, и там будет нужен только один интерфейс.

 

[tur2]

Ну и свой DNS с внутренней зоной и WINS совсем не лишними будут.

 

[FleGG]

Спасибо...

Был в коммандировке и отписаться по результатам сразу не смог

Настроил Virtual Server на роутере и назначил адреса / порты. Неделю всё работает нормально. Думаю, что и дальше будет работать
ПС. Сегодня заменю 604 на 808.
ПС2. FTP работает в обычном режиме (никакого "пассивоного").

Всем большое спасибо. Думаю, что тему можно считать закрытой.