Помогите с маршрутизацией в WinServer 2003

surviver · 30.08.2010

Помогите с маршрутизацией в WinServer 2003

Доброго времени суток! Да простят меня, ежели что, админы форума, решил просить совета в этой теме, как наиболее близкой. Задача: есть сеть со шлюзом на никсах с адресом шлюза, например, 192.168.20.1. В эту сеть входит домен Новел и он же раздает авторизацию. Все машины в сети под виндой. Задача: используя Win2003 в качестве сервера (шлюза) и не трогая настройки основной сети создать подсеть, которая прозрачно видится для 192.168.20.* и наоборот, использует в качетве шлюза инета 192.168.20.1, но не пускает внутрь себя пакеты IPX (Novell). Мозг сломал, пиво уже не лезет, форумы и гугл предлагают одно и то же, но оно нихрена не работает. Вообще возможно ли, и если возможно - то как? С меня за реальную помощь пиво :пиво:

surviver · 30.08.2010

si___ сказав(ла):
включить службу маршрутизации и всё

если бы... включена... с маршрутами, без маршрутов, перерыты все форумы - хрен, не работает

Хранитель_ · 30.08.2010

Хм, а если пойти по пути БДСМ? Занатить и отфильтровать пакеты IPX. Правда вопрос, чем фильтровать?

alex444 · 30.08.2010

surviver сказав(ла):
если бы... включена... с маршрутами, без маршрутов, перерыты все форумы - хрен, не работает

1. hklm\system\ccs\services\tcpip\parameters ipenablerouter - что стоит?
2. "брандмауэр виндовс" выключи, он фильтрует "межинтерфейсное".
3. на машинах "нужной подсети" просто выключить ipx/spx - религия не позволяет, раз им надо "не пускать внутрь себя пакеты IPX (Novell)" ?

сколько сетевых на сервере с вин2003?

кстати, да.

alex444 · 30.08.2010

Хранитель_ сказав(ла):
Хм, а если пойти по пути БДСМ? Занатить и отфильтровать пакеты IPX. Правда вопрос, чем фильтровать?

и зачем, если можно просто выключить нахрен протокол....

Хранитель_ · 30.08.2010

alex444 сказав(ла):
и зачем, если можно просто выключить нахрен протокол....

Да, все увидел.

surviver · 30.08.2010

si___ сказав(ла):
мне знающие люди подсказали, я б сам не догадался шо такое бывает, честно
сколько сетевых на сервере с вин2003?

сетевых 2, обе настроены на свои подсети (я не совсем чайник, к сожалению. Чайнику было бы проще

). Если есть познания, могу завтра выложить route print и т.д., чего попросите. Но , по моему мнению, проблема в головном шлюзе на никсах

но наши IT-шники отказываюся что-либо менять, ибо шлюз арендованный и в никсах никто не шарит (а мой опыт в никсах не позволит оставить по мановению одной команды 100 пользователей без сетки, похоронят

)

alex444 · 30.08.2010

surviver сказав(ла):
сетевых 2, обе настроены на свои подсети (я не совсем чайник, к сожалению. Чайнику было бы проще ). Если есть познания, могу завтра выложить route print и т.д., чего попросите.

конфигурацию сети в студию, плз. И желаемое, только не так, как в стартпосте, а нормальным языком (раз не чайник

)

Как "нечайник", ты должен понимать что, как минимум, шлюз на *никсе должен знать, на какой из хостов сегмента 192.168.20/24 отправлять пакеты для машин "второй" подсети. Т.е. без изменений на *никсе не обойтись.

зы

а мой опыт в никсах не позволит оставить по мановению одной команды

"route add -net 192.168.21.0 netmask 255.255.255.0 gw <адрес_2003_в_сети 192.168.20/24>", где 192.168.21/24 - сеть за 2003-м сервером - даже таких знаний никсов нет? ,)
печально.

surviver · 30.08.2010

si___ сказав(ла):
как именно их занатить? сетевая ОС не позволяет выборочный нат
нат - вообще больная тема, говножелезки натят только свою директ сетку, простые вещи типа ipnat позволяют только одно исключение и то l3
сложный нат - хард корэ, благо ТС натить ничего не надо
да, варианта 2:
2 сетевые
обмануть Судьбу, создав виртуальную сетевую (pptp например) до сервера с юниксом

это не НАТ, это роутинг между 2-мя подсетями, одна из которых кривая

К сожалению

НАТ-то я пробовал, он работает - проблема в видимости подсетей

Хранитель_ · 30.08.2010

si___ сказав(ла):
как именно их занатить? сетевая ОС не позволяет выборочный нат
нат - вообще больная тема, говножелезки натят только свою директ сетку, простые вещи типа ipnat позволяют только одно исключение и то l3

Ну так, это я знаю.

