Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
|
|
|
Локальная сеть
|
|||
|---|---|---|---|
|
#18+
Добрый день! Есть два сервера - контроллера домена DC и PDC DC: iNet - Ethernet адаптер: - подключен к свичу IP-адрес . . . . . . . . . . . . : 192.168.0.4 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : 192.168.0.200 DNS-серверы . . . . . . . . . . . : 192.168.0.4 Local - Ethernet адаптер: - в локальную сеть с пользователями IP-адрес . . . . . . . . . . . . : 192.168.1.6 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : DNS-серверы . . . . . . . . . . . : 192.168.1.6 PDC: iNet - Ethernet адаптер: - подключен к свичу IP-адрес . . . . . . . . . . . . : 192.168.0.5 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : 192.168.0.200 DNS-серверы . . . . . . . . . . . : 192.168.0.5 Local - Ethernet адаптер: - в локальную сеть с пользователями IP-адрес . . . . . . . . . . . . : 192.168.1.251 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : DNS-серверы . . . . . . . . . . . : 192.168.1.251 На WatchGuarde прописан постоянный маршрут 192.168.1.0 255.255.255.0 192.168.0.4 Если на клиентах (192.168.1.x) поставить в качестве шлюза сервер с 192.168.1.6 и ДНС 192.168.1.6 - то интернет на клиентской машине работает. Если на клиентах (192.168.1.x) поставить в качестве шлюза сервер с 192.168.1.251 и ДНС 192.168.1.251 - то интернет на клиентской машине НЕ работает. Как сделать так, что бы интернет работал на клиентских машинах: 1. 192.168.1.6 и ДНС 192.168.1.6 2. 192.168.1.251 и ДНС 192.168.1.251 Понятно, что дело в маршруте, который прописан на WG (192.168.1.0 255.255.255.0 192.168.0.4), но без него интернет не работает. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.02.2014, 22:01 |
|
||
|
Локальная сеть
|
|||
|---|---|---|---|
|
#18+
Да при чём тут маршрут... в этом зоопарке вообще странно, что хоть что-то работает. У тебя же самое обычное замыкание... а про наличие OSPF на серверах я даже не спрашиваю, его там отродясь не было. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.02.2014, 22:25 |
|
||
|
Локальная сеть
|
|||
|---|---|---|---|
|
#18+
Akina, Что это за замыкание такое? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.02.2014, 22:35 |
|
||
|
Локальная сеть
|
|||
|---|---|---|---|
|
#18+
Дорисуй второй свич и клиента - сам увидишь петлю. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.02.2014, 23:14 |
|
||
|
Локальная сеть
|
|||
|---|---|---|---|
|
#18+
__Avenger__, Клиентские машины из разных сетей или они одни и те же? 1. Если из разных, почему бы им не настроить разные подсети? Например, где PDC выдать клиентам адреса из 192.168.2.0/24. Не забыть на WatchGuarde указать эту подсеть. 2. Если клиенты физически в одной сети, то для чего им 2 шлюза? Отказоустойчивость? Балансировка нагрузки? Тут уже возможна куча вариантов. Можно динамическую маршрутизацию настроить. Например, как уже выше советовали с помощью OSPF. Можно тупа 2 шлюза прописать. Причем винда позволяет прописать и оба ДНС одновременно и оба шлюза на одном интерфейсе с одинаковой метрикой. В таком случае клиент будет пакеты поочередно на разные шлюзы раскидывать, но если один из них выйдет из строя, то половина пакетов будет теряться, а может быть и все, ведь обратно эти пакеты тоже по обоим шлюзам будут раскидываться. Хреновый вариант. Вы лучше определитесь с целью для начала. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.02.2014, 23:21 |
|
||
|
Локальная сеть
|
|||
|---|---|---|---|
|
#18+
AkinaДорисуй второй свич и клиента - сам увидишь петлю. В упор петли не вижу. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.02.2014, 23:23 |
|
||
|
Локальная сеть
|
|||
|---|---|---|---|
|
#18+
k-nike, NAT поднят только на WatchGuard XTM 330. У него 1-интерфейс смотрит в интернет, 2-й в локальную сеть (0.x) На серверах DC И PDC по две сетевые карты. На этих серверах стоит Kerio Control 7.4.2. Он выполняет дополнительную защиту сети фильтрует трафик с интернет интерфейса на локальный интерфейс, для DC c 192.168.0.4 на 192.168.1.6, для PDC c 192.168.0.5 на 192.168.1.251. NAT на DC и PDC не поднят. Статические маршруты также не прописаны. Сервера под управлением Windows Server R2 2003. Интернет есть как на DC так и на PDC. У пользователей, которые находятся в сети 192.168.1.x (100 ПК), сейчас прописаны 192.168.1.6 и ДНС 192.168.1.6 (Выдаются DHCP). Хочется в DHCP прописать и второй резервный сервер, но если его прописать, то у пользователей, которые отправляют траффик через него, интернет не работает. Замечание: Все сервера в сети и клиенты у нас в подсети 192.168.1.x. 0.х - это небезопасная подсеть. Это надо для отказоустойчивости. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.02.2014, 23:29 |
