Форум на Kuban.ru (http://forums.kuban.ru/)
-   Сети и их администрирование (http://forums.kuban.ru/f1029/)
-   -   Помогите настроить маршрутизацию, плиз! (http://forums.kuban.ru/f1029/pomogite_nastroit-_marshrutizaciyu_pliz-3446006.html)

Aksakal 17.12.2012 15:57
Помогите настроить маршрутизацию, плиз!
 
Есть сервер 2008R2 с двумя сетевыми картами, одна имеет адрес 192.168.0.1/255.255.255.0 и смотрит во внутреннюю сеть, вторая имеет два IP - один для интернета(188.133.х.х/255.255.255.252), второй для удалённых офисов (172.16.15.178/255.255.255.240). На сервере установлен WinRoute 6.7.0 для руления всем этим делом. Нужен доступ компьютерам из сети 192.168.0.0 в сеть 172.16.15.0. Что/где прописать, чтоб работало?

Gochy 17.12.2012 18:31
указать на станциях шлюз и разрешить трафик в винроуте

Aksakal 18.12.2012 08:26
(1) Вот сообщение с прикреплённым скриншотом настроек винроута:
[url]http://www.cyberforum.ru/cable-networks/thread735474.html[/url]
Что надо поправить?

gloomymen 18.12.2012 09:42
кашамалаша, впрочем видел и похлеще плоды мозговой деятельности
даже картинку толком сделать религия не позволила

если подсеть в теме 172.16.15.178/255.255.255.240 указана верно, то что в первом правиле делают хосты 172.16.15.22,26-\d{1,3**? простите не вижу
не видно последний октет маски 172.16.15.0/255.255.255.? , если там 0, то по вашей сети шарятся соседи, если 240, то доступ кому-то открыт за пиво видимо, но не своим

нужно в первом правиле привести адреса источников в соответствие с действительностью,
и опять же, если в теме напрвление указано верно - из 192.168.0/24 в 172.16.15.176/28,
вторым сделать зеркальное, поменять местами источник/назначение, и если доступ нужен только с одной стороны, удалить первое
про шлюз уже сказали

Aksakal 18.12.2012 10:01
(3) Картинка была нормальная, она сжалась после залития на форум.
Никакие соседи по сети шариться не могут - это сугубо наша сеть.
Спасибо, буду пробовать

gloomymen 18.12.2012 10:42
как-то интеллектуально сжалась
[IMG]http://i53.fastpic.ru/big/2012/1218/94/fe6192f69d5d504a51a1959a17e99794.jpg[/IMG]

SERGIUSF 18.12.2012 12:50
стандартной службы маршрутизации серверной винды не хватает?

alexm13 18.12.2012 13:46
6-SERGIUSF > дык маршрутизация тут не виноватая, тут фаервол надо настроить.

2-Aksakal > в самом первом правиле, в столбец источник, нужно добавить подсеть 192.168.0.0/24, а в назначение 172.16.15.<чего-то-там>

это вытекает из смысла фразы: Нужен доступ компьютерам из сети 192.168.0.0 в сеть 172.16.15.0
Источник 192.х.х.х ---> назначение 172.16.х.х
ну и обратное направление как вариант не помешает.

gloomymen 18.12.2012 16:59
не токмо пользы ради, но и для срача для:
7-alexm13 > [em]в самом первом правиле, в столбец источник, нужно добавить[/em]
может в вашем сраном winroute эдакий компот рядовое явление, но не нужно развращать неискушенных людей
во первых (что очевидно без мелкоскопа) - потеря функциональности (или оперативности, как угодно) в управлении
во вторых наглядность, похоже в этой шедевре при желании, м глубоких познаниях прдукта) можно всё одним правилом описАть

pikorta 18.12.2012 17:29
когда кончаются идеи, самое время посмотреть инструкцию:
[url]http://www.winroute.ru/winroute_sbs_guide/index.html[/url]

gloomymen 18.12.2012 17:50
9-spiegel > а в этой вашей библии описано как stateful соединеиями управлять? или как обычно - всё для людей, чтобы вещество не расходовали

pikorta 18.12.2012 18:12
10-gloomymen >почему моя? ни разу не имел с winroute дела. Судя по описанию с ихнего сайта, stateful firewall не поддерживается. Обычный фильтр с поддержкой VPN.

gloomymen 18.12.2012 19:38
да ладно!))) а как же работают правила в "интернеть" через натЬ, без обратных, нэ)

pikorta 18.12.2012 19:59
12-gloomymen >а как там работает инспекция по портам tcp и udp? Где хотя бы упоминается о защите от SYN атак? Да, там есть функция нат, ну так она к statеful firewall отношения не имеет.

gloomymen 18.12.2012 20:08
13-spiegel > какая в жопу инспекция?
Вы чтением себя утруждать не пытались?
[em][b]а как же работают правила в "интернеть" через натЬ, без обратных,[/b][/em]

gloomymen 18.12.2012 20:10
ААААА? как?
)

pikorta 18.12.2012 20:36
а при чем тут stateful? Тогда любой китайский свисток может заменить например Check Point?

alexm13 18.12.2012 20:48
8-gloomymen > ну насчет "сраного" winroute - это смотря с чем сравнивать :) Я вот от ISA Server ухожу в ступор и оттуда больше не выхожу. Винроут хотя бы на таком уровне позволяет правила писать - src, dst, port, action. Это, конечно, не iptables, но намного удобней "штатных" средств винды.

А так в целом, про неискушенность - ведь и в линуксе понапридумывали всякие ufw, shorewall и всякую прочую фигню - якобы для упрощения, якобы администрирования.
По мне так проще было в свое время почитать про iptables и разобраться, чем сначала разбираться как работают прослойки, а потом, чтобы разобраться чего не так работает, все равно разбираться с правилами, которые наворотились этими фиговинами.

10-gloomymen > да походу никак, скорей всего не stateful вообще не получится сделать :)
Надо посмотреть-поковырять, есть у меня на обслуживании несколько "комбайнов" WinXP - он же терминальный сервер - он же шлюз-фаервол (на том самом керио) - он же pos-терминал :)

PS Рассказывать про "надежность" конструкции мне не нужно, оно работает, падает, поднимается, работает, потом снова падает, ну и т.д. И это я еще умолчу, как там 1с работает :)

gloomymen 18.12.2012 21:03
16-spiegel > вы еврей?

gloomymen 18.12.2012 21:12
spiegel,то ли у вас в голове пусто, то ли за пазухой сквозняк

asd255 27.12.2012 13:59
у меня схожая ситуация
правда отдельный сервер под Керио 7
локальная 192.168.0.x
для VPN пользователей 192.168.100.x(в керио переписал их IP мне так удобнее)
спокойно бегаю из vpn сети в локальную.
настраивал в мастере


Текущее время: 20:59. Часовой пояс GMT +3.