Доброе время суток!

Сломал голову над тем, как организовать следующее:

1) Контролер домена + DNS, всё на одной машине. Адрес 192.168.10.1. DNS обслуживает только машины домена. Сеть 192.168.10.0/24. (наша сеть)

2) Компьютеры нашей сети сводятся в тупой свич, куда подключаются и DFL-210, и маршрутизатор, и контролер домена, и всё прочее.

3) Имеется вторая сеть 10.20.130.0/24. Сеть стороннего отдела.

4) Между ними маршрутизатор с 3-мя сетевыми:
192.168.10.130
10.20.130.130
10.20.120.130 – (шлюз для 3-й сети)

5) К нашей сети подключен DFL-210 с параметрами
LAN_IP -192.168.10.254
LAN_NET -192.168.10.0/24
WAN_IP -85.90.95.209
WAN_GW -85.90.95.208
WAN_NAT -85.90.95.207/28
DNS1 -10.20.80.8
DNS2 -10.20.80.10

6) Соответственно, для правильной работы в домене, сетевые настройки рабочих станций в домене имеют следующий вид:
IP адрес -192.168.10.х
Маска -255.255.255.0
Шлюз -192.168.10.130
DNS -192.168.10.1


7) А для правильной работы в Интернете необходимо указывать, в сетевых настройках:
ШЛЮЗ -192.168.10.254
DNS-серверы -10.20.80.8
-10.20.80.10

Получается тык-мык


ВОТ И ГОЛОВОЛОМКА – указываем ШЛЮЗ -192.168.10.254. На DFL-210 нужно прописать маршруты (как это сделать для интерфейса LAN ТОЖЕ БОЛЬНОЙ ВОПРОС. Опробованные варианты не получаются…к LAN подходит только 1 шнур). КАК быть с DNSами???
Да и плюс ко всему необходимо обеспечить пересылку пакетов на маршрутизатор!!!

Может кто пояснить решение?

С DNS типовое решение - На раб станциях указывать как DNS ваш внутр сервер, а на нем указать серверы пересылки для инета и другие серверы для конкретных доменов.

Для пересылки пакетов в сети с несколькими мрашрутизаторами часто используется правило вида

Fwd_Fast lan lannet lan <маршрутизатор> all-services
и правильно настроенная маршрутизация.

В дополнение или вместо этого на локальных компах можно настроить нужные маршруты или раздавать их по DHCP.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо, обязательно воспользуюсь Вашим советом.

А при настройки маршрутизации использовать МАРШРУТ или КОММУТАЦИЮ, и где создать в таблице MAIN или в другой можно создать... можно по подробней. И в лёт ещё вопросик: В настройках указываются 2 DNS сервера - можно ли использовать один!!! или один DNS домена а Альтернативный - DNS провайдера?

Не понимаю вопрос. маршрут надо создать

в main

Ваши рабочие станции должны нормально разрешать ваши внутренние доменные имена и инетовские. Раз у вас один сервер DNS для домена, то его один и указывайте, Заведете второй - сможете указывать 2.

Указывать два разных DNS сервера (свой и провайдера) плохо. тогда будут случаи, что станции не смогут разрешать ваши внутренние доменные имена.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

В таблице можно создать 2 объекта: маршрут или маршрут коммутатора, какой подойдёт лучше?


Маршрут прописал и с DFL ping в другую сеть проходит. С компьютера моей сети ни в какую... Либо правило не срабатывает либо лыжи не едут.
Может я правило не в том месте прописываю? (прописал в корневой папки IP-правила на 1-ом месте)

простой маршрут

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Вроде все пинги прошли во все сети. НО! Правило вида

Fwd_Fast lan lannet lan <маршрутизатор> all-services

пришлось заменить на

Fwd_Fast lan lannet lan <маска сети назначения> all-services.


ОГРОМНОЕ СПАСИБО YuriAM, БОЛЬШУЩИЙ РЕСПЕКТ!!!

Но не кажется ли Вам, что прогон трафика через DFL к роутеру и обратно, значительно подгружает трафик сети? если человек 40 в Internet ломануться, а ещё 40 по локальным сетям прогуливаться?? (или 210 справиться?)


P/S YuriAM не могли бы вы разъяснить тему: Никак не получается авторизовать пользователей в инет через LDAP (пользователи с AD), в мануале использование протокола не описывается. Если это возможно ответьте пожалуйста, создам отдельную ветку по проблеме.

Да. Правильно. Так и надо.

Мне не кажется. Я в этом убежден. Скажу более. Из-за этого правила DFL работает гораздо менее эффективно, т.к. не пользуется своей таблицей установленных соединений, а на каждый пакет сканирует правила.

Чтобы этого избежать, надо клиентам раздавать правильные маршруты или менять топологию сети.

Никогда такого не настраивал. Знаю только, что надо на Windows поднять Radius сервер и авторизовать пользователей на DFL через него.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Как-то геморно тогда получается использовать DFL. Но время потраченное на вникание в сие вопросы не вернешь. Будем думать.



СПАСИБО, я думаю что LDAP это и есть альтернатива RADIUS. Просто пока обхожусь на данный момент тупой привязкой IP-адресов, т.к. после настройки DFL по мануалу аутентификации пользователей из локальной БД не получается установить HTTP ALG? (может этот вопрос разберём??)