Есть один пека с двумя сетевухами и вин сервер 2008 R2.
Есть две сетевухи,
для сети 192.168.1.0 без шлюза - локалка
и для сети 10.х.х.0, которая смотрит в закрытую удаленную локалку.
Есть локальная сетка из нескольких устройств, которые должны получать доступ по порту 3128 и айпишнику пека-сервера доступ к закрытой сети.
Закрытая сетка работает на сервере, адреса пингуются, на веб ресурсы заходит.
Пека пингуется по адресу 192.х.х.х и не пингуется .
Но доступ по айпишнику и порту пользователи получить не могут.
Порт открыт. Брандмауэры вырублены. Антивируса нет. Обнаружение на серваке включено, общий доступ тоже. По рдп доступ есть. Где я проебался?
>Пека пингуется по адресу 192.х.х.х и не пингуется .
и не пингуется по адресу 10.х.х.х.
фикс
10.х.1.0 ?
>10.х.1.0
Не, речь о двузначных цифрах
Я конечно диванный сетевик, но icmp протокол включен?
Нарисуй схему сети. В любом случае - петля работает в одном диапазоне, если ты назначишь разные диапазоны 192.168.1.1/24 - 192.168.2.1/24 - петли не будет и всё будет работать.
>Я конечно диванный сетевик, но icmp протокол включен?
Не включен.
>>259718126
>В любом случае - петля работает в одном диапазоне, если ты назначишь разные диапазоны 192.168.1.1/24 - 192.168.2.1/24 - петли не будет и всё будет работать.
Я не могу переназначить закрытую сеть, схему сети сейчас накидаю
Такая схема, если брать ключевые узлы.
По факту я, сидя из локалки, могу зайти на сервер, пингую его по адресу локалки, но попасть через него в закрытый сегмент не могу.
С сервера я могу попасть в закрытый сегмент, и все железо там, все сайты, но не могу пинговать локалку.
Конечно же я напиздел, вот правильная схема, коммутаторы не соединены, а железо для закрытой сети шифрует данные и передает их через тот же роутер.
>icmp протокол
Включил, не помогло, пинга по прежнему нет
Подтверди свою квалификацию для начала.
Я чет может очень тупой, но если у тебя закрытый сегмент и локалка в разных сетях, то как сервер сам по себе будет маршрутизацию между ними обеспечивать?
>если у тебя закрытый сегмент и локалка в разных сетях, то как сервер сам по себе будет маршрутизацию между ними обеспечивать?
Там две сетевухи стоит.
Одна сетевуха только для закрытой сети, там днс закрытой сети, там шлюз и прочее.
Вторая сетевуха - это просто адрес сервака для локальной сети, там нет днс и шлюза, он выступает в роли шлюза для закрытого сегмента получается.
Ну и плюс на серваке крутится некоторый софт и небольшая файлопомойка, этими ресурсами пользуются пользователи локалки.
По факту должно получиться так:
Юзер сидит себе в локалке и интернете (пик 1), и тут ему надо зайти в закрытый сегмент. Он в свойствах браузера прописывает айпишник сервака и нужный порт, и тут же в браузере открывает сайт из закрытой сети. Сайт открывается. А интернет при этом пропадает (пик 2). Сервак в роли шлюза выступает и прокси сервера.
Железяка для закрытого сегмента обращается в отдельный езернет порт роутера, на котором настроен прямой туннель с ЦОД.
Самое интересное, что это работало, пока сегодня утром не сдох жесткий диск, и поднять это заново я почему-то не могу потому что рукожоп
Ие - ты в курсе что коммутарор не маршрутизирует пакеты? Алё 2021 год, есть такое устройство - маршрутизатор, занимается пересылкой пакетов между подсетями, естественно с коммутаторы ты никуда не попадёшь.
>>259721766
*коммутатора
>Оп, держи в курсе че там как.
Да я уже домой сейчас попрусь, буду не у компа. Но за тредом послежу, годные советы схороню чтобы пробовать завтра утром
Модели оборудования в студию. Может мне за тебя ещё конфигурацию сети написать?
>вин сервер 2008 R2.
>где я проебался?
Хз, но на линуксе тебе за две минуты накидали бы решение тут. Я даже хз как в винде посмотреть логи того что происходит
Спасибо что все подробно объяснил.
Я не понимаю, почему не работает, но наверняка это поможет анонам разобраться.
>Ие - ты в курсе что коммутарор не маршрутизирует пакеты? Алё 2021 год, есть такое устройство - маршрутизатор, занимается пересылкой пакетов между подсетями, естественно с коммутаторы ты никуда не попадёшь.
