проблема с объединением двух сегментов сети посредством третьей
 

Доброго времени суток!

После долгого и упорного поиска в сети решение найдено не было, возможно я не так задаю запрос
(каюсь если это так и за злостное размещение бесполезных и лишних сообщений).

Сначала опишу сеть:

Есть два сегмента сети, адресное поле которых 10.10.10.* (внутренний адрес), в обоих сетях есть шлюз 10.10.10.1,
в первом сегменте за него стоит двухсетевой комп, во второй стоит обычный рутер.

Между ними есть районная сеть с адресами 192.160.1.1 (1 внешний адрес) и 192.161.2.1 (2 внешний адрес)
В районной сети нет ограничений, экранов, файрволлов и запретов (нам разрешено все)

В сети есть один комп на базе W 2003 с AD, 4 компа на базе W 2K, 3 компа на базе ML PP 2011 Spring, остальные на базе W XP SP 3.

Первый сегмент имеет два шлюза интернета (оба на базе 2 сетевого компа,) один комп смотрит в инет с 3 внешним адресом и внутрь с адресом 10.10.10.1 (большего от него не требуется), второй комп смотрит в инет с 1 внешним адресом и внутрь с адресом 10.10.10.2 он то и нужен.
В первом сегменте присутствуют порядка 15 компов в домене, остальные сидят в рабочей группе.


Второй сегмент имеет один шлюз (банальный рутер) со 2 внешним адресом и вовнутрь он смотрит адресом 10.10.10.1, все компы на базе W XP SP3 сидят в рабочей группе (за отсутствием доступа к AD).

Все порты проброшены с обоих сторон, между, как говорилось выше, ничего не мешает, внешние IP выданы и привязаны к маку. (сменить не возможно)

Задача: обеспечить доступ ко всем сетевым компам обоих сегментов сети посредством районной сети, без применения VPN канала.

Проблема:
нет доступа к ресурсам даже между двумя компами в районной сети (1 и 2 внешние адреса) даже при обращении по IP адресу и при организации VPN канала.
С обоих сторон внешние адреса пингуются и если задать их в качестве ID в TV можно получить управление компом, в добавок просто указав внешний адрес поднять VPN (по которому я собственно и сижу сейчас в инете :) )

Помогите, плз, решить эту проблему, хотя бы подскажите куда биться....

В любой графический редактор, позволяющий нарисовать схему сети

ок, я на эту тему думал, пардонс, выложим

Спасибо что напонили, вот схема сети:

По твоей схеме, "Шлюзе №3" не должен видеть "Шлюзе №2" ну и наоборот.
Возьмем за исходные данные.
Слева сеть 10.10.10.* = "Сеть А"
Слева сеть 10.10.10.* = "Сеть В"

Они одинаковые почему?
Сделай так.
"Сеть В" = 10.10.20.*
На "Шлюзе №3" сделать маршрутизацию что "Сеть А" маска (ну пусть будет 24) шлюз. 192.160.1.1 (если на шлюз на винде то как то так route add 10.10.10.0 mask 255.255.255.0 192.160.1.1)
На "Шлюзе №2" сделать маршрутизацию что "Сеть B" маска (ну пусть будет 24) шлюз. 192.161.2.1 (если на шлюз на винде то как то так route add 10.10.20.0 mask 255.255.255.0 192.161.2.1)

Все должно заработать. проверяй сначала все на шлюзе. (Ну или можешь на каком нить выделенном компе)

Вообще-то, именно VPN-каналом нужно связать оба маршрутизатора (шлюза).
Ваши подсети не должны принадлежать одному диапазону.

Поясните.

Не получится. Адреса 192.160.1.1 и 192.161.2.1 - "белые", то есть принадлежат адресному пространству Интернета, а и Сети A и B - "серые" и находятся за NAT'ом.
То есть в любом случае для передачи информации между A и B нужен шифрованный канал связи, то есть VPN


Далее, на всех устройствах сети A, которые будут взаимодействовать с устройствами сети B, нужно прописать маршрут к сети B через маршрутизатор A. И наоборот. Проще всего это сделать через DHCP.

одинаковые из-за наличия трех маятниковых ноутов, которые перемещаются между сегментами, DHCP в сети отключен, ввиду наличия Wi-Fi, и для удобства пользователей не нужды перенастраивать шлюз.

Поясняю, пробовалось поднять канал напрямую между двумя компами подключенными напрямую к районной сети, ни один, ни другой комп не показал свои ресурсы, на по netbios, ни по ip, даже при VPN канале, сами компы прекрасно смотрятся вниутри локальной сетке.

Чаво?

Почему? Потому что гладиолус! :)

На самом деле отключать DHCP вне зависимости от наличия/отсутствия WiFi требует только религиозное мировоззрение админа и/или директора. Разумных причин этому нет.
1. Отключить религиозное мировоззрение
2. Включить DHCP
3. ...
4. Profit!!!

