Как настроить две подсети на одном сервере?
 

Приветствую, уважаемые форумчане!

У меня появился вопрос по настройке сети под управлением Windows Server 2008 R2.

Сейчас имеется сервер с двумя сетевыми картами, одна из них не используется, а другая подключена к общему маршрутизатору.
Сервер является контроллером домена, на нём подняты DNS и DHCP, он раздаёт всем адреса вида 192.168.000.***
В домен заведены компьютеры двух офисов все подключены напрямую к маршрутизатору.

К этому же маршрутизатору подключены другие маршрутизаторы с PPPoE подключением к Интернету по выделенной линии через Ethernet.
Оба PPPoE подключения дают на WAN порты маршрутизаторов внешние статические IP адреса.
Используется в данный момент только один из них, подключенный как PPPoE роутер, через него к сети Интернет через NAT подключаются все компьютеры сети и сервер.

Вопрос такой, как правильно разделить всю сеть на две подсети, чтобы они продолжили пользоваться этим серврером, но чтобы у каждой было своё подключение к Интернету по выделенной линии и при этом была возможность подключаться к серверу снаружи через VPN?

Оба маршрутизатора с PPPoE подключениями помимо LAN и WAN портов содержат так же WiFi модули и имеют возможность запуска собственного DHCP сервера, поэтому есть ещё и такое пожелание, чтобы подключающиеся по беспроводной связи ноутбуки так же попадали в ту или иную подсеть, в том числе с получением IP адреса от DHCP сервера для соответствующей подсети и с возможностью доступа на основной сервер и в домен.

И ещё такое пожелание, чтобы компьютеры обеих подсетей попадали в соответствующие различные "Organisation Unit", а в идеале даже чтобы вообще разделялись на два разных домена. Хотя, вроде один контроллер домена физически не может держать более одного домена, но наверное может держать виртуальные серверы со своими контроллерами доменов на них.

Примечание, VPN нужна в том числе для подключающихся снаружи через Интернет беспроводных устройств с 3G подключением, для получения статичного IP адреса. Другими словами, беспроводное устройство через 3G во внешней сети Интернет подключается к нашему серверу через VPN и получает внутренний IP адрес вида 192.168.000.***, а затем уже из внтуренней сети через NAT со статическим внешним IP адресом PPPoE соединения осуществляет подлючение к внешним серверам.

KoichiSenada, первый вопрос в любой сложной задаче - зачем Вам это нужно?
Откуда такие требования про разделение сетей и разделение доменов???

Если Ваш маршрутизатор поддерживает подключение нескольких внутренних подсетей, то настройте его так, что на одном интерфейсе одна сеть, на другом другая.
Чтобы каждая подсеть имела собственный выход в интернет, но все крутилось на одном маршрутизаторе - это задача PBR (например есть в оборудовании Cisco).
Сможет кто-то снаружи подключиться к серверу через VPN? - это вопрос настройки VPN-сервера и проброс входящих подключений :). Однако поднимать VPN-сервер на контроллере домена - это не очень хорошо, и в таком случае подключаться к нему по VPN можно будет только через один канал выхода в Интернет, разве что Вы реализуете на внешних маршрутизаторах nat outside (тоже cisco).

Может быть Вам проще настроить VPN-сервер непосредственно на маршрутизаторах, которые смотрят в Интернет? Это решит вопрос с VPN в целом и не приведет к проблеме маршрутизации.

Может быть Вам будет проще полностью разделить сети и сделать две независимых сети?
Короче, напишите зачем Вы все это делаете...

Задач несколько.

Задача 1. Разделить сеть с одним сервером на две подсети для двух офисов.
Это делается для того, чтобы оба офиса сети получили собственное Интернет подключение, чтобы вести раздельно бухгалтерию и повысить общую пропускную способность, но при этом сохранить возможность доступа к общему файл-серверу и контроллеру домена.
Я нашёл информацию о PBR на сайте Cisco - Policy-Based Routing и на форуме Microsoft - Как настроить форвардинг пакетов не по таблице роутинга. Насколько я понял, PBR доступен на Linux/Unix/Cisco, но не на Windows Server.
Может быть, тогда поднять роутинг на Windows Server с двумя сетевыми картами и создать на нём таблицу роутинга, а вот DHCP поднять на маршрутизаторах, чтобы одна подсеть получала от своего маршрутизатора адреса вида 192.168.000.***, а другой 192.168.001.***, и это учитывать в таблице роутинга. Возможен ли такой вариант, будет работать? Или можно как-то иначе ещё сделать, без оборудования Cisco и операционных систем отличных от Windows Server?

