доступ к серверу с двух шлюзов
 

Доброго всем дня.
возникла задача сделать возможность заходить извне (из сети Интернет) на любой из двух шлюзов сети, которые мапят на определенный порт одного и того же сервера.
сеть 192.168.0.0.
шлюз1 192.168.0.1
шлюз2 192.168.0.250
сервер 192.168.0.100, на его сетевой карте шлюзом выставлен IP шлюза№1
сейчас доступ извне возможен только с шлюза№1.
хотелось бы тоже самое делать и с шлюза№2, без задействования второй сетевой карты. интернет-каналы объединять на одном шлюзе тоже не хотелось бы.
есть ли решение проблемы, или придётся всё-таки включать вторую сетевую карту на сервере и разделять шлюзы по подсетям?

со второго шлюза "натить" удаленный адрес на свой, тогда пакеты будут возвращаться к нему

просьба большая: расшифруйте как здесь использовать NAT?
а если удалённый адрес не имеет постоянного IP?

google://network load balancing

2-vsolom > какое вам дело до удаленного адреса?
условие для проброса, входящий пакет конкретный порт
на первом шлюзе вы подменяете внешний ip шлюза на адрес сервера
на втором тоже самое, но вдобавок меняете удаленный ip (любой) на внутренний адрес шлюза 192.168.0.250, сервер воспримет его как локальный, и ответ уйдет по адресу отправителя - на шлюз2

пробовал делать следующее:
с первого шлюза извне заходят по RDP по порту 3390 и попадают на сервер (шлюз мапит трафик RDP на 3389 как положено). такое же правило, только с другим портом (3398) действует и на втором шлюзе. вся беда в том, что сервер отвечает только тому шлюзу, IP которого у него выставлен на сетевой карте в качестве основного шлюза.

ранее пробовал ставить в параметрах карты второй шлюз и назначал разные матрики. в этом случае одновременный доступ к серверу не работал, а спустя некоторое время отваливался и трафик с первым шлюзом.

операционная система, я так понимаю, OS/2?

нет, w2003 sp2 r2...

и на шлюзе?

VPN на оба шлюза, у которых одна общая подсеть с сервером, но с разными диапазонами выдаваемых IP-адресов. Дополнительно, фаерволами шлюзов ограничить доступ vpn-ip-адресов только до сервера и только по RDP-порту. Сецурити будет выше, но добавится лишнее действие по поднятию VPN.

С NAT'ами замут крутой слегка, особенно если шлюзы на Windows =) Если в терминах iptables, то это совмещение DNAT+SNAT.

на обоих шлюзах тоже. также на них установлены Kerio Winroute F.

to 9: с VPN была мысль сделать - только у этого решения оказалось минусов больше чем удобств.
к тому же печать по RDP через VPN валится чаще, чем без нее (каналы не очень широкие).

еще вариант, заведите оба канала в один шлюз

это самый простой вариант, но при выходе из строя самого шлюза оба канала автоматически "упадут", а это чревато нехорошими последствиями. придётся, видимо, задействовать вариант со второй сетевой картой...

[em]но при выходе из строя самого шлюза оба канала автоматически "упадут"[/em]
так вы кластер сделайте, машинка как раз освбодилась
[em]придётся, видимо, задействовать вариант со второй сетевой картой... [/em]
это было очевидно) после спича №2

Я только никак не пойму, как тут поможет вторая сетевая карта и другая подсеть. Кстати, нафига вторая сетевая, если на первой можно прописать дополнительно другой ip из другой подсети?

13-vsolom > кстати, [em]при выходе из строя самого[/em] сервера, вам не помогут и 10 шлюзов, такая мысль не посещала?

droidman, имхо, самое время тебе зарядить про виртуалбокс

не, это же фаталити, пусть хотя бы парочка KO пройдёт =)

Шлюза с одной сетевой картой не бывает, на то он и шлюз :)

[em]Шлюза с одной сетевой картой не бывает[/em]
а мужики-то не знали (цэ)
а вот я навешаю вланов на одну сетевую, чем не шлюз [em]с одной сетевой[/em]?
хехе

11-vsolom > вам дал прекрасную подсказку 9-droidman про совмещение DNAT+SNAT
в керио это тоже делается.
В итоге получится этакий socks poroxy.
Также можно поставить и настроить [url]http://www.3proxy.ru/[/url]
в режиме socks proxy

11-vsolom > в чем связь VPN и печать через RDP?

4-gloomymen > извиняюсь, не сразу прочитал все предложение, вы были раньше с DNAT+SNAT, чем п.9 :)

[quote=vsolom;25537104]на обоих шлюзах тоже. также на них установлены Kerio Winroute F.[/quote]
Емнип, в KFW нужно правильно настроить трансляцию, что бы получить именно port map а не port forward.

ну, droidman понятно, он мой личный переводчик)
alexm13, а вы кто? любитель пукнуть про красочные аббревиатуры DNAT+SNAT? типа - я тоже в курсе
или верховный утверждатель истины в последней инстанции?

25-gloomymen > мсье самый умный или в каждой бочке затычка? :)

26-alexm13 > [em]в каждой[/em] это после вас
еще вопросы есть?

и да, я самый умный, конешно

27-gloomymen > конечно - кто последний в очереди?

29-alexm13 > ну, [filolog]мудаков[/filolog] тут всегда хватало
пока вы ппоследний, может еще кто подтянется

30-gloomymen > ну ладно, так уж и признаем, вы первый [*****], а все остальные тихонечко за вами.

31-alexm13 > [em]так уж и признаем, вы первый[/em]
а чего же вы не срамши в огород лезете? с гнусной рожей

32-gloomymen > так очень хочется, а общественный закрыт

33-alexm13 > против нужды не попрёшь, это понятно
а вот для слепошарых
===
alexm13, а вы кто? любитель пукнуть про красочные аббревиатуры DNAT+SNAT? типа - я тоже в курсе
или верховный утверждатель истины в последней инстанции?
===

34-gloomymen > второе, про первое я не в курсе ваще.
собственно п.18 исполняю

понятно
заходите почаще, ото тут непонятно бывает иногда, кто прав, кто не прав