сложный нат - хард корэ, благо ТС натить ничего не надо
да, варианта 2:
2 сетевые
обмануть Судьбу, создав виртуальную сетевую (pptp например) до сервера с юниксом

Ну так, я две сетевки и имел ввиду, там же разшарка по средствам ната идет, если я не ошибаюсь. Хотя создать виртуальную сеть с тунелирование, наверное будет лучше.

surviver сказав(ла):
это не НАТ, это роутинг между 2-мя подсетями, одна из которых кривая К сожалению НАТ-то я пробовал, он работает - проблема в видимости подсетей

Да, тогда нат не катит.

surviver · 30.08.2010

alex444 сказав(ла):
конфигурацию сети в студию, плз. И желаемое, только не так, как в стартпосте, а нормальным языком (раз не чайник )

Route print завтра утром, а конфиг такой: В сети предприятия в подгруппе 192.168.20.* имеются серваки на никсах (шлюз на федоре, 192.168.20.1), на Новеле (Бест на бухгалтерию) и пара серваков на вин 2003 (видеонаблюдение, проходная и еще какая-то хрень). Админы в конторе являются эникейщиками и не могут сообщить нифига. а трогать что-либо боятся аки огня

Файл-сервер нашего отдела жил на серваке Новелл вместе с бухгалтерией. В случает открытия/копирования большого файла сервак умирает (что не радует 1000 рабочих, ждущих зарплату и бухгалтерию в частности

). Долгими пинаниями был выбит личный сервак на условиях "у вас своя подсеть, файл-сервер и чтобы IPX-пакеты к вам не ходили". Можно, конечно, привалить IPX на всех машинах (что в любом случае будет сделано), но охота реально поиметь свою подсеть для обмена файлом и доступа к принтерам (раз уж дают). Нужно пробросить роутинг с подсети , к примеру, 192.168.21.* на сеть 192.168.20.* со шлюзом 192.168.20.1, при этом шлюз является и proxy-сервером. Задача - обеспечить НАСРАИВАЕМУЮ прозрачность роутера с управлением доступа в подсеть по MAC/IP или паролю и доступ к проксе

alex444 сказав(ла):
конфигурацию сети в студию, плз. И желаемое, только не так, как в стартпосте, а нормальным языком (раз не чайник )

Как "нечайник", ты должен понимать что, как минимум, шлюз на *никсе должен знать, на какой из хостов сегмента 192.168.20/24 отправлять пакеты для машин "второй" подсети. Т.е. без изменений на *никсе не обойтись.

зы
"route add -net 192.168.21.0 netmask 255.255.255.0 gw <адрес_2003_в_сети 192.168.20/24>", где 192.168.21/24 - сеть за 2003-м сервером - даже таких знаний никсов нет? ,)
печально.

такие знания никсов есть, нет пароля рута

alex444 · 30.08.2010

Я так и не понял - "подсеть" отдельная (на отдельной карте 2003-го)? или всё "одним большим физическим сегментом" ?
роуте принты пока без надобности, повторяю:

Как "нечайник", ты должен понимать что, как минимум, шлюз на *никсе должен знать, на какой из хостов сегмента 192.168.20/24 (адрес твоего 2003-го сервера в сегменте 192.168.20/24) отправлять пакеты для машин "второй" подсети (которая за 2003-м). Т.е. без изменений на *никсе не обойтись.
Иначе (без знания пароля рута "федориного горя") - только нат (хотя..... прийти в нерабочее время, подмонтировать винт с федорой к ливчику, в /etc/rc.d/rc.local вбить "роуте адд" - много ума не надо

).

surviver · 30.08.2010

alex444 сказав(ла):
конфигурацию сети в студию, плз. И желаемое, только не так, как в стартпосте, а нормальным языком (раз не чайник )

Как "нечайник", ты должен понимать что, как минимум, шлюз на *никсе должен знать, на какой из хостов сегмента 192.168.20/24 отправлять пакеты для машин "второй" подсети. Т.е. без изменений на *никсе не обойтись.