Задача 2. Компьютерам созданных подсетей назначить свои "Organisation Unit" или даже свои домены.
Это делается для удобства администрирования компьютеров на основе политик безопасности домена. Чтобы к дискам компьютеров одного офиса имели доступ сотрудники этого офиса, а к дискам компьютеров другого офиса имели доступ соответственно сотрудники другого офиса.

Задача 3. Настроить VPN для подключающихся соединений.
Это делается для того, чтобы устройства с 3G подключением могли быть настроены на нашу VPN сеть, входили в неё, и уже через наши маршрутизаторы выходили дальше в Интернет, имея постоянный статичный IP-адрес. Это чтобы с мобильных устройств была возможность подключаться к тем внешним ресурсам, которые требуют постоянный IP-адрес от подключающихся.

или два маршрутизатора со своими DHCP, или два прокси сервера.
при этом у общих коммутаторов должны быть реализованы VLAN.
там две сетевухи. каждая для своей сети будет.
один сервер - один домен или дочерний домен. нельзя на одном сервере настроить два домена.
да вы и так это можете сделать.

трафик между 3G и VPN будет для них тарифицироваться как обычный 3G. Экономии нет. А выходить через ваш маршрутизатор они будут по молчанию (при подключенном VPN).
использование сертификатов позволяет подключаться с динамических адресов.

Купите у Провайдера на сим-карту услугу статического IP-адреса :)

OU можно назначать и ручками... не такой уж и большой у Вас объем администрирования...
Два домена "для удобства администрирования" - это что-то новое.
Раздельные домены создаются для обеспечения уровня безопасности на уровне Data-администраторов (для защиты от Service-администраторов требуются раздельные леса).

И чем Вам здесь один домен мешает?
Одной половине запретили локальный и сетевой вход на ПК "чужого" офиса, второй половине наоборот.
Еще раз... раздельные домены и леса - требование безопасности в отношении АДМИНИСТРАТОРОВ, а не пользователей.

Один канал на 1Мб дешевле, чем 2*512 (как правило)... зачем покупать два канала, если можно делить один с помощью шлюза, который умеет делать shape для трафика по заданным условиям! Это либо аппаратные решения, либо специальные софтовые, например, IDECO немного умеет такое делать.
Хотя, если Вам раздельно нужно платить за Интернет, то придется пользовать 2 канала, но здесь тот же IDECO Вам поможет, т.к. умеет выбирать интерфейс для группы пользователей.
Если хотите чисто MS или аппаратный шлюз, то для каждой из сетей либо поднимите свой прокси, либо задайте в качестве шлюза по-умолчанию интерфейс их роутера, а для выхода в сеть "чужого" офиса можно прописать статический маршрут.

Если Вы будете использовать один шлюз и делить трафик для двух сетей (либо использовать два прокси или шлюза), то PBR и прочие заморочки Вам не пригодятся.

чуть не забыл... вы в курсе что адрес 192.168.035.035 отличается от 192.168.35.35 ? Пишите правильно IP адреса.

Цитата:

Цитата QRS Раздельные домены создаются для обеспечения уровня безопасности »

эм... я думал они делаются для распределенной сети.

EXO и QRS, благодарю за ответы!

VPN для 3G устройств нужен только для статичного IP, не для экономии. К сожалению, сертификат там тоже не подойдёт, так как свой IP требуется для авторизации на стороннем веб-сервере с Atlassian JIRA. Одновременно для этого же пробуем заполучить такую услугу от операторов сотовой связи, больше всего в нашем городе для этого подходит Beeline, но и у них эта услуга только для корпоративных пользователей.

По поводу раздельных Интернет подключений всё сводится к наличию DHCP и VLAN на маршрутизаторах, насколько я понял.
Насчёт наличия DHCP я абсолютно уверен, а вот про VLAN что-то не нахожу.
Подскажите, пожалуйста, как определить наличие такой возможности VLAN на маршрутизаторах?
У нас на данный момент в распоряжении вот такие две модели:
ZyXEL NBG460N EE
Tenda W301R

Я думаю поторопился. можно и без VLAN, главное чтобы к одному маршрутизатору подключались только компьютеры одной сети.

Значит, всё сводится вообще только к настройке DHCP на маршрутизаторах?
Я так уже пробовал, выключал DHCP на сервере и включал на маршрутизаторах, но почему-то не подхватывалась настройка DNS и шлюзов, и соответственно Интернета на компах не было.
Маршрутизаторы после PPPoE авторизации получают сетевые настройки от провайдера - это свой внешний статический IP, внешний шлюз, два DNS сервера провайдера.
А вот что и как надо настроить на Windows Server 2008 R2 или на маршрутизаторах, чтобы компьютеры подсетей видели и друг друга и домен и контроллер домена, и при этом чтобы и Интернет тоже нормально работал?