|
||
|
Локальная сеть
|
|||
|---|---|---|---|
|
#18+
k-nikeи оба шлюза на одном интерфейсе с одинаковой метрикой. В таком случае клиент будет пакеты поочередно на разные шлюзы раскидыватьУпс... а мужики-то не знают... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.02.2014, 23:40 |
|
||
|
Локальная сеть
|
|||
|---|---|---|---|
|
#18+
__Avenger__k-nike, Это надо для отказоустойчивости. Для отказоустойчивости применяют другие средства. Кстати, и в чем ваша отказоустойчивость, в том что при падении PDC, маршрутизацию в инет взял DC... Правой рукой левое ухо... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2014, 00:07 |
|
||
|
Локальная сеть
|
|||
|---|---|---|---|
|
#18+
Sergey Orlov, Именно так. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2014, 00:11 |
|
||
|
Локальная сеть
|
|||
|---|---|---|---|
|
#18+
Sergey Orlov, Ну и еще что бы клиентские компьютеры знали о резервном сервере. Сейчас не знают, потому-что интернет с ним не работает. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2014, 00:14 |
|
||
|
Локальная сеть
|
|||
|---|---|---|---|
|
#18+
__Avenger__, DC и PDC - это контроллеры домена? Если так, то получается, что вы оба контроллера домена выставляете, как вы пишите, в небезопасную сеть? Чем вообще обусловлен выбор такой архитектуры сети? Каков функционал WatchGuard? Почему Kerio стоит не на WatchGuard (границе с интернетом), а на DC и PDC? Какой его функционал используется, ведь NAT сам по себе защищает от проникновения в локальную сеть. Правда, NAT не спасет если сам WatchGuard ломанут, но так на нем для этого и должен Kerio стоять. А если так, то можно и клиентов засунуть в 1-ую подсеть указав шлюзом WatchGuard. Ну а если архитектура существующей сети все-таки действительно необходима, то для настройки отказоустойчивости я могу предложить только 2 более-менее нормальных варианта: динамическая маршрутизация или CARP (не знаю правда существует ли их реализация под Windows). А вообще подумайте, так ли уж она необходима эта отказоустойчивость? К тому же всё равно всё упирается в единый узел, который может отказать - WatchGuard. А со статикой пожалуй нет смысла заморачиваться, да и не факт что получится. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2014, 01:08 |
|
||
|
Локальная сеть
|
|||
|---|---|---|---|
|
#18+
k-nike, WatchGuard - это FireWall . В сети 0.x траффик прошел уже на WG антивирус, IPS, ну и конечно на WG все закрыто, кроме нужных портов. DC и PDC - Да, это контроллеры домена. Что касается единого узла WG, то он резервируется. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2014, 07:48 |
|
||
|
Локальная сеть
|
|||
|---|---|---|---|
|
#18+
Я думаю вам нужно и клиентов и DC с PDC засунуть в одну сеть где шлюзом будет WatchGuard. Не считаю нужным городить такую схему как у вас, да еще и с каким-то кластером на контроллерах домена! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2014, 08:56 |
|
||
|
Локальная сеть
|
|||
|---|---|---|---|
|
#18+
k-nike, Начальство требует два firewall-а. Что касается контроллеров, то там не кластер, а один основной - второй резервный. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2014, 09:13 |
|
||
|
Локальная сеть
|
|||
|---|---|---|---|
|
#18+
__Avenger__k-nike, Начальство требует два firewall-а. Что касается контроллеров, то там не кластер, а один основной - второй резервный. Ну а вы то на что, обьясните им, что если первый файер простой нат, на нем больше нет сервисов и управлять им можно только из локалки, то он практически не ломаем, если только производитель не оставил в нем технологическую дырку. Да и вообще, взлом файера сейчас менее актуально, нежели трояны на локальных компьютерах пользователей... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2014, 10:29 |
|
||
|
|
start [/forum/topic.php?fid=26&msg=38557880&tid=1494912]: |
0ms |
get settings: |
11ms |
get forum list: |
14ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
36ms |
get topic data: |
9ms |
get forum data: |
2ms |
get page messages: |
53ms |
get tp. blocked users: |
1ms |
| others: | 13ms |
| total: | 147ms |
| 0 / 0 |
