Форум системных администраторов
IT => Networks => Тема начата: Neonaft от 10 декабря 2010, 21:07:47
-
От провайдера я получаю 2 подсети
одна (пример) 192.168.1.216\30 с гейтом 192.168.1.217
вторая 192.168.1.112\29 с гейтом 192.168.1.113
На первой сидит наша внутренняя сеть, вторая отдана под DMZ
Понадобилась поставить маршрутизатор Linksys RV042 с 2 WAN для маршрутизации, второй WAN под DMZ. В общем поставил я его и с внутренней сетью быстро все настроил (воткнул вместо прокси), а вот DMZ ни в какую не хочет работать. Гейта он не видит и вообще не хочет выходить наружу
-
Ну вот, задал вопрос в сетях, и пока тишина. А я то считал его не таким уж и сложным :)
Хотел было тебе ответить, но вечер пятницы и нет схемы твоей сети. У тебя чем DMZ от локалки отличается и куда подключено?!? Может им имеет смысл статические маршруты прописывать ;)
-
У тебя чем DMZ от локалки отличается и куда подключено?!? Может им имеет смысл статические маршруты прописывать
Да именно статику прописать и надо.
Схема простая. Приходит езернет конец и в ван подключен. Из линка напрямую в внутреннею сеть и IP у маршрутизатора тоже внутренний. DHCP на нем отрублен. К порту ДМЗ подрублен свич и к нему все серваки. Все
PS перенесите все в тему :)
-
Вова, может рисунок какой накропаешь? Я, честно говоря, не понял, что, откуда и куда?
-
Абстракцианизм в действии :)
(http://s011.radikal.ru/i318/1012/2f/0eb4f6d1f6b5.jpg)
Локальная сеть работает, с сетью 192.168.1.216\30 проблем нет. Вся сеть 192.168.1.112\29 должна идти на DMZ и именно это я не могу запустить :(
-
Что-то непонятно мне нифига... :( Как ты на одном порту WAN ловко две разных подсети получаешь?!? Чисто по логике, вторую ты должен получать на DMZ/WAN2 порт. DMZ свитч втыкать туда, где непейсано "линки" и для DMZ-серверов прописывать статический маршрут во вторую провайдерскую сеть.
-
Как ты на одном порту WAN ловко две разных подсети получаешь?!?
Легко и просто, кабель от прова один. У меня раньше вообще свитч напрямую был подключен к прову. И все что надо я прописывал в ручную прямо на DMZ серваках и проксе что была в этот же свитч подрублена
и для DMZ-серверов прописывать статический маршрут во вторую провайдерскую сеть.
Где прописывать и что именно писать? А то я в этом не очень сильно рублю ::)
-
Как ты на одном порту WAN ловко две разных подсети получаешь?!?
Легко и просто, кабель от прова один. У меня раньше вообще свитч напрямую был подключен к прову. И все что надо я прописывал в ручную прямо на DMZ серваках и проксе что была в этот же свитч подрублена
и для DMZ-серверов прописывать статический маршрут во вторую провайдерскую сеть.
Где прописывать и что именно писать? А то я в этом не очень сильно рублю ::)
если тебе нужен роутинг ты должен настроить ip на ван интерфейсе. если туда приходит 2 разных сети то как минимум они должны быть в разных вланах, тоесть на ван интерфейсе тебе надо создать саб.интерфейсы с этими сетями
ван.1 ван.2
вланххх вланууу
лан дмз
вланххх вланууу
или же обьединить ван лан и дмз в одну бридж группу (не знаю умеет ли это линксис.)
-
Посмотрел возможности железки про VLAN ничего нет. Есть возможность все развести без их использования?
-
Я, честно говоря, не совсем понимаю - зачем тебе здесь маршрутизатор? Разве маршрутизацию этих 2х сетей не будет выполнять провайдер? Провайдер, IIUC, один единственный?
-
Я, честно говоря, не совсем понимаю - зачем тебе здесь маршрутизатор? Разве маршрутизацию этих 2х сетей не будет выполняться провайдером?
Да он и осуществлял, и все устраивало, пока мы не перешли на лимитированную скорость, в результате чего доступ к сервакам в DMZ тоже стал лимитирован. А мы там постоянно многогиговые базы гоняем. Вот поэтому и пришлось маршрутизатор брать
-
IIUC
Расскажите в каком контексте вы упомянули это аббревиатуру, и какое отношение она имеет к топику?
-
Посмотрел возможности железки про VLAN ничего нет. Есть возможность все развести без их использования?
с бриджевать интерфейсы, но это получится ничем не отличное от того чтобы заменить "роутер" обратно на коммутатор.
