К списку форумов К списку тем
Регистрация    Правила    Главная форума    Поиск   
Имя: Пароль:
Рекомендовать в новости

доступ к серверу с двух шлюзов

Гость
0 - 15.06.2012 - 10:38
Доброго всем дня.
возникла задача сделать возможность заходить извне (из сети Интернет) на любой из двух шлюзов сети, которые мапят на определенный порт одного и того же сервера.
сеть 192.168.0.0.
шлюз1 192.168.0.1
шлюз2 192.168.0.250
сервер 192.168.0.100, на его сетевой карте шлюзом выставлен IP шлюза№1
сейчас доступ извне возможен только с шлюза№1.
хотелось бы тоже самое делать и с шлюза№2, без задействования второй сетевой карты. интернет-каналы объединять на одном шлюзе тоже не хотелось бы.
есть ли решение проблемы, или придётся всё-таки включать вторую сетевую карту на сервере и разделять шлюзы по подсетям?



Гость
1 - 15.06.2012 - 10:49
со второго шлюза "натить" удаленный адрес на свой, тогда пакеты будут возвращаться к нему
Гость
2 - 15.06.2012 - 11:07
просьба большая: расшифруйте как здесь использовать NAT?
а если удалённый адрес не имеет постоянного IP?
Гость
3 - 15.06.2012 - 11:10
google://network load balancing
Гость
4 - 15.06.2012 - 11:39
2-vsolom > какое вам дело до удаленного адреса?
условие для проброса, входящий пакет конкретный порт
на первом шлюзе вы подменяете внешний ip шлюза на адрес сервера
на втором тоже самое, но вдобавок меняете удаленный ip (любой) на внутренний адрес шлюза 192.168.0.250, сервер воспримет его как локальный, и ответ уйдет по адресу отправителя - на шлюз2
Гость
5 - 15.06.2012 - 11:50
пробовал делать следующее:
с первого шлюза извне заходят по RDP по порту 3390 и попадают на сервер (шлюз мапит трафик RDP на 3389 как положено). такое же правило, только с другим портом (3398) действует и на втором шлюзе. вся беда в том, что сервер отвечает только тому шлюзу, IP которого у него выставлен на сетевой карте в качестве основного шлюза.

ранее пробовал ставить в параметрах карты второй шлюз и назначал разные матрики. в этом случае одновременный доступ к серверу не работал, а спустя некоторое время отваливался и трафик с первым шлюзом.
Модератор
6 - 15.06.2012 - 13:14
операционная система, я так понимаю, OS/2?
Гость
7 - 15.06.2012 - 13:16
нет, w2003 sp2 r2...
Модератор
8 - 15.06.2012 - 13:28
и на шлюзе?
Гость
9 - 15.06.2012 - 13:32
VPN на оба шлюза, у которых одна общая подсеть с сервером, но с разными диапазонами выдаваемых IP-адресов. Дополнительно, фаерволами шлюзов ограничить доступ vpn-ip-адресов только до сервера и только по RDP-порту. Сецурити будет выше, но добавится лишнее действие по поднятию VPN.