Объясняю вышесказанное.
отсутствие DHCP-сервера никак не помешает злоумышленнику самостоятельно указать нужные настройки IP вручную.
Достаточно просто подключиться к сети WiFi на первом уровне протокола TCP/IP, а уж определить используемый диапазон адресов путём перехватывания пакетов совсем не сложно :)
Так что для защиты сети нужно указать режим шифрования сигнала (WPA/WPA2) с паролем посложнее, а ещё можно задать привязку по MAC-адресам.


Усё правильно. Компы не знают, что для обращения устройствам из другого сегмента сети нужно посылать пакеты на маршрутизатор, поднимающий канал VPN. И даже маршрутизатор не знает, что для работы с устройствами из другого сегмента сети нужно посылать пакеты в канал VPN.
У них подсеть одна и та же, а посему все пинги отправляются в локальный сегмент, где искомого устройства "почему-то" не нет.

А блин, чет сразу не обратил внимание что IP-шники белые. Сорь тогда.
Просто у нас аналогичная ситуация, и ты написал районная сеть. И на IP-шники уже не обратил внимание. IP в районной сети какие? и что ты тогда подразумеваешь под районной сетью если у них внешние ip по твоей схеме получается.

В районной сети стоят ip 192.160.1.1 с обной стороны, и 192.161.2.1 эти адреса выданы нам при подключении районной сети.

Есть три ноута, и три тупых юзера панически боящихся чего либо менять, поэтому оба сегмента сети настроены так чтобы все настройки были одинаковы и при появлении в одной части сети либо в другой ничего менять не потребуется.

в сети используются нестандартные IP адреса, в добавок защита основана на выдаче сертификата и WPA2 сама точка доступа скрыта...

Нужно нормально настроить vpn канал между шлюзами 2 и 3, а так непонятно, что из себя эти шлюзы вообще представляют.
Как сказал Angry Demon
У автора просто это плохо получилось.

интересно, а как настроить канал между одинаковыми сетями? :)
как я понимаю, они обе /24 =)

Про то, что сети должны быть разными, уже было сказано и автор вроде согласился.

увы так и да обе 24....

хм, автор такого согласия не помнит... но этот вариант возможен если возможно избежать перенастройки шлюза при переходе между сегментами....

как раз vpn нужно исключить из этой задачи, так как в сети разрешили подключить напрямую....
вот и паримся...

Если без vpn настроить не удастся, то провайдер автоматически лишится целого адреса клиентов.... :read: :read: договор с ними такой.... :threaten: а я сильно злой...

Повторяю громким голосом: ПРОТОКОЛ DHCP КАК РАЗ ТАКИ И БЫЛ ПРИДУМАН ДЛЯ ТОГО, ЧТОБЫ НИКОМУ НИЧЕГО НИГДЕ НЕ НУЖНО БЫЛО МЕНЯТЬ.

Существует множество способов защиты WiFi. Два из них вы уже перечилили.
А "нестандартные IP адреса" способом защиты не являются, потому что IP-адресация (3-й уровень стека протоколов TCP/IP) на работу WiFi (1-й уровень стека протоколов TCP/IP) никакого влияния не оказывает.
Если злоумышленник выявил точку доступа и подобрал пароль, то есть расшифровал сигнал, то он сможет перехватывать пакеты со всеми IP-адресами, а значит сможет назначить своему устройству адрес из любого "нестандартного" диапазона.

Так что рекомендация остаётся прежней:
1. Отключить религиозное мировоззрение
2. Включить DHCP
3. ...
4. Profit!!!

Кстати да, если вы так озабочены безопасностью, то совершенно непонятно, как вы собираетесь передавать информацию из одной закрытой сети в другую закрытую сеть через публичную сеть?
Как вы представляете себе это без использования шифрованного туннеля?

Самое главное это не дать тырить инет, а доступ к серверам возможен только через спец авторизацию с динамическим паролем в 10 Mb, туда же и встроено шифрование (работает только со спец программой), нужен просто доступ ко всей сети, подробности и принципы нашей безопасности раскрывать муторно и не имет смысла...
поэтому нет нужды использовать vpn в районной сети...

Допустим я включу DHCP, (хотя практика показала устойчивость ко взлому при отключенном DHCP во много раз, до того как он был отрублен IP приходилось менять раз в два дня, а после отруба уже второй год пошел как не менялся...).

Перенастраиваю второй сегмент сети на 10.10.11.0,
прописываю маршруты с обеих сторон...
но что делать с wins сервером где эти самые ноуты прописаны по закрепленным IP?
в добавок как быть с теми компами доступ к которым возможен только по IP?

Какой IP менять приходилось? IP сети?
То есть вы хотите сказать, что на ваш DHCP-сервер регистрировал появление новых несанкционированных устройств?
Так вот, скорее всего уже второй год вас по-прежнему ломают все, кому не лень. Просто сейчас в сети нет никаких служб, которые бы вели поиск новых несанкционированных устройств :)

Отключить WINS-сервер нафиг
А DNS-сервер прекрасно взаимодействует с DHCP-сервером.