совершенно не понятно что вы хотели добиться установкой маршрутизатора.
-
совершенно не понятно что вы хотели добиться установкой маршрутизатора.
Читать выше, скорость доступа к серверам регламентируется скоростью порта провайдера. а нам нужно 100 мегабит. Значит данной железкой это нереально сделать?
-
Посмотрел возможности железки про VLAN ничего нет. Есть возможность все развести без их использования?
с бриджевать интерфейсы, но это получится ничем не отличное от того чтобы заменить "роутер" обратно на коммутатор.
совершенно не понятно что вы хотели добиться установкой маршрутизатора.
+1000
Вова, мне кажется ты вырезаешь гланды через эту... как бишь её... забыл... :(
-
совершенно не понятно что вы хотели добиться установкой маршрутизатора.
Читать выше, скорость доступа к серверам регламентируется скоростью порта провайдера. а нам нужно 100 мегабит. Значит данной железкой это нереально сделать?
брррр скоростью порта или скоростью шейпенга на интерфейсе у провайдера?
и как он по одному физическому каналу собирается подать 2 разных "скорости порта"?
-
Вова, мне кажется ты вырезаешь гланды через эту... как бишь её... забыл...
Ваше предложение как получить 100 мегабит до серваков? Провайдер так и сказал, скорость ограничена скоростью шейпинга порта, и равна скорости доступа в инет
-
Провайдер так и сказал, скорость ограничена скоростью шейпинга порта, и равна скорости доступа в инет
%)
Но наверное, он имел ввиду свой порт, а не твой ;) Как бы ты не изгалялся - самое узкое место не у тебя, а провайдера, не так ли ;)
-
Вова, мне кажется ты вырезаешь гланды через эту... как бишь её... забыл...
Ваше предложение как получить 100 мегабит до серваков? Провайдер так и сказал, скорость ограничена скоростью шейпинга порта, и равна скорости доступа в инет
в вашем случа вообще ничего делать не надо,
укажите маску и в дмз и в лан как /24 воткните аплинк от прова в коммутатор
воткните серваки и лан в коммутатор и будет счастье
-
Как бы ты не изгалялся - самое узкое место не у тебя, а провайдера, не так ли
Согласен, и уже написал по этому поводу на что получил письмо
С нашей стороны ограничение полосы согласно договору устанавливается на порт.
Решением Вашей проблемы является
1) использование одной подсети
2) установка маршрутизатора.
чтобы трафик между серверами не выходил за границы Вашего порта.
1 пункт как вы уже поняли для нас неприемлем :)
укажите маску и в дмз и в лан как /24 воткните аплинк от прова в коммутатор
воткните серваки и лан в коммутатор и будет счастье
Вечерком попробую, а то сейчас все сидят и тестить нельзя :(
-
IIUC
Расскажите в каком контексте вы упомянули это аббревиатуру, и какое отношение она имеет к топику?
Поясняю:
IIUC - это такой популярный акроним, который означает следующее: If I Understand Correctly
Значение других популярных акронимов (IMHO, IIRC, etc), которые используются для общения в интернетах, можете посмотреть, например, здесь: http://acronyms.thefreedictionary.com/
-
1) использование одной подсети
Как бы ты не изгалялся - самое узкое место не у тебя, а провайдера, не так ли
Согласен, и уже написал по этому поводу на что получил письмо
С нашей стороны ограничение полосы согласно договору устанавливается на порт.
Решением Вашей проблемы является
1) использование одной подсети
2) установка маршрутизатора.
чтобы трафик между серверами не выходил за границы Вашего порта.
1 пункт как вы уже поняли для нас неприемлем :)
укажите маску и в дмз и в лан как /24 воткните аплинк от прова в коммутатор
воткните серваки и лан в коммутатор и будет счастье
Вечерком попробую, а то сейчас все сидят и тестить нельзя :(
маска /24 и использование одной подсети это одно и тоже, обе сети будут находиться в одном широковещательном домене.
для хостов в дмз и хостов локальной сети надо всего лишь задать разные дефолтные маршруты.
в случае использования маски /24 роутинга между девайсами не будет, как следствие не будет и улетать к прову.
в случае отправки пакета в другую подсеть роутинг будет производится с учетом дефолт роута, и маска тут уже роли влиять не будет.
-
IIUC
Расскажите в каком контексте вы упомянули это аббревиатуру, и какое отношение она имеет к топику?
Поясняю:
IIUC - это такой популярный акроним, который означает следующее: If I Understand Correctly
Значение других популярных акронимов (IMHO, IIRC, etc), которые используются для общения в интернетах, можете посмотреть, например, здесь: [url]http://acronyms.thefreedictionary.com/[/url]
это термин означающий внедрение юнифицированных коммуникаций бай циско.
