Dem - а можно более подробней?
между какими интерфайсами?
На файрволе только 2, 1 - внешний, 2- внутренний. Между ними все работает как надо.
На Файрволе есть фича на добавления раутинга, где я выставил IP дополнительного раутера на сетек, скажем 192.168.0.30, и что все по запросу на 192.168.1.0/24 должно идти на 192.168.0.30.
Но это не дало мне требуемого результата.
Имеется рабочая сеть такой конструкции:
Внеш.Инет -> Firewall (DHCP server) -> Switch-> Пользпватели
Вопрос в следующем. Как добавить дополнительную subnet, чтоб маршрутизация из основной, спокойно проходила в дополнительную и обратно. Для примера, у меня все IP -192.168.0.0/24, я хочу добавить 192.168.1.0/24, и мне надо, чтоб с 192.168.0.0/24 пингались все IP na 192.168.1.0/24.
Firewall у меня работает и DHCP сервером, на нем только один выход.
Я попробовал добавить маршрутизатор (router) и чтоб под ним была 192.168.1.0/24, но получилось что все системы на 192.168.1.0/24 могли выходить наружу, а с 192.168.0.0/24 на 192.168.1.0/24, ни одна система про пингать немогла.
Заранее спасибо.
Ребята спасибо большое за все идеи, но вот причина этой...05.07.05 03:47 Автор: Dialbat Статус: Незарегистрированный пользователь
Ребята спасибо большое за все идеи, но вот причина этой проблемы.
Все в общем пашет как надо и все довольны но, у нас есть отдел инженеров которые от делать нефига ну и по работе тоже конечно, любят врубать в сеть разные устройства, начиная от хабов со свичами и раутеров до песпроводных AP. Проблемы начались когда эти ребята для тестов стали врубать AP bridges в один и тот же хаб, тем самым создавая loop (замыкание), в общем тоже самое что если один и тот же сетевой кабель воткнуть обоими концами в свитч. КОгда это происходит то появляется куча IP конфликтов, даже на серваках с статичным IP и все удаленные соединения летят как и все программы что используют ресурсы на сети.
Наехать я на инженеров не могу, заставить тоже не могу, вот и решил я поставить между сетью и инженерами раутер и отдельную сабнет, чтоб уж если они и что запороли, так только на них это и отразиться.
Начав играться с имевшимся свободным раутером, понял что даже пре прописаном раутинге он все равно в эту подсабнет полностью не раутает.
Народу у нас не так много, так что за 254 марку не перетянем.
Если есть другие идеи по решению этой проблемы, буду признателен.
Я в курсе того что возможно перенести DHCP с файрвола на сервер, и пустить вторую сабнет со второй карточки, но не очень хотелось бы это делать. Поэтому и попытался решить это с помошью раутера, или возможно отдельной системы и линуксом в роли раутера на эту подсеть.
Лихих ребят Однозначно в другой физический сегмент (вставляй 2-ю сетевую)05.07.05 07:09 Автор: Woonder <Бученков Андрей> Статус: Member
Смени на рабочих станциях маску подсети на 255.255.254.0 и все должно работать. На серверах и маршрутизаторах маску подсети можно не трогать, если каждая подсеть должна общаться исключительно со своими серверами, а рабочие станции обоих подсетей должны видеть друг друга.
> Я попробовал добавить маршрутизатор (router) и чтоб под ним > была 192.168.1.0/24, но получилось что все системы на > 192.168.1.0/24 могли выходить наружу, а с 192.168.0.0/24 на > 192.168.1.0/24, ни одна система про пингать немогла. > Заранее спасибо.
А ты настраивал роутинг между подсетями?
ИМХО 510 компов в бродкаст домене (или - хуже в домене коллизий) - НЕ есть хорожо04.07.05 18:37 Автор: Woonder <Бученков Андрей> Статус: Member
Для начала хочется сказать, что не надо городить такой...03.07.05 12:18 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 03.07.05 12:20 Количество правок: 1
Для начала хочется сказать, что не надо городить такой огород. Если сегмент один, то и подсеть должна быть одна. Ничто не мешает двум подсетям работать в одном сегменте, но общаться друг с другом, это уже не есть хорошо.
Можно попробовать решить задачку, установив в сервер второй адаптер и подключив его к тому же свитчу. На каждом адаптере должны быть адреса из разных подсетей, добавить форвардинг и все "увидят" друг друга и интернет.
Второй вариант - на внутреннем адаптере должны быть два адреса, например 192.168.0.1/24 и 192.168.1.1/24. Ну и форвардинг между всем.
