Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | |
У меня есть подозрение, что ты не поднял форвардинг между интерфейсами роутера. 05.07.05 12:40 Число просмотров: 2401
Автор: Den <Denis> Статус: The Elderman
|
|
|
|
<networking>
|
Дополнительная subnet внутри рабочей сетки. 02.07.05 03:15
Автор: Dialbat Статус: Незарегистрированный пользователь
|
Имеется рабочая сеть такой конструкции:
Внеш.Инет -> Firewall (DHCP server) -> Switch-> Пользпватели
Вопрос в следующем. Как добавить дополнительную subnet, чтоб маршрутизация из основной, спокойно проходила в дополнительную и обратно. Для примера, у меня все IP -192.168.0.0/24, я хочу добавить 192.168.1.0/24, и мне надо, чтоб с 192.168.0.0/24 пингались все IP na 192.168.1.0/24.
Firewall у меня работает и DHCP сервером, на нем только один выход.
Я попробовал добавить маршрутизатор (router) и чтоб под ним была 192.168.1.0/24, но получилось что все системы на 192.168.1.0/24 могли выходить наружу, а с 192.168.0.0/24 на 192.168.1.0/24, ни одна система про пингать немогла.
Заранее спасибо.
|
|
Ребята спасибо большое за все идеи, но вот причина этой... 05.07.05 03:47
Автор: Dialbat Статус: Незарегистрированный пользователь
|
Ребята спасибо большое за все идеи, но вот причина этой проблемы.
Все в общем пашет как надо и все довольны но, у нас есть отдел инженеров которые от делать нефига ну и по работе тоже конечно, любят врубать в сеть разные устройства, начиная от хабов со свичами и раутеров до песпроводных AP. Проблемы начались когда эти ребята для тестов стали врубать AP bridges в один и тот же хаб, тем самым создавая loop (замыкание), в общем тоже самое что если один и тот же сетевой кабель воткнуть обоими концами в свитч. КОгда это происходит то появляется куча IP конфликтов, даже на серваках с статичным IP и все удаленные соединения летят как и все программы что используют ресурсы на сети.
Наехать я на инженеров не могу, заставить тоже не могу, вот и решил я поставить между сетью и инженерами раутер и отдельную сабнет, чтоб уж если они и что запороли, так только на них это и отразиться.
Начав играться с имевшимся свободным раутером, понял что даже пре прописаном раутинге он все равно в эту подсабнет полностью не раутает.
Народу у нас не так много, так что за 254 марку не перетянем.
Если есть другие идеи по решению этой проблемы, буду признателен.
Я в курсе того что возможно перенести DHCP с файрвола на сервер, и пустить вторую сабнет со второй карточки, но не очень хотелось бы это делать. Поэтому и попытался решить это с помошью раутера, или возможно отдельной системы и линуксом в роли раутера на эту подсеть.
|
| |
Лихих ребят Однозначно в другой физический сегмент (вставляй 2-ю сетевую) 05.07.05 07:09
Автор: Woonder <Бученков Андрей> Статус: Member
|
|
|
|
Можно проще: 192.168.0.0/23; 192.168.1.0/23 04.07.05 12:48
Автор: Den <Denis> Статус: The Elderman
|
Смени на рабочих станциях маску подсети на 255.255.254.0 и все должно работать. На серверах и маршрутизаторах маску подсети можно не трогать, если каждая подсеть должна общаться исключительно со своими серверами, а рабочие станции обоих подсетей должны видеть друг друга.
> Я попробовал добавить маршрутизатор (router) и чтоб под ним
> была 192.168.1.0/24, но получилось что все системы на
> 192.168.1.0/24 могли выходить наружу, а с 192.168.0.0/24 на
> 192.168.1.0/24, ни одна система про пингать немогла.
> Заранее спасибо.
А ты настраивал роутинг между подсетями?
|
| |
ИМХО 510 компов в бродкаст домене (или - хуже в домене коллизий) - НЕ есть хорожо 04.07.05 18:37
Автор: Woonder <Бученков Андрей> Статус: Member
|
|
|
|
Для начала хочется сказать, что не надо городить такой... 03.07.05 12:18
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 03.07.05 12:20 Количество правок: 1
|
Для начала хочется сказать, что не надо городить такой огород. Если сегмент один, то и подсеть должна быть одна. Ничто не мешает двум подсетям работать в одном сегменте, но общаться друг с другом, это уже не есть хорошо.
Можно попробовать решить задачку, установив в сервер второй адаптер и подключив его к тому же свитчу. На каждом адаптере должны быть адреса из разных подсетей, добавить форвардинг и все "увидят" друг друга и интернет.
Второй вариант - на внутреннем адаптере должны быть два адреса, например 192.168.0.1/24 и 192.168.1.1/24. Ну и форвардинг между всем.
> Имеется рабочая сеть такой конструкции:
> Внеш.Инет -> Firewall (DHCP server) -> Switch->
> Пользпватели
> Вопрос в следующем. Как добавить дополнительную subnet,
> чтоб маршрутизация из основной, спокойно проходила в
> дополнительную и обратно. Для примера, у меня все IP
> -192.168.0.0/24, я хочу добавить 192.168.1.0/24, и мне
> надо, чтоб с 192.168.0.0/24 пингались все IP na
> 192.168.1.0/24.