С NAT'ами замут крутой слегка, особенно если шлюзы на Windows =) Если в терминах iptables, то это совмещение DNAT+SNAT.
Гость
10 - 15.06.2012 - 13:33
на обоих шлюзах тоже. также на них установлены Kerio Winroute F.
Гость
11 - 15.06.2012 - 13:38
to 9: с VPN была мысль сделать - только у этого решения оказалось минусов больше чем удобств.
к тому же печать по RDP через VPN валится чаще, чем без нее (каналы не очень широкие).
Гость
12 - 15.06.2012 - 14:08
еще вариант, заведите оба канала в один шлюз
Гость
13 - 15.06.2012 - 14:14
это самый простой вариант, но при выходе из строя самого шлюза оба канала автоматически "упадут", а это чревато нехорошими последствиями. придётся, видимо, задействовать вариант со второй сетевой картой...
Гость
14 - 15.06.2012 - 14:46
но при выходе из строя самого шлюза оба канала автоматически "упадут"
так вы кластер сделайте, машинка как раз освбодилась
придётся, видимо, задействовать вариант со второй сетевой картой...
это было очевидно) после спича №2
Гость
15 - 15.06.2012 - 14:52
Я только никак не пойму, как тут поможет вторая сетевая карта и другая подсеть. Кстати, нафига вторая сетевая, если на первой можно прописать дополнительно другой ip из другой подсети?
Гость
16 - 15.06.2012 - 14:58
13-vsolom > кстати, при выходе из строя самого сервера, вам не помогут и 10 шлюзов, такая мысль не посещала?
Гость
17 - 15.06.2012 - 15:24
droidman, имхо, самое время тебе зарядить про виртуалбокс
Гость
18 - 15.06.2012 - 15:43
не, это же фаталити, пусть хотя бы парочка KO пройдёт =)
19 - 18.06.2012 - 12:45
Шлюза с одной сетевой картой не бывает, на то он и шлюз :)
Гость
20 - 18.06.2012 - 12:48
Шлюза с одной сетевой картой не бывает
а мужики-то не знали (цэ)
а вот я навешаю вланов на одну сетевую, чем не шлюз с одной сетевой?
хехе
21 - 18.06.2012 - 13:06
11-vsolom > вам дал прекрасную подсказку 9-droidman про совмещение DNAT+SNAT
в керио это тоже делается.
В итоге получится этакий socks poroxy.
Также можно поставить и настроить http://www.3proxy.ru/
в режиме socks proxy
22 - 18.06.2012 - 13:09
11-vsolom > в чем связь VPN и печать через RDP?
23 - 18.06.2012 - 13:13
4-gloomymen > извиняюсь, не сразу прочитал все предложение, вы были раньше с DNAT+SNAT, чем п.9 :)
Гость
24 - 18.06.2012 - 14:52
Цитата:
Сообщение от vsolom Посмотреть сообщение
на обоих шлюзах тоже. также на них установлены Kerio Winroute F.
Емнип, в KFW нужно правильно настроить трансляцию, что бы получить именно port map а не port forward.
Гость
25 - 18.06.2012 - 15:05
ну, droidman понятно, он мой личный переводчик)
alexm13, а вы кто? любитель пукнуть про красочные аббревиатуры DNAT+SNAT? типа - я тоже в курсе
или верховный утверждатель истины в последней инстанции?
26 - 18.06.2012 - 15:31
25-gloomymen > мсье самый умный или в каждой бочке затычка? :)
Гость
27 - 18.06.2012 - 15:40
26-alexm13 > в каждой это после вас
еще вопросы есть?
Гость
28 - 18.06.2012 - 15:41
и да, я самый умный, конешно
29 - 18.06.2012 - 15:44
27-gloomymen > конечно - кто последний в очереди?
Гость
30 - 18.06.2012 - 15:49
29-alexm13 > ну, [*****] тут всегда хватало
пока вы ппоследний, может еще кто подтянется
31 - 18.06.2012 - 16:53
30-gloomymen > ну ладно, так уж и признаем, вы первый [*****], а все остальные тихонечко за вами.
Гость
32 - 18.06.2012 - 16:57
31-alexm13 > так уж и признаем, вы первый
а чего же вы не срамши в огород лезете? с гнусной рожей
33 - 18.06.2012 - 17:08
32-gloomymen > так очень хочется, а общественный закрыт
Гость
34 - 18.06.2012 - 17:13
33-alexm13 > против нужды не попрёшь, это понятно
а вот для слепошарых
===
alexm13, а вы кто? любитель пукнуть про красочные аббревиатуры DNAT+SNAT? типа - я тоже в курсе
или верховный утверждатель истины в последней инстанции?
===
35 - 18.06.2012 - 17:39
34-gloomymen > второе, про первое я не в курсе ваще.
собственно п.18 исполняю
Гость
36 - 18.06.2012 - 18:25
понятно
заходите почаще, ото тут непонятно бывает иногда, кто прав, кто не прав


К списку вопросов
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск




Copyright ©, Все права защищены