В курсе, этим у меня и занимается входящий роутер (он же маршрутизатор) и пекарня-прокси сервер. Вернее, занимались, до сегодняшнего дня.
Когда я стучусь на сервак в локалке (локалка то уже вся смаршрутизирована роутером), он должен перенаправлять пакеты мои на другой коммутатор, который маршрутизируется из ЦОД-а удаленно при помощи ПАК-ов.
За минуту.
> net.ipv4.ip_forward=1
Ты ебанутый чтоли? У тебя соединения поднимаются на другом оборудовании? Схуяли роутер у тебя будет маршрутизировать закрытую сеть, к которой не он подключается????
Он не умеет.
Ты мост настроил?
>Модели оборудования в студию
Какой-то старый микрот, на котором уже все настроено для маршрутизации локалки. Для маршрутизации закрытого сегмента - ПАК випнет координатор hw-1000, в роли сервака обычная пекарня с вин сервер 2008, в роли коммутаторов - элтексы уровня ядра.
Кстати, почему не просто Vlan-ы?
Есть один сервер и он не подключается к нас smb, щито поделать?
> старый микрот
Настроено - там нихуя настраивать не надо, он сам по себе всё раздаёт.
http://www.oszone.net/8526/Windows_Server_2008
>Ты мост настроил?
Мост настроил, это результатов не дало, я его удалил.
>>259722021
>Включи маршрутизацию на сервере, и пропиши маршруты, довен
Попробую, спасибо, эту штуку я не настраивал
>>259722252
>Кстати, почему не просто Vlan-ы?
Тут так уже было
>Попробую, спасибо, эту штуку я не настраивал
Ты серьезно? Что у вас за контора, что тебе этим приходится заниматься?
>Заработало, нет?
Нет. Возможно я что-то нахуевертил, надо читать мануалы. Но это уже завтра, анончики.
>>259722734
>Ты серьезно? Что у вас за контора, что тебе этим приходится заниматься?
Колледж (не ПТУ, внимание, не ПТУ)
>там нихуя настраивать не надо, он сам по себе всё раздаёт.
Неправильно, там туннель до цода и разбивка сети, соответственно NAT тоже прописан ручками + фильтрация траффика настроена.. Сам по себе он так не умеет.
а зачем тебе внутренняя сеть с сайтами и шифрованием?
>а зачем тебе внутренняя сеть с сайтами и шифрованием?
Мне то бы она и нафиг не нужна, это областное начальство придумывает. Ведомственную информацию они там скидывают.
Если дело действительно в маршрутах, то там просто все, легко разберешься. Если что - создавай тред. Добра.
а если ты проебешься и что-то взломают?
>Если дело действительно в маршрутах, то там просто все, легко разберешься. Если что - создавай тред. Добра.
Спасибо, анончик
>>259725085
>а если ты проебешься и что-то взломают?
Будет плоха. Украдут оценки школьников.
Абу благословил этот пост.
> Украдут оценки школьников.
Их и так украдут если захотят, в таких конторах айти финансируется по принципу "палки подорожали, теперь только из говна".
>Их и так украдут если захотят, в таких конторах айти финансируется по принципу "палки подорожали, теперь только из говна".
Палки у нас на зарплату уходят, так что да
>Тогда это пекарня с двумя сетевухами?
Она самая
>А на ней есть соответствующие настройки, чтобы хосты из одного сегмента знали маршрут к другому сегменту?
Нету, настраиваем итт
>возможно объединить их в бридж
Не помогает, я пробовал. Кстати, в вин серв они объединяются буквальной одной кнопкой.
Вообще сервер не должен иметь прямой доступ к локалке и интернету, никогда не имел, это машина для закрытого сегмента, которая выступает шлюзом.
Все пакеты, поступающие на шлюз (сетевуху компа, которая смотрит в локалку, параметры примерно такие, как на скрине) без лишних вопросов должны адресоваться в подсеть 10.х.х.х
>Все пакеты, поступающие на шлюз (сетевуху компа, которая смотрит в локалку, параметры примерно такие, как на скрине) без лишних вопросов должны адресоваться в подсеть 10.х.х.х
Не все, а только те, что адресованы в эту подсеть, остальные будут отброшены.
Таким образом, твой шлюз должен являться роутером для компов локалки, грубо говоря они должны знать, что в подсеть 10 надо попадать через именно этот шлюз. Откуда они об этом узнают?