> Firewall у меня работает и DHCP сервером, на нем только
> один выход.
> Я попробовал добавить маршрутизатор (router) и чтоб под ним
> была 192.168.1.0/24, но получилось что все системы на
> 192.168.1.0/24 могли выходить наружу, а с 192.168.0.0/24 на
> 192.168.1.0/24, ни одна система про пингать немогла.
> Заранее спасибо.
|
| |
А почему нельзя-то? Может, ему уже адресов не хватает, или... 04.07.05 11:16
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Для начала хочется сказать, что не надо городить такой
> огород. Если сегмент один, то и подсеть должна быть одна.
А почему нельзя-то? Может, ему уже адресов не хватает, или еще по какой причине доп. сеть нужна (например, правила на файрволе для нее другие будут).
Насчет доп. сетевой платы. ИМХО - необязательно, т.к. все современные ОС понимают 2 айпишника на одном физическом интерфейсе.
|
| | |
А я не говорю,что нельзя. Я предлагаю не решать проблему через 'Ж'. 04.07.05 22:49
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
Адресов мало, можно не сеть другого класса перейти - с С на В или даже на А.
При общении меджу сетями все через роутер пойдет - может затыкаться. Лучше напрямую.
|
|
Уточни топологию сетки 02.07.05 20:29
Автор: Woonder <Бученков Андрей> Статус: Member
|
Маршрутизатор поднимал на Фаерволе или отдельный хардварный
Если на фаерволе, то у тебя там 3 Интерфейса
1 - Inet
2 - 192.168.0.0/24
3 - 192.168.1.0/24
Я правильно понял?
|
| |
Все так, но только нет 3 интерфейса, так бы просто пустил на... 05.07.05 03:54
Автор: Dialbat Статус: Незарегистрированный пользователь
|
Все так, но только нет 3 интерфейса, так бы просто пустил на него эту подсеть и все.
> Маршрутизатор поднимал на Фаерволе или отдельный хардварный
> Если на фаерволе, то у тебя там 3 Интерфейса
> 1 - Inet
> 2 - 192.168.0.0/24
> 3 - 192.168.1.0/24
> Я правильно понял?
|
| | |
Возможно заапреты Firewall 05.07.05 07:02
Автор: Woonder <Бученков Андрей> Статус: Member
|
> Все так, но только нет 3 интерфейса, так бы просто пустил
> на него эту подсеть и все.
Может у тя на фаерволе разрешающие правила в Inet для обоих подсетей есть , а для внутреннего межсетевого взаимодействия - нет, вот он и режет весь траффик между сетями, а наружу пропускает.
Например MS ISA2004 - вообще - ВЕЩЬ_В_СЕБЕ - пока что-то не разрешить - чхать он хотел - что это внутренние сетки, он защищает себя любимого от любого траффика (не важно откуда), а маршрутизацию между двумя внутренними интерфейсами - вообще настраивать отдельно надо (Это касается только 2 сетевых плат, не знаю точно как он себя ведёт когда 2 адреса на 1 сетевой)
У CheckPoint похожая ситуация,
В общем хорошо бы знать какая у тебя Ось, Фаервол, и что ДХЦП раздаёт, да и правила Фаервольные.
В общем говори IP, Логин и Пароль Админа - Общими усилиями сами всё сделаем :) (Шутю....)
|
| | | |
Я уж было принялся тебе свой АйПи писать с паролем на... 05.07.05 09:01
Автор: Dialbat Статус: Незарегистрированный пользователь
|
Я уж было принялся тебе свой АйПи писать с паролем на файрвол, как увидел твоё (шучу) :)
Все в общем то работает, и на файрволе я правила на раутинг давал, чтоб он все что на 192.168.1.0/24 исет, посылал на мой подсетевой раутер. Но все нито.
Для примера, у нас ACT 5 стоит, и база находится на основной сети, так все кто на подсети сидели, каждые несколько минут вырубались и теряли связь с базой, плюс все драйвы замапаные, тоже связь теряли.
Мне дали идею что нужен полный Layer3 routing switch, и мол потом все будет пахать как надо, но это удовольствие больших денег стоит и я решил попробовать линукс раутер с 2 картами.
Вот завтра с утра опять начну играться, и посмотри что и как.
> > Все так, но только нет 3 интерфейса, так бы просто
> пустил
> > на него эту подсеть и все.
>
> Может у тя на фаерволе разрешающие правила в Inet для обоих
> подсетей есть , а для внутреннего межсетевого
> взаимодействия - нет, вот он и режет весь траффик между
> сетями, а наружу пропускает.
> Например MS ISA2004 - вообще - ВЕЩЬ_В_СЕБЕ - пока что-то не
> разрешить - чхать он хотел - что это внутренние сетки, он
> защищает себя любимого от любого траффика (не важно
> откуда), а маршрутизацию между двумя внутренними
> интерфейсами - вообще настраивать отдельно надо (Это
> касается только 2 сетевых плат, не знаю точно как он себя
> ведёт когда 2 адреса на 1 сетевой)
> У CheckPoint похожая ситуация,
> В общем хорошо бы знать какая у тебя Ось, Фаервол, и что
> ДХЦП раздаёт, да и правила Фаервольные.