> Имеется рабочая сеть такой конструкции: > Внеш.Инет -> Firewall (DHCP server) -> Switch-> > Пользпватели > Вопрос в следующем. Как добавить дополнительную subnet, > чтоб маршрутизация из основной, спокойно проходила в > дополнительную и обратно. Для примера, у меня все IP > -192.168.0.0/24, я хочу добавить 192.168.1.0/24, и мне > надо, чтоб с 192.168.0.0/24 пингались все IP na > 192.168.1.0/24. > Firewall у меня работает и DHCP сервером, на нем только > один выход. > Я попробовал добавить маршрутизатор (router) и чтоб под ним > была 192.168.1.0/24, но получилось что все системы на > 192.168.1.0/24 могли выходить наружу, а с 192.168.0.0/24 на > 192.168.1.0/24, ни одна система про пингать немогла. > Заранее спасибо.
А почему нельзя-то? Может, ему уже адресов не хватает, или...04.07.05 11:16 Автор: cybervlad <cybervlad> Статус: Elderman
> Для начала хочется сказать, что не надо городить такой > огород. Если сегмент один, то и подсеть должна быть одна. А почему нельзя-то? Может, ему уже адресов не хватает, или еще по какой причине доп. сеть нужна (например, правила на файрволе для нее другие будут).
Насчет доп. сетевой платы. ИМХО - необязательно, т.к. все современные ОС понимают 2 айпишника на одном физическом интерфейсе.
А я не говорю,что нельзя. Я предлагаю не решать проблему через 'Ж'.04.07.05 22:49 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Адресов мало, можно не сеть другого класса перейти - с С на В или даже на А.
При общении меджу сетями все через роутер пойдет - может затыкаться. Лучше напрямую.
Уточни топологию сетки02.07.05 20:29 Автор: Woonder <Бученков Андрей> Статус: Member
Маршрутизатор поднимал на Фаерволе или отдельный хардварный
Если на фаерволе, то у тебя там 3 Интерфейса
1 - Inet
2 - 192.168.0.0/24
3 - 192.168.1.0/24
Я правильно понял?
Все так, но только нет 3 интерфейса, так бы просто пустил на...05.07.05 03:54 Автор: Dialbat Статус: Незарегистрированный пользователь
Все так, но только нет 3 интерфейса, так бы просто пустил на него эту подсеть и все.
> Маршрутизатор поднимал на Фаерволе или отдельный хардварный > Если на фаерволе, то у тебя там 3 Интерфейса > 1 - Inet > 2 - 192.168.0.0/24 > 3 - 192.168.1.0/24 > Я правильно понял?
Возможно заапреты Firewall05.07.05 07:02 Автор: Woonder <Бученков Андрей> Статус: Member
> Все так, но только нет 3 интерфейса, так бы просто пустил > на него эту подсеть и все.
Может у тя на фаерволе разрешающие правила в Inet для обоих подсетей есть , а для внутреннего межсетевого взаимодействия - нет, вот он и режет весь траффик между сетями, а наружу пропускает.
Например MS ISA2004 - вообще - ВЕЩЬ_В_СЕБЕ - пока что-то не разрешить - чхать он хотел - что это внутренние сетки, он защищает себя любимого от любого траффика (не важно откуда), а маршрутизацию между двумя внутренними интерфейсами - вообще настраивать отдельно надо (Это касается только 2 сетевых плат, не знаю точно как он себя ведёт когда 2 адреса на 1 сетевой)
У CheckPoint похожая ситуация,
В общем хорошо бы знать какая у тебя Ось, Фаервол, и что ДХЦП раздаёт, да и правила Фаервольные.
В общем говори IP, Логин и Пароль Админа - Общими усилиями сами всё сделаем :) (Шутю....)
Я уж было принялся тебе свой АйПи писать с паролем на...05.07.05 09:01 Автор: Dialbat Статус: Незарегистрированный пользователь
Я уж было принялся тебе свой АйПи писать с паролем на файрвол, как увидел твоё (шучу) :)
Все в общем то работает, и на файрволе я правила на раутинг давал, чтоб он все что на 192.168.1.0/24 исет, посылал на мой подсетевой раутер. Но все нито.
Для примера, у нас ACT 5 стоит, и база находится на основной сети, так все кто на подсети сидели, каждые несколько минут вырубались и теряли связь с базой, плюс все драйвы замапаные, тоже связь теряли.
Мне дали идею что нужен полный Layer3 routing switch, и мол потом все будет пахать как надо, но это удовольствие больших денег стоит и я решил попробовать линукс раутер с 2 картами.
Вот завтра с утра опять начну играться, и посмотри что и как.
