Добрый день всем!

Хотим соединить через VPN-tunel (IPSec) фрагменты одной сети, т.е.

Офис1 (192.168.1.1/24) <->DFL1 <--->Internet<--->DFL2<-> Офис2 (192.168.1.1/24)

Т.е. часть хостов сети 192.168.1.1/24 находится в одном офисе, часть в другом. DFL1 - находится в офисе 1, DFL2 - в офисе 2.
Можно ли это сделать в принципе? Если да, то какие нюансы?

IPSec тунель между двумя DFL устанавливается, но ПК из разных офисов друг друга не видят

Помогите, советом ...

теоритически можно запариться....
только зачем такой полный гемор?
смените подсеть в одной из сетей и объединяйте без проблем.

1. Если хосты не дублируются по айпам, то поделите подсеть по маске /25

2. Если дублируются то вам сюда viewtopic.php?t=94840
только вот подумайте хорошо - а оно вам надо?

Основная проблема, из-за которой не хочу выделять отдельную сеть - наличие в инфраструктуре DC за ISA Server.

Офис1

192.168.0.0/24:
|
+- DC [192.168.0.250]
|
+- ISA Server -+ [192.168.0.253, 192.168.1.253]

+192.168.1.0/24
|
+- host 1
|
+- host 2
|
+- lan DFL wan - Internet


Т.е. основныые ПК Офиса1 находятся в сети 192.168.0.0/24. Там же находятся и контролеры домены.

Сеть 192.168.1.0/24 - является по сути DMZ, в нём находятся допалнительные компьютеры (WWW, FTP, terminal server и т.п.)
ISA server подключён одним сетевым интерфейсом к 192.168.0.0/24, другим - к 192.168.1.0/24.

Если поставить надо сервер не в 192.168.0.0/24, то аутенфикация пользователей домена проходит если только сервер стоит в 192.168.1.0/24 (на ISA все необходимые правила стоят).

Поэтому и хочется Офис 2 подключить к сети 192.168.1.0/24. Противном случае (если сеть будет не 192.168.1.0/24) доменные пользовотели не смогут залогинится в свои компьютеры.

Мля... вот веришь или нет, но я ни ... не поняла.
(Я блондинко! аааа!!!! )

Вот это место подробнее плиз

ЧЁЁЁ?!!

Теперь по сегменту 192.168.1.0 /24 :
- какое правило твоей религии мешает сделать
в офисе1 = 192.168.1.0 /25, а в офисе2 = 192.168.1.128 /25 ???
ну и потом объединяй их как хочешь - хоть повдоль, хоть поперек.

Но при объединении по IPSec нарвешься на то,
что офис2 будет не в курсе о том, что за сегментом 192.168.1.0 /25 лежит еще и 192.168.0.0 /24
Или ИСА утебя обратку натирует?

Вообще-то неплохо бы еще и модель DFL`ов в студию дать - для разнообразия дискуссии.

З.Ы. А вообще лихой у тебя ДМЗ, можно и попроще и жить легче станет сразу.

По поводу моей "хитрой" DMZ.
Структура примерно такая (всё на одной площадке):


+- LAN 0 [192.168.0.0]
|
ISA Server
|
+- DMZ 1 [192.168.1.0] -+- lan DFL1 dmz -private IP wan - Internet
|
маршрутизатор (DES 3226)
|
+- DMZ 2 [192.168.2.0]
|
+- DMZ 3 [192.168.3.0]

В сети LAN 0 находятся основные ПК и сервера, в т.ч. контроллеры домена.

В DMZ 1 - вспомогательные сервера
В DMZ 2, 3 - ПК других организаций, которые мы тоже обслуживаем и имеем совместный с ними доступ в Интернет.

Так вот, если сервер находится в 192.168.1.0, то доменные пользователи могут на нём регистрироваться, а если в 192.168.2.0 или 192.168.3.0 - то не могут.
Такая вот ситуация.
Т.к. в другом офисе пользователи то же должны регистрироваться в домене, то я и хотел, чтобы их ПК были в 192.168.1.0, т.к. будучи в другой сети они не смогут зарегистрироваться (из опыта).

DFL1 = DFL-800
к порту wan - подключен public IP провайдера, к порту dmz - private IP провайдера типа 10.10.10.1.
Офис 2 подключен к тому же провайдеру с IP 10.10.10.2, т.е. IPSec устанавливается с dmz DFL1 на wan DFL2.

Во втором офисе (DFL2) хотелось бы использовать DFL-200 (остался от других дел), но при необходимости купим DFL-210.

Хорошо. Боле-мене ясно.

Нас интересует вот этот сегмент (отбросив ваш замут с коммутатором DES 3226)


т.к. сегмент

нам в данном случае побоку в принципе

И так, для начала вам нужно ответить на простые вопросы из поста выше

1.

2.

DFL-200 думаю прокатит, хотя я со старыми моделями не сильно хорошо знакома.

Добрый день!



В принципе ничего не мешает, кроме п.2 (ниже). Так как DC находятся в сети 192.168.0.0/24, то я подозреваю, что хосты в Офисе2 в сети 192.168.1.128/25 эти сервера "не увидят", и юзеры не смогут залогиниться в домен.
Кроме того я не понял, предлагается сделать IPSec-и обычным способом или как описано в viewtopic.php?t=94840, через "фальшивую" подсеть?
Кстати в этом способе мне непонятно:
1) к какому интерфейсу эту fake_net привязывать? или просто её создать как объект в адресной книге?
2) как сделать маршруты с публикацией ARP? (чтобы хосты с обоих концов канала "видели" друг друга)


У меня сейчас ИСА сети 192.168.0.0/24 и 192.168.1.0/24 маршрутизурует. Но конечно в соответсвии с правилами: из 192.168.1.0/24 видны только сервера DC и только по определённым протоколам, необходимым для работы AD (DNS, LDAP и т.п., всего порядка 10 протоколов).


Там вообще всё по-другому - адресной книги нет, правила по-другому настраиваются и т.п.
Например, нам не удаётся сделать IPSec тунель в DMZ этого DFL-200.

Дорогой, ты меня устал уже -

Делаешь как "обычно" -- 192.168.1.0/25 и 192.168.1.128/25 - это вообще-то не одно и тоже адресное пространство.

Для того чтобы был виден сегмент 192.168.0.0/24,
надо будет указать на DFL`ях группу адресов на концах тоннеля

Как быть с DFL-200, я не особо в курсе,
но предполагаю, что можно попробовать задать например такой ремоте хост ему 192.168.0.0/23
Либо переходите на 210-й




Ну дык и вперед, надо делать уже, там и видно будет
не будет сразу закручиваться, прокинешь РРТР, потом остальное подтянешь как надо.

Спасибо за помощь