> В общем говори IP, Логин и Пароль Админа - Общими усилиями
> сами всё сделаем :) (Шутю....)
|
| | | | |
У меня есть подозрение, что ты не поднял форвардинг между интерфейсами роутера. 05.07.05 12:40
Автор: Den <Denis> Статус: The Elderman
|
|
|
| | | | | |
Dem - а можно более подробней? 05.07.05 19:38
Автор: Dialbat Статус: Незарегистрированный пользователь
|
Dem - а можно более подробней?
между какими интерфайсами?
На файрволе только 2, 1 - внешний, 2- внутренний. Между ними все работает как надо.
На Файрволе есть фича на добавления раутинга, где я выставил IP дополнительного раутера на сетек, скажем 192.168.0.30, и что все по запросу на 192.168.1.0/24 должно идти на 192.168.0.30.
Но это не дало мне требуемого результата.
|
| | | | | | |
У фаервола есть название, может тогда станет немного легче думать... 05.07.05 21:07
Автор: Woonder <Бученков Андрей> Статус: Member
|
|
|
| | | | | | | |
Стормозил :) 05.07.05 21:23
Автор: Dialbat Статус: Незарегистрированный пользователь
|
Стормозил :)
WatchGuard Firebox X500
|
| | | | | | | | |
Что покажет сниффер 05.07.05 22:50
Автор: Woonder <Бученков Андрей> Статус: Member
|
1.На Компе из сетки 192.168.0.0/24 запусти сниффер и лови ICMP пакеты
2.запусти пинг например на адрес 192.168.1.10
3.Смотри какие пакеты захватил сниффер:
1 пакет (Посылаешь ты) - ICMP Echo Request: From (Твой IP) To 192.168.1.10
2 пакет (Тебе отвечает Твой FW) - ICMP Redirect: Use Gateway 192.168.0.30 to reach 192.168.1.10
3 пакет (Тебе отвечает комп ) - ICMP Echo Reply: From 192.168.1.10 to (Твой IP)
Если нет 2 пакета, то твой WatchGuard Firebox X500 либо не правильно настроен, либо могет не поддерживает что-то
Если нет 3 пакета, то неправильно настроен маршрутизатор 192.168.0.30
Да и ещё не мешало бы контролировать WatchGuard Firebox X500 в реальном времени и логи посмотреть
Расскажи потом что показал сниффер.
Кстати в тему : У тебя Firebox с тремя портами? Или я что-то путаю.
Есть ещё вариант:
через DHCP раздавай сетке 192.168.0.0 шлюз по умолчанию - 192.168.0.30
на маршрутизаторе 192.168.0.30 шлюзом по умолчанию ставь адрес Firebox
Тогда компы из сетки 192.168.0.0 при запросах в Инет просто будут получать от 192168.0.30 пакеты ICMP Redirect на IP Firebox
|
| | | | | | | | | |
Спасибо, начну пробовать. 05.07.05 23:43
Автор: Dialbat Статус: Незарегистрированный пользователь
|
Спасибо, начну пробовать.
Да, на нем действительно 3 порта, но 3 порт идет как DMZ и изначально настроен на более слабую защиту. Я о нем не говорил, чтоб народ в заблуждение не вводить.
> 1.На Компе из сетки 192.168.0.0/24 запусти сниффер и лови
> ICMP пакеты
> 2.запусти пинг например на адрес 192.168.1.10
> 3.Смотри какие пакеты захватил сниффер:
> 1 пакет (Посылаешь ты) - ICMP Echo Request: From (Твой
> IP) To 192.168.1.10
> 2 пакет (Тебе отвечает Твой FW) - ICMP Redirect: Use
> Gateway 192.168.0.30 to reach 192.168.1.10
> 3 пакет (Тебе отвечает комп ) - ICMP Echo Reply: From
> 192.168.1.10 to (Твой IP)
>
> Если нет 2 пакета, то твой WatchGuard Firebox X500 либо не
> правильно настроен, либо могет не поддерживает что-то
> Если нет 3 пакета, то неправильно настроен маршрутизатор
> 192.168.0.30
> Да и ещё не мешало бы контролировать WatchGuard Firebox
> X500 в реальном времени и логи посмотреть
> Расскажи потом что показал сниффер.
>
> Кстати в тему : У тебя Firebox с тремя портами? Или я
> что-то путаю.
>
> Есть ещё вариант:
> через DHCP раздавай сетке 192.168.0.0 шлюз по умолчанию -
> 192.168.0.30
> на маршрутизаторе 192.168.0.30 шлюзом по умолчанию ставь
> адрес Firebox
> Тогда компы из сетки 192.168.0.0 при запросах в Инет просто
> будут получать от 192168.0.30 пакеты ICMP Redirect на IP
> Firebox
|
|
|
подробно о проекте
Анализ криптографических сетевых...
