Проблема доступа к расшаренным ресурсам из другой подсети
 

Добрый день.

Есть проблема доступа к расшаренным ресурсам одного компа с компа в другой подсети.
Опишу конфигурацию подробнее:
Есть 2 подсети: 192.168.111.0/24, 10.20.30.0/24
Эти две подсети объединены между собой через 2003 сервер с двумя сетевыми адаптерами.
Как на сервере, так и на клиентских машинах (XP SP2) настроена маршрутизация из одной сети в другую через ip сервера.
Обе подсети работают в рабочих группах (разных), домена нет.
На клиентской машине 192.168.111.151 расшарены диски, я пытаюсь их увидеть с другого клиента 10.20.30.3.
Ничего не получается, пакеты доходят от 30.3 к 111.151, вот эта машина обратно ничего со своего адаптера не посылает (смотрел сниффером).
Причем это только с виндовым протоколом, ICMP пакеты пинга проходят нормально в обе стороны.
На 111.151 так же поднят MSSQL сервер по tcp, к нему я тоже коннекчусь с 30.3 без проблем - т.е. маршрутизация настроена нормально.
Файрволов нет ни на клиентах, ни на серваке. Причем с самого сервака я вижу папки с 111.151.

В чем может быть проблема с этим виндовым протоколом?

Сорри, если что-то не написал, я с виндой не очень дружу, все больше Линуксы.

Прошу прощения, не хотел создавать похожую тему, ситуация следующая:
Имеется рабочая группа WORKGROUP.
Сервер 2003 R2 SP2 x86 является членом подсети 192.168.151.ххх и имеет адрес 192.168.151.2. Используется как терминальный сервер. В этой же сети штук 15 бухгалтерских компьютеров.
Интернет все компьютеры получают через некоторый аппаратный шлюз (радиомодуль, я полагаю)с адресом 192.168.151.1.
В филиале находится подсеть 192.168.152.ххх. 10 компьютеров с той же рабочей группой и шлюзом аппаратным 192.168.152.1. Эти аппаратные шлюзы связаны между собой через VPN и образуют VPN туннель.
Ping проходит нормально и туда и обратно.
Хотелось бы организовать, чтобы в сетевом окружении были видны компьютеры из обоих подсетей.
Как такое можно сделать?

Tracert 192.168.111.151 с клиента 10.20.30.3 можно увидеть?
А что значит ничего не получается? если сделать пуск-выполнить- \\192.168.111.151 что вылетит? Попробуйте создать на 192.168.111.151 учетку с именем и паролем и на 10.20.30.3 такую же учетку и пароль и попробуйте из под ней.


А если открыть шару с одной подсети из другой подсети, открывает?

Файрволл для службы "Общий доступ к файлам и принтерам" настроен в режим "подсеть". Соответственно, все запросы из другой подсети им обрубаются. Я прав? :)

По IP-адресам файлы открываются? Если нет, тот же самый ответ - указать разрешения файрволла для 192,168,х,х

HellFire_MZ
Где осуществляется маршрутизация? В разных подсетях, разделенных маршрутизатором, рабочие группы работают независимо... Для объединения списков сетевого окружения нужен доменный мастер-обозреватель, поэтому вариантов, собственно, два:

- "слить группы", открыв хождение между сетями широковещательного трафика (реализация зависит от железа);
- поднять контроллер домена (можно на SAMBA, рабочие станции в него включать необязательно) + WINS-сервер;

1. в каком плане от железа? на границе стоят два радиомодуля, создающие VPN-туннель между подсетями. Каким образом его можно открыть?
2. Хм. а если маршрутизацию прописать на каждой станции? что то вроде route -p add 192.168.152.0 mask 255.255.255.0 192.168.151.1?
Не будет находить каждая машина по маршруту?

да, открываются. Да фаерволов как бы и нет. Доменное имя в сетевом окружении не появляется .

El Scorpio & Delirium спасибо за совет. Файрволы на локальных тачках я отключал, но вот умные юзвери оказывается их включили обратно когда увидели сообщение о "безопасность под угрозой". Сейчас прописал подсетки в исключения "Общий доступ к файлам и принтерам" в режиме "Особый". Теперь папки видны на \\192.168.111.151

Настроил WINS в обоих подсетях с взаимной репликацией, прописал везде его, теперь по имени тоже ходит, а вот в сетевом окружении почему-то показывает только одну рабочую группу (из локальной подсети).

P.S: В каждой подсети на компах стоит своя рабочая группа, и я ожидал увидеть две эти группы при просмотре окружения.

HellFire_MZ

от настройки той железки, которая осуществляет маршрутизацию... в данном случае широковещательные пакеты должны отбираться в туннель наравне с юникастовыми (с обоих концов)... маловероятный трикс, на практике не встречал, но можно уточнить у оператора

маршрутизация тут не причем - служба обозревателя использует широковещание для формирования списков в локальном сегменте (подсети) и только потом юникастом передает его "наверх" - доменному мастер-браузеру (DMB), который уже формирует общий список по всем подсетям для клиентов. В SAMBA DMB может работать отдельно от КД, в Windows DMB работает только на контроллере домена.

KingLeonid

то же что и у HellFire_MZ

А в какой из подсетей нужно настроить SAMBA DMB? Или это все равно?
И кого надо включать в этот контролер домена? Все компы обеих подсетей.
Я просто не совсем понял суть работы контроллера домена для определния рабочих групп подсетей.
Если не трудно поясните подробнее, пожалуйста.

насколько я понял, нужно поднять контроллер домена и WINS сервер. Верно? другого пути нет?
Разговор о железках наверно бесмысленнен, нужно провайдера мучить.

В любой, но чтобы клиенты и локальные мастер-браузеры (LMB) его находили нужен WINS-сервер. Если в каждой подсети есть SAMBA-машины, то можно не поднимать DMB, а сделать их единственными LMB в сегменте и настроить между ними синхронизацию списков сетевого окружения (у Windows такой фичи нет, поэтому службу обозревателя придется остановить).

Можно никого не включать, нам нужна только функция DMB - она работает как для домена, так и для рабочих групп (главное WINS должен быть общим). Но DMB должен быть в сети уникален, иначе список будет противоречив, в домене Windows DMB выполняется на эмуляторе PDC. Кстати, не знаю ответа на вопрос: BDC способен заменять PDC в случае его падения или нет?.. Если кто в курсе прошу поделиться инфой. :)

ну и на клиентах и серверах в параметрах сети указать адрес WINS-сервера (можно через DHCP)

HellFire_MZ, меня интересует именно функция DMB, может на нее перенос ролей не влияет... или влияет, но выборочно

На BDC ничего не мешает тоже сделать Global Catalog дополнительный, так что, проме передачи ролей, особых трудностей не будет.