> > Все так, но только нет 3 интерфейса, так бы просто > пустил > > на него эту подсеть и все. > > Может у тя на фаерволе разрешающие правила в Inet для обоих > подсетей есть , а для внутреннего межсетевого > взаимодействия - нет, вот он и режет весь траффик между > сетями, а наружу пропускает. > Например MS ISA2004 - вообще - ВЕЩЬ_В_СЕБЕ - пока что-то не > разрешить - чхать он хотел - что это внутренние сетки, он > защищает себя любимого от любого траффика (не важно > откуда), а маршрутизацию между двумя внутренними > интерфейсами - вообще настраивать отдельно надо (Это > касается только 2 сетевых плат, не знаю точно как он себя > ведёт когда 2 адреса на 1 сетевой) > У CheckPoint похожая ситуация, > В общем хорошо бы знать какая у тебя Ось, Фаервол, и что > ДХЦП раздаёт, да и правила Фаервольные. > В общем говори IP, Логин и Пароль Админа - Общими усилиями > сами всё сделаем :) (Шутю....)
У меня есть подозрение, что ты не поднял форвардинг между интерфейсами роутера.05.07.05 12:40 Автор: Den <Денис Т.> Статус: The Elderman
Dem - а можно более подробней?
между какими интерфайсами?
На файрволе только 2, 1 - внешний, 2- внутренний. Между ними все работает как надо.
На Файрволе есть фича на добавления раутинга, где я выставил IP дополнительного раутера на сетек, скажем 192.168.0.30, и что все по запросу на 192.168.1.0/24 должно идти на 192.168.0.30.
Но это не дало мне требуемого результата.
У фаервола есть название, может тогда станет немного легче думать...05.07.05 21:07 Автор: Woonder <Бученков Андрей> Статус: Member
1.На Компе из сетки 192.168.0.0/24 запусти сниффер и лови ICMP пакеты
2.запусти пинг например на адрес 192.168.1.10
3.Смотри какие пакеты захватил сниффер:
1 пакет (Посылаешь ты) - ICMP Echo Request: From (Твой IP) To 192.168.1.10
2 пакет (Тебе отвечает Твой FW) - ICMP Redirect: Use Gateway 192.168.0.30 to reach 192.168.1.10
3 пакет (Тебе отвечает комп ) - ICMP Echo Reply: From 192.168.1.10 to (Твой IP)
Если нет 2 пакета, то твой WatchGuard Firebox X500 либо не правильно настроен, либо могет не поддерживает что-то
Если нет 3 пакета, то неправильно настроен маршрутизатор 192.168.0.30
Да и ещё не мешало бы контролировать WatchGuard Firebox X500 в реальном времени и логи посмотреть
Расскажи потом что показал сниффер.
Кстати в тему : У тебя Firebox с тремя портами? Или я что-то путаю.
Есть ещё вариант:
через DHCP раздавай сетке 192.168.0.0 шлюз по умолчанию - 192.168.0.30
на маршрутизаторе 192.168.0.30 шлюзом по умолчанию ставь адрес Firebox
Тогда компы из сетки 192.168.0.0 при запросах в Инет просто будут получать от 192168.0.30 пакеты ICMP Redirect на IP Firebox
Спасибо, начну пробовать.
Да, на нем действительно 3 порта, но 3 порт идет как DMZ и изначально настроен на более слабую защиту. Я о нем не говорил, чтоб народ в заблуждение не вводить.
> 1.На Компе из сетки 192.168.0.0/24 запусти сниффер и лови > ICMP пакеты > 2.запусти пинг например на адрес 192.168.1.10 > 3.Смотри какие пакеты захватил сниффер: > 1 пакет (Посылаешь ты) - ICMP Echo Request: From (Твой > IP) To 192.168.1.10 > 2 пакет (Тебе отвечает Твой FW) - ICMP Redirect: Use > Gateway 192.168.0.30 to reach 192.168.1.10 > 3 пакет (Тебе отвечает комп ) - ICMP Echo Reply: From > 192.168.1.10 to (Твой IP) > > Если нет 2 пакета, то твой WatchGuard Firebox X500 либо не > правильно настроен, либо могет не поддерживает что-то > Если нет 3 пакета, то неправильно настроен маршрутизатор > 192.168.0.30 > Да и ещё не мешало бы контролировать WatchGuard Firebox > X500 в реальном времени и логи посмотреть > Расскажи потом что показал сниффер. > > Кстати в тему : У тебя Firebox с тремя портами? Или я > что-то путаю. > > Есть ещё вариант: > через DHCP раздавай сетке 192.168.0.0 шлюз по умолчанию - > 192.168.0.30 > на маршрутизаторе 192.168.0.30 шлюзом по умолчанию ставь > адрес Firebox > Тогда компы из сетки 192.168.0.0 при запросах в Инет просто > будут получать от 192168.0.30 пакеты ICMP Redirect на IP > Firebox