тоесть voip
-
маска /24 и использование одной подсети это одно и тоже, обе сети будут находиться в одном широковещательном домене.
для хостов в дмз и хостов локальной сети надо всего лишь задать разные дефолтные маршруты.
в случае использования маски /24 роутинга между девайсами не будет, как следствие не будет и улетать к прову.
в случае отправки пакета в другую подсеть роутинг будет производится с учетом дефолт роута, и маска тут уже роли влиять не будет.
Понял я уже :) и поставил уже в общем трейс сразу на сервак пошел :) Даа тупанул я тут очень сильно ::) Зато теперь я буду VPN поднимать не на серваках а не этом роутере и то плюс :)
-
это термин означающий внедрение юнифицированных коммуникаций бай циско.
тоесть voip
И только? Совпадение аббревиатуры и акронима вы исключаете? По-моему, я внятно объяснил, что это означет и почему было мной использовано.
-
это термин означающий внедрение юнифицированных коммуникаций бай циско.
тоесть voip
И только? Совпадение аббревиатуры и акронима вы исключаете? По-моему, я внятно объяснил, что это означет и почему было мной использовано.
ну поскольку мы находимся в тематическом разделе на тематическом форуме, думаю логично предположить каким именно абреввиатурам отдается предпочтение не? собственно наличие технического термина в данном контексте меня и удивило.
Предпочитаю считать что в контексте данного форума IIUC это Implementing Cisco IOS Unified Communications
А не ваша хрень.
-
Neonaft
рано радуетесь.
пинг до серверов пошел поскольку они воткнуты в свич-порты на роутере. а как известно свич это частный случай сетевого моста.
на ван интерфейса такой фокус не прокатит, поскольку вы пытаетесь маршрутизировать одну и туже подсеть на разных интерфейсах что недопустимо.
как уже говорилось, вам прийдется или объеденять интерфейс ван с интерфейсами лан и дмз, или делать arp проксирование.
а проще как вам выше сказали уже неоднократнно воткнуть свич обратно и не заниматься хитрыми извращениями.
-
это термин означающий внедрение юнифицированных коммуникаций бай циско.
тоесть voip
И только? Совпадение аббревиатуры и акронима вы исключаете? По-моему, я внятно объяснил, что это означет и почему было мной использовано.
ну поскольку мы находимся в тематическом разделе на тематическом форуме, думаю логично предположить каким именно абреввиатурам отдается предпочтение не? собственно наличие технического термина в данном контексте меня и удивило.
Предпочитаю считать что в контексте данного форума IIUC это Implementing Cisco IOS Unified Communications
А не ваша хрень.
Для начала напомню вам, что мы общаемся в интернете. И, если в офлайновой беседе употребление акронинов IMHO, IIRC, IIUC, выглядит чуть более, чем странно, то при общении в интеренетах эти акронимы широко известны и употребимы вне зависимоости от разделов и тематики форума. Вы, честно говоря, первый персонаж в моей практике, который, с одной стороны, претендует на чтение англоязычных ресурсов, но с другой стороны не обладает элементарными знаниями этих акронимов.
ЗЫ Делать умозаключения о словах, исходя из контеста форума и/или раздела, вместо того, чтобы делать их, исходя из контекста предложения, в котором они были употреблены, - это все равно, что одеваться по календарю, а не по погоде. Несколько странные у вас предпочтения, вы не находите?
-
это термин означающий внедрение юнифицированных коммуникаций бай циско.
тоесть voip
И только? Совпадение аббревиатуры и акронима вы исключаете? По-моему, я внятно объяснил, что это означет и почему было мной использовано.
ну поскольку мы находимся в тематическом разделе на тематическом форуме, думаю логично предположить каким именно абреввиатурам отдается предпочтение не? собственно наличие технического термина в данном контексте меня и удивило.
Предпочитаю считать что в контексте данного форума IIUC это Implementing Cisco IOS Unified Communications
А не ваша хрень.
Для начала напомню вам, что мы общаемся в интернете. И, если в офлайновой беседе употребление акронинов IMHO, IIRC, IIUC, выглядит чуть более, чем странно, то при общении в интеренетах эти акронимы широко известны и употребимы вне зависимоости от разделов и тематики форума. Вы, честно говоря, первый персонаж в моей практике, который, с одной стороны, претендует на чтение англоязычных ресурсов, но с другой стороны не обладает элементарными знаниями этих акронимов.
