faq обучение настройка
Текущее время: Вс июл 20, 2025 12:39

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 24 ]  На страницу 1, 2  След.
Автор Сообщение
СообщениеДобавлено: Пн апр 21, 2008 14:07 
Не в сети

Зарегистрирован: Пт авг 24, 2007 07:29
Сообщений: 73
Откуда: ЮФО
Есть локальная сеть с AD и PDC под Win2k3 se r2 sp2
Шеф решил делать маршрутизируемую сеть, раньше в качестве роутеров использовались компы с win2k server, но теперь шеф решил использовать DI-808HV. То есть: есть сеть 172.16.11.0/24 в которой находятся сервера, админы, и прочие юзвери, а хочеться (и раньше так было), чтобы юзвери были каждый в подсети своего отдела (192.168.n.0/24 где n - номер отдела) и могли бы пользоваться общими ресурсами (серверами) и к ним ко всем имели бы доступ админы, и это все при наличии AD. Раньше на PDC в таблице маршрутизации вбивались все маршруты, и у отдельских маршрутизаторов вбивались маршруты, чтобы отдельский трафик замыкался на отдельском маршрутизаторе, а траффик на сервера маршрутизировался через PDC. Теперь пробуем сделать что-то подобное: на DI-808HV даем для WAN статичный ИП, например 172.16.11.35, указываем шлюз 172.16.11.4 (PDC) и ДНС - тот-же, в LAN тоже даем DI-808HV ИПишник, например 192.168.10.2 (10-ый отдел). У всех отдельских компов в качестве роутера указываем 192.168.10.2, и раздаем им статичные ИП из подсети 192.168.10.0/24, в качестве ДНС сервера у них указываем 172.16.11.4 (PDC). На PDC (который 172.16.11.4) вручную добавляем маршрут route add -p 192.168.10.0 mask 255.255.255.0 172.16.11.35, ну и в файрволе роутера разрешаем доступ из WAN с ИП серверов к LAN. В результате получается что-то непонятно... Часть программ у клиента имеет доступ к серверам, то есть внутрення аська работает, а доступа к проксе почему-то нету, короче ерунда какае-то... снаружи, т.е. из WAN (с серверов и админских компов) доступа вообще к клиенту нету... Помогите люди добрые... Объясните что не правильно делаем, или может вообще не тот курс избрали...

ЗЫ: В логе роутера запись: Monday April 21, 2008 14:39:33 UPP: Eventing NG:-12
это что значит?

_________________
DIR-620


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн апр 21, 2008 15:34 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Устройство позволяет работать только с одной сетью класса С. Сколько у вас подсетей?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 22, 2008 09:21 
Не в сети

Зарегистрирован: Пт авг 24, 2007 07:29
Сообщений: 73
Откуда: ЮФО
Собственно говоря, интересует вопрос можно ли с помощью этого роутера настроит маршрутизацию снаружи (из WAN) внутрь (в LAN). То есть, чтобы можно было снаружи обращаться к конкретным компам внутри, притом что WAN и LAN в разных подсетях класса С. Или это нельзя сделать. Если можно то пример пожалуйста приведите. Спасибо.

_________________
DIR-620


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 22, 2008 09:36 
Не в сети

Зарегистрирован: Чт янв 10, 2008 18:21
Сообщений: 337
DarkPagan писал(а):
Собственно говоря, интересует вопрос можно ли с помощью этого роутера настроит маршрутизацию снаружи (из WAN) внутрь (в LAN). То есть, чтобы можно было снаружи обращаться к конкретным компам внутри, притом что WAN и LAN в разных подсетях класса С. Или это нельзя сделать. Если можно то пример пожалуйста приведите. Спасибо.

а у 808 нат не отключается кажется (проверьте по фак),
т.о. имеем только вирт сервера, или IPSec туннели


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 22, 2008 09:38 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Да у устройства не отключаемый NAT, в вашем случае стоит обратить внимание на устройства из серии DFL-210/800/1600/2500


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 22, 2008 10:33 
Не в сети

Зарегистрирован: Пт авг 24, 2007 07:29
Сообщений: 73
Откуда: ЮФО
Темный Ангел писал(а):
имеем только вирт сервера, или IPSec туннели

Ну с вирт.серверами, понятно, но нам это не очень подходит. А вот как использовать туннели, в мануале написано, но по аглицки и не очень понятно, может быть дати ссылки или примерчик как можно было бы попробовать реализовать мою задачу с помощью туннелей, или хотя бы какуе-нибудь инфу про эти самые туннели. Насчет других устройств, это тоже понятно, что немного не то купили, просто в планах нужно быстрее сделать маршрутизируемую сеть, и уже три 808HV купили (и ещё панировали закупать несколько штук), куда же нам их теперь девать? Так что нужно попробовать что-нибудь с ними сделать.

