Маршрутизация между двумя подсетями
 

Такая ситуация. Есть две подсети
1 подсеть . 10.23.1.*
2 подсеть . 10.0.23.*
Шлюхом для первой подсети является сервер с адресом 10.23.1.2. На этой же сетевой карте прописан еще один адрес - 10.0.23.2. Также этот сервер является шлюзом в инет и на нем установлен UserGate 5.0. ОС Windows Server 2003, подняты AD и DNS.
Шлюзом для второй подсети является сервер с адресом 10.23.0.1. На нем же стоит вторая сетевая карта с адресом 10.23.1.1. ОС Windows Server 2003, установлены AD, DNS, DHCP с пулом адресов 10.0.23.100-250.
Оба сервера являются контроллерами разных доменов.
На данный момент все клиенты видят оба сервера, но не видят друг друга из разных подсетей. Задача такова, чтобы все клиенты могли видеть друг друга. Каким образом лучше все настроить, чтобы не было путаницы.
P.S: И такой вопрос. А если пул адресов DHCP сменить на 10.23.1.*, то могут ли возникнуть какие-то непредсказуемые последствия и возможно ли будет потом настроить доверительные отношения между доменами? Правильно ли я понимаю, что каждый DNS -сервер будет обслуживать свой домен и пересылку делать придется, или же каждый DNS-сервер будет знать все о всех компах в сети?

Reaper666, можете схему нарисовать? пока мало что понятно, где и что у вас. А так хотелось бы узнать, что вы имеете ввиду под "не видят"?

Вот, схема такова. Необходимо сделать маршрутизацию таким образом, чтобы пользователи из каждой подсети имели доступ к компьютерам из другой подсети и к серверам.
Файл 111154

у вас два узла имеют доступ к двум сетям.
вам нужно на одном из них включить маршрутизацию сетей.
всем клиентам через DHCP раздать статические маршруты в соседнюю сеть через выбранный узел.

но есть и второй вариант - объединить все компьютеры в одну сеть. правда придётся решать вопрос автоматического назначения нужного шлюза по умолчанию, если у вас два провайдера.

Создать в параметрах DHCP-сервера две группы устройств. Для каждой группы указать свой шлюз.
Затем по мере обращения компьютеров перемещать записи нужных MAC-адресов в нужную группу.

exo, забыл еще сказать, физически все компы находятся в одной сети, это что-то меняет или нет? И посчет статических маршрутов, а разве нельзя сделать так, что если комп из подсети 10.23.1.* хочет в подсеть 10.0.23.*, то он обращается к шлюзу 10.23.1.2, шлюз перебрасывает его на 10.0.23.2, а тот уже отправляет запрос в подсеть 10.0.23.* и получает оттуда ответ. Или я в чем-то неправ?

Да можно, при условии что второй шлюз тоже может маршрутизировать сети.
физическая и логическая организация сети конечно же влияет на работу сети.

El Scorpio, кстати, о каком DHCP идёт речь?

exo, кстати, курил сеть дальше и вот что обнаружил. В какой-то момент я попробовал пропинговать комп из соседней подсети. Первый пакет не прошел, а все остальные пошли. Причем никакой маршрутизации на тот момент не было. Покурив дальше, я выяснил вот что. Еще прошлыми админами было сделано вот такое правило в юзергейте. Файл 111188 Именно оно позволяло мне пинговать компы из другой подсети. Я попробовал добавить в это правило все порты, и получил доступ к компам из другой подсети, то есть я видел их локальные ресурсы, мог их пинговать, заходить на веб-морды принтаков и так далее. Хотелось бы узнать, что это за назначение такое Masqurade, потому что при создании правила в UserGate я не нашел такого пункта назначения. Также я заметил, что выходить в инет можно и без этого правила, а значит его можно использовать для маршрутизации, но хотелось бы детальнее понять, как оно работает. Куда стоить копать и что почитать?

не могу дать вам ответ на ваш вопрос - не пользуюсь юзергейтом.
Но вижу в правиле слово NAT. можете зайти на сайт www.2ip.ru с компьютеров из каждой сети? является ли IP адрес одним и тем же для каждой сети?