ЗЫ Делать умозаключения о словах, исходя из контеста форума и/или раздела, вместо того, чтобы делать их, исходя из контекста предложения, в котором они были употреблены, - это все равно, что одеваться по календарю, а не по погоде. Несколько странные у вас предпочтения, вы не находите?
вообще это уже оффтоп, но где я делал умозаключения?
я просто удивился присутствию этого термина в данном топике!
-
мдя, пытаюсь завести роутер. Ладно забудем что у меня 2 разных подсети. :)
У меня одна подсеть 192.168.114.112/29
Хочу получить один IP (Например 192.168.114.114) на внутреннюю сеть, остальное на DMZ. Как это реализовать? Схема подключения та же
-
А походу не нужно, я разрулил с 2 сетками :)
Сделал так. На линксисе указал настройки 216/30 подсетки но с маской /24
на DMZ просто указал диапазон адресов с 114 по 118, все :)
все вроде работает, что по факту будем смотреть дальше
-
А походу не нужно, я разрулил с 2 сетками
Сделал так. На линксисе указал настройки 216/30 подсетки но с маской /24
Так, это ты одну сеть сделал, как тебе и рекомендовали выше: 192.168.1.0/24
маска /24 и использование одной подсети это одно и тоже, обе сети будут находиться в одном широковещательном домене
-
Так, это ты одну сеть сделал, как тебе и рекомендовали выше: 192.168.1.0/24
Ну да, только получилось как и хотел. Вся DMZ на своем порту, при тех же настройках, а основная идет в LAN
-
Ну да, только получилось как и хотел. Вся DMZ на своем порту, при тех же настройках, а основная идет в LAN
Ну и что, что "на своем порту"? Сеть то одна, единая. "якобы DMZ" и локалка представляют из себя единую сеть, которые никак не разделены. Т.о., скомпрометировав сервер в DMZ, можно атаковать любой компьютер в сети. Какой смысл в такой "DMZ"?
Или я что-то недопонял?
-
Т.о., скомпрометировав сервер в DMZ, можно атаковать любой компьютер в сети. Какой смысл в такой "DMZ"?
На данный момент у меня на каждом сервере стоит фаер с минимальными правами. Как следствие захват сервера до остальных еще добратся надо. А перед локалкой находится ISA так что до нее еще сложнее добраться :)
-
Ну и что, что "на своем порту"? Сеть то одна, единая. "якобы DMZ" и локалка представляют из себя единую сеть, которые никак не разделены. Т.о., скомпрометировав сервер в DMZ, можно атаковать любой компьютер в сети. Какой смысл в такой "DMZ"? Или я что-то недопонял?
+1
все именно так. смысл тогда всего этого был какой был, если в итоге одна сеть?
На данный момент у меня на каждом сервере стоит фаер с минимальными правами. Как следствие захват сервера до остальных еще добратся надо. А перед локалкой находится ISA так что до нее еще сложнее добраться :)
сам то веришь в это? ;)
-
мдя, пытаюсь завести роутер. Ладно забудем что у меня 2 разных подсети. :)
У меня одна подсеть 192.168.114.112/29
Хочу получить один IP (Например 192.168.114.114) на внутреннюю сеть, остальное на DMZ. Как это реализовать? Схема подключения та же
Никак, роутинга между одной подсетью на разных интерфейсах не будет!
-
Т.о., скомпрометировав сервер в DMZ, можно атаковать любой компьютер в сети. Какой смысл в такой "DMZ"?
На данный момент у меня на каждом сервере стоит фаер с минимальными правами. Как следствие захват сервера до остальных еще добратся надо. А перед локалкой находится ISA так что до нее еще сложнее добраться :)
и чем в данном случае схема отличается от схемы со свичем?
а я скажу чем - ничем не отличается. Роутер в данном случае лишний, ибо никакого роутинга нет и быть не может.
и ещё: никогда, никогда не используйте линксисы, уж лучше г-линк какой с dd-wrt прошивкой, ибо линксис это ад, наколько п*здата циска, настолько уныл линксис.
-
сам то веришь в это?
Ну с DMZ не сильно, а вот с локалкой боле менее уверен :)
-
и чем в данном случае схема отличается от схемы со свичем?
а я скажу чем - ничем не отличается. Роутер в данном случае лишний, ибо никакого роутинга нет и быть не может.
Нет я конечно могу таблицу роутинга показать, но не буду. Ибо где то 7-8 чувством понимаю что это так и есть :) причем понимал уже тогда, когда писал пост что "Вот у меня все получилось, а вы говорили что нельзя"
-
Таблицу чего?
Нео, пойми у тебя там нет и не может быть роутинга в принципе!
-
Нео, пойми у тебя там нет и не может быть роутинга в принципе!
Да понял я это :)