зы
"route add -net 192.168.21.0 netmask 255.255.255.0 gw <адрес_2003_в_сети 192.168.20/24>", где 192.168.21/24 - сеть за 2003-м сервером - даже таких знаний никсов нет? ,)
печально.

да понимаю, что шлюз на никсах ДОЛЖЕН знать... А вот хрен мне пароль рута

мне б хотя бы одностороннюю прозрачность (т.е. клиенты подсети видят главную сеть), все равно болт получается

alex444 сказав(ла):
Я так и не понял - "подсеть" отдельная (на отдельной карте 2003-го)? или всё "одним большим физическим сегментом" ?
роуте принты пока без надобности, повторяю:

Как "нечайник", ты должен понимать что, как минимум, шлюз на *никсе должен знать, на какой из хостов сегмента 192.168.20/24 (адрес твоего шлюза в сегменте 192.168.20/24) отправлять пакеты для машин "второй" подсети (которая за 2003-м). Т.е. без изменений на *никсе не обойтись.

подсеть одтдельная, по остальному см. предыдущий пост (не успеваю отвечать

)

alex444 · 30.08.2010

si___ сказав(ла):
выделенное убило
сколько я видел еб-измов, но такого метода настройки сервера... это верх бдсм

Витя, а как ещё - если пароля рута НЕТ (неизвестен) и обнулять его не стоит? Это ж не фря, в сингл вошёл, и твори, что хочешь.

surviver · 30.08.2010

si___ сказав(ла):
тю
да хай ставит нат на вин2003
а на хостах втрой подсети малюет ее алиасом с первой, а шлюз 21.1 и судьба снизу
выделенное убило
сколько я видел еб-измов, но такого метода настройки сервера... это верх бдсм

при попытке снятия винта с федорой, боюсь, буду пристрелен на месте

фишка еще и в том, что мост через инет сделать не могу, ибо в конторе на 100 с лишним машин ЛИМИТИРОВАННЫЙ и ПЛАТНЫЙ инет-трафик (и не спрашивайте меня, где я работаю и на какой машине ездит "провайдер", мне самому стыдно за мою контору

)

alex444 сказав(ла):
Витя, а как ещё - если пароля рута НЕТ и обнулять его не стоит? Это ж не фря, в сингл вошёл, и твори, что хочешь.

причем сервак еще и не наш, а арендованный, могут быть непрятности за вмешательство (если б все было б так просто, я б не спрашивал

)

alex444 · 30.08.2010

surviver сказав(ла):
при попытке снятия винта с федорой, боюсь, буду пристрелен на месте

короче.. тебе нужно , чтоб твоя подсеть видела основную ? тогда nat на 2003-м достаточен. Если же нужно, чтоб и основная сеть видела твою подсеточку - тогда опаньки, только конфигурирование федоры.

Ну и вариант - никакой "отдельной подсети", сетёвки 2003-го загоняешь в мост, в свойствах моста - ipx убиваешь.
Ну и все машины живут в едином адресном пространстве 192.168.20/24, в результате.

surviver · 30.08.2010

alex444 сказав(ла):
короче.. тебе нужно , чтоб твоя подсеть видела основную ? тогда nat на 2003-м достаточен. Если же нужно, чтоб и основная сеть видела твою подсеточку - тогда опаньки, только конфигурирование федоры.

Ну и вариант - никакой "отдельной подсети", сетёвки 2003-го загоняешь в мост, в свойствах моста - айппикс убиваешь.
Ну и все машины живут в едином адресном пространстве 192.168.20/24, в результате.

alex444, о мосте уже тоже думал как о самом простом варианте

все равно никто не поймет, что и где я насроил

спасибо за поддержку идеи... как я понимаю, без реконфигурирования сервака на федоре особых вариантов, к сожалению, нет

Всем спасибо за поддержку! Ежели завтра получится, то тема закрыта!

Помогите с маршрутизацией в WinServer 2003

surviver

surviver

Хранитель_

alex444

staff (вахтьор)

alex444

staff (вахтьор)

Хранитель_

surviver

alex444

staff (вахтьор)

surviver

Хранитель_

surviver

alex444

staff (вахтьор)

surviver

alex444

staff (вахтьор)

surviver

alex444

staff (вахтьор)

surviver