Вы вообще понимаете, что написали?
С любыми устройствами взаимодействие происходит исключительно по адресу IP (точнее IP4). Если только конечно устройство не работает по новому протоколу IP6 или по какому-нибудь очень старому, давно забытому протоколу (IPX и т.д.).
В свою очередь DHCP-сервер - назначает IP4, а DNS-сервер - преобразует текстовое имя в IP4.
Кстати, DHCP-сервер помнит MAC-адреса устройств, что позволяет назначать устройству постоянный IP-адрес (то есть каждый раз выделять один и тот же адрес)

Что касается устройств, использующих статические адреса, то для данных адресов нужно сделать записи в DNS-сервере и создать исключения в DHCP. Или просто выделить под динамические адреса пул меньшего размера (например с x.x.x.32 по x.x.x.127), а статические адреса разместить за границей этого пула.

El Scorpio,
мне кажется это бесполезно

поясняю: некоторые компы не принимают соединение по NetBios имени, приходиться обращатся к ним по IP... именно из-зи этого был запущен WINS сервер, который частично решил эту проблему, с ней осталось всего три компа...

немного въехал, народ не кипятитесь, я в сетях как ёж в зонтах... сейчас приходится по срочному разбираться...


После понятия DHCP как прописать раздачу интернета с разных шлюзов, и раздачу других адресов типа 14.4.4.0 сторонним клиетнтам интернета ( в сети они не участвуют, только пользуются инетом (10 человек)?

Если связисты предоставляют Вам услугу "прямой провод" между двумя Вашими подсетями, то это хороший выход.
Чего тогда париться? Разве что поставить хорошие мосты-усилители вместо этих шлюзов 2 и 3.

Чего для этого нужно и как настроить?

это называется L2VPN и заказывать нужно у провайдера.

тогда вопросотпадает, провайдер и так хренеет от моей наглости....

За время существования этой темы можно было бы уже пять раз прочитать ... хотя бы соответствующий раздел Википедии.

После выделения адреса DHCP-сервер может зарегистрировать эти устройства на DNS-сервере.
Что касается "сетевого окружения", то оно по сейчас большому счёту уже не нужно.
Основная служебная информация хранится в папках на серверах, а эти папки лучше засунуть внутрь структуры DFS. То есть компьютеры будут работать не с сервером, а с "доменом" в целом.

Смотреть настройки DHCP
Можно задать несколько шлюзов с разными метриками.
Можно задать для определённых адресов шлюз с меньшей метрикой.

Нет, это совсем не обязательно L2VPN. L2VPN модно и дорого.
Это может быть просто прямой телефонный провод проложенный (скоммутированный связистами)между Вашими офисами. Качество зависит от расстояния, конечно. На концах провода Вы ставите DSL мосты, без vpn.
Все зависит от наличия в офисах свободных телефонных пар.(по одной). И, конечно, от цены. (Услуга "прямой провод между адресами" - спросите у связистов, ничего офигительного)

Другая возможность при отказе связистов в прямом проводе - беспроводной WiFi мост на антеннах и оборудовании Ubiquiti-Mikrotik - при возможности организовать прямую видимость.

В обоих случаях сеть общая.

согласен, на большинстве компов просто висят ярлыки на сет евые ресы, и прога стоит для прохода по сети, она все сама выдает при необходимости...

по поводу домена встает некоторая затычка, есть три группы которые тоже должны иметь доступ к серверам, видимо придется поднимать еще три поддомена для замены этих групп...

А в чём смысл существования этих "групп"? В том, чтобы они красиво смотрелись в "сетевом окружении"?

Вообще-то группы (workgroup) на безопасность (авторизацию доступа к сетевым папкам и т.д.) никакого влияния не оказывает.
Ввести в состав основного домена, и весь сказ...
Разве что наличие второй ЛВС потребует создания двух "сайтов" (высокоскоростных сегментов ЛВС) внутри домена и второго контроллера домена, который будет обслуживать этот сайт (эту сеть).

своеобразное разделение подотделов и назначений компов в сети... потом на этих компах не должно быть единой авторизации с перемещаемыми аккаунтами...

Вы допустили опечатку в слове "безобразное"

ПАЧЕМУ?????!!!!!!! :durak:

"секюрность" такая видимо :laugh: :laugh:
это тоже можно сделать с помощью AD.

помоему тему пора закрывать, оффтопить начали....

Народ Всем огромное спасибо!

Еще раз прошу прощения за мою неграмотность в данном деле!

Все работает без проблем и VPN!!!

всем всего самого наилучшего!

Увы где то есть какая-то проблема все работает только если поднять VPN между шлюзами...
и, бл, только по IP а не по имени компа...