Грубо говоря, "Маскарад" - одна из частей функции NAT маршрутизатора.
Маскарад скрывает структуру "внутренней" сети, заменяя реальные значения обратных адресов и портов в исходящих пакетах.
При этом "внутренние" устройства получают доступ к "внешним" устройствам, в то время как "внешние" могут обращаться только к маршрутизатору по его "внешнему" IP-адресу.

Физически (на первом уровне стека протоколов модели OSI) компы находятся в разных сетях :)
Более того, в рамках второго и третьего уровня модели OSI они также находятся в разных сетях, разделённых маршрутизатором.

Ваши сети организованы следующим образом
Внутренняя (10.23.0.*) - Внешняя (10.23.1.*) - Интернет

NAT на сервере [10.23.0.1. - 10.23.1.1] обеспечивает доступ компьютерам из "внутренней" сети к компьютерам "внешней" сети (в том числе к маршрутизатору интернета) и блокирует обратный доступ.
NAT на сервере [10.23.1.2] обеспечивает доступ компьютерам "внешней" сети (в том числе шлюзу внутренней сети 10.23.1.1) к серверам интернета и блокирует обратный доступ.

Таким образом, чтобы настроить симметричный обмен данными между сетями нужно следующее
1. Отключить NAT на шлюзе внутренней сети, чтобы пакеты проходили без изменения обратного адреса.
2А. Всем компьютерам внешней сети добавить маршрут 10.23.0.0/24 через 10.23.1.1
2Б. Или на сервере 10.23.1.2 добавить маршрут 10.23.0.0/24 через 10.23.1.1

Дополнительно настраивать маршрутизацию компьютерам внутренней сети не требуется, так как для них сервер 10.23.0.1 уже является шлюзом по-умолчанию.
Добавить маршруты компьютерам внешней сети можно через опцию DHCP-сервера. Альтернативный вариант 2Б заключается в том, что "внешние" компьютеры будут сначала отправлять пакеты на свой шлюз, который будет пересылать их не в интернет, а на 10.23.1.1

А вообще зачем нужно два разных домена?

El Scorpio, Блин, возможно, я неправильно изначально объяснил. Сети 10.23.1.* и 10.0.23.* являются равноценными, и не являются внешними. Они обе внутренние. Шлюзом в инет является dc-server(10.23.1.2 и 10.0.23.2). Юзеры из первой подсети в качестве прокси пишут первый адрес, из второй подсети второй адрес. Просто на dc-server есть еще третья сетевая карта. Файл 111200 и через нее все соединяется с инетом. Там висят NAT правила, которые с сетевых интерфейсов перебрасывают трафик на 3 карту. Файл 111205. Если брать вот эти 2 правила NAT elsila и Nat esila и если добавить в них все порты, то компы из обеих подсетей имеют доступ друг к другу. Поэтому мне эта система непонятна.
2 домена не нужны, просто предыдущие админы так сделали, а надо все перевести в один. Но работу прерывать нельзя, поэтому я сначала хотел сделать маршрутизацию, потом настроить доверительные отношения между доменами и начинать перебрасывать пользователей в другой домен и другую подсеть.

понятно. тогда вам нужно настроить правило маршрутизации этих сетей. Если бы это был RRAS от Micorosoft, то это делается так:

а как в юзергейте - читайте документацию.

exo, а настраивать нужно на обеих серваках или же достаточно на одном?

у вас один сервере и все клиенты подключаются к нему.

Как прокси-сервер да, он один. Но оба сервера являются шлюзами же или это неважно? То есть, первый сервер является шлюзом для первой подсети, а второй сервер для второй или я опять в чем-то неправ?

Reaper666, схема сети совершенно непонятная.
И зачем каждый сервер имеет по две сетевых карты?

El Scorpio, это было еще до меня, я на этом предприятии и хочу привести все в адекватный вид. Как я понял, две сетевухи были для того, чтобы доступ к серверам был из обеих подсетей. А что в схеме неясно?