_________________
DIR-620


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 22, 2008 12:13 
Не в сети

Зарегистрирован: Чт янв 10, 2008 18:21
Сообщений: 337
http://www.dlink.ru/technical/faq_vpn.php
http://www.dlink.ru/technical/faq_vpn_19.php


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 22, 2008 14:40 
Не в сети

Зарегистрирован: Пт авг 24, 2007 07:29
Сообщений: 73
Откуда: ЮФО
Спасибо. Вроде бы начинает проясняться. Хотелось бы узнать существует ли ограничение на число клиентов в LAN с учетом использования VPN, т.е. если к роутеру в LAN будут подключены ещё коммутаторы, и суммарное количество их будет превышать 8 (кол-во портов)? Кроме того, в http://www.dlink.ru/technical/faq_vpn_19.php подробно расписано как сделать соединение одного компа через ВПН из WAN с компами в LAN, а можно ли соединить так подсети, т.е. подсеть из WAN с подсетью из LAN, для того чтобы в конце концов иметь: в WAN - сервера и администраторы, в LAN - компьютеры отделов (их (LAN) много, в каждом отделе стоит DI-808VH), в итоге хотелось бы чтобы каждый отдельский компутер мог бы свободно обмениваться информацией с серверами и компьютерами из своего отдела, и не видеть компьютеры из других отделов, а сервера и администраторы могли бы обмениваться информацией со всеми ПК в организации (всеми LAN). Возможно ли это? И как это оптимальнее реализовать?

_________________
DIR-620


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 22, 2008 14:56 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
У устройства есть порог производительности, устройство справиться с 10-15 компьютерами, но больше, для больших сетей, следует использовать устройства из линейки DFL


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 22, 2008 15:51 
Не в сети

Зарегистрирован: Пт авг 24, 2007 07:29
Сообщений: 73
Откуда: ЮФО
но серия DFL насколько я понимаю это аппаратные файерволы, которые много чего умеют, а нам нужен по сути дела простой маршрутизатор с настраиваемой таблицем маршрутизации, хорошей производительностью, чем дешевле тем лучше, причем нам их нужно будет штук 30-40, ну и подходящие для решения поставленной задачи, которую я выше описывал. А уст-ва из серии dfl - очень дорогие для нас, с учетом того что мы не будем все их возможности использовать. Может быть есть какие-нибудь аппаратные маршрутизаторы (ну типа бюджетный вариант и т.д.)? В других организациях для тех целей что нам нужны, знаю используют старые ПК с никсовыми системами и прописаной таблицем маршрутизации, а мы бы хотели спец. устройство, чтобы и места меньше и администрировать проще. Подскажите что-нидь, пожалуйста...

_________________
DIR-620


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 22, 2008 16:18 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Для ваших целей только DFL, потому что у DI не отключаемый NAT, и с вашими требованиями у устройства не хватить производительности.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс май 04, 2008 09:32 
Не в сети

Зарегистрирован: Пт авг 24, 2007 07:29
Сообщений: 73
Откуда: ЮФО
Начали тестить конфигурацию с VPN-ами. Создаем три VPN: один с моей машиной (Win XP Pro SP2), и 2 с контроллерами домена под Win2k3 SE R2 SP2 как описано в http://www.dlink.ru/technical/faq_vpn_19.php. Все нормально работает, но по истечении таймаута (там в статье 8 часов), моя машина продолжает работать через VPN, и видит компы в LAN маршрутизатора, а VPN с контроллерами домена не пересоздается. Если ребутнуть маршрутизатор, то все VPN создаются, нормально. Может быть для Win2k3 есть какие-нибудь особенности которые не приведены в статье FaQ?

_________________
DIR-620


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс май 04, 2008 11:29 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср май 10, 2006 16:40
Сообщений: 12251
Откуда: D-Link, Moscow
Какая прошивка на устройстве?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс май 04, 2008 12:31 
Не в сети

Зарегистрирован: Пт авг 24, 2007 07:29
Сообщений: 73
Откуда: ЮФО
Firmware Version: V1.50, Fri, Nov 30 2007

_________________
DIR-620


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн май 05, 2008 10:19 
Не в сети

Зарегистрирован: Пт авг 24, 2007 07:29
Сообщений: 73
Откуда: ЮФО
Посмотрел топик http://forum.dlink.ru/viewtopic.php?t=56606, и возник вопрос: может быть в моем случае более удобно создать 2 VPN с контроллерами домена, а компы админов в случае необходимость соединять с отдельскими сетками через PPTP соединения? Что более эффективно в плане снижения нагрузки на сеть и т.п.?

_________________
DIR-620


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 24 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 361


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB