Объединение двух удаленных сетей
 

Начну с описания структуры, потом будут вопросы.
Имеются два офиса ОФИС_1 и ОФИС_2 находящиеся в разных городах. Соответственно имеем две сети СЕТЬ_1 192.168.1.0/24 и СЕТЬ_2 192.168.2.0/24. Офисы соединены между собой оптоволоконным каналом IP_VPN (так его называет провайдер). В СЕТИ_1 имеется СЕРВЕР_1 ip 192.168.1.10 на win2008 c поднятым Forefront TMG 2010 выполняющий роль шлюза в интернет и СЕРВЕР_2, который одним интерфейсом ip 192.168.1.11 смотрит в локалку, другим ip 10.2.0.2 и шлюзом 10.2.0.1 смотрит в сторону IP_VPN. . В СЕТИ_2 имеется СЕРВЕР_3, который одним интерфейсом ip 192.168.2.10 смотрит в локалку, другим ip 10.2.0.6 и шлюзом 10.2.0.5 смотрит в сторону IP_VPN. На СЕРВЕРЕ_2 и СЕРВЕРЕ_3 планируется поднять службу RRAS=>LAN Routing для перенаправления трафика в канал. В СЕТИ_1 на клиентских машинах прописан шлюз 192.168.1.10. В СЕТИ_2 на клиентских машинах прописан шлюз 192.168.2.10.

Задачи.
(1) машины из СЕТИ_2 должны пинговать (видеть) машины СЕТИ_1. (первоочередная)
(2) машины СЕТИ_1 должны видеть манины СЕТИ_2. (второстепенная)
(3) машины СЕТИ_2 должны выходить в интернет через СЕРВЕР_1 СЕТИ_1. (второстепенная)

Вопросы.
1) Достаточно ли мне на СЕРВЕРЕ_3 поднять службу RRAS с включенной опцией LAN Routing, чтобы траффик для СЕТИ_1 уходил в канал IP_VPN?(Собственно объединить сети 192.168.2.0/24 и 10.2.0.0/30) Или нужно прописать статический маршрут на СЕРВЕРЕ_3 для СЕТИ_1? (Это вопрос по (1) задаче)
2) Как настроить маршрутизацию на СЕРВЕРЕ_1 чтобы трафик для СЕТИ_2 перенаправлялся на СЕРВЕР_2? (Чтобы трафик с СЕРВЕРА_2 уходил в канал мы решим в предыдущем аналогичном вопросе) Достаточно ли будет прописать маршрут на СЕРВЕРЕ_1 route -p add 192.168.2.0 mask 255.255.255.0 192.168.1.11? (Это вопрос по задаче (2))
3) ну и задача (3), идей у меня своих нет пока, предлагайте.

ЗЫ Давайте начнем с задачи (1). Если нужны выводы каких либо команд, пишите выложу.

ЗЫЫ Не предлагайте мне обойтись одним сервером с тремя интерфейсами в СЕТИ_1, этот вариант отвергло начальство ((((( Хотя он меня больше устраивал. И не предлагайте попросить провайдера на концах IP_VPN канала прописать адресацию наших локальных сетей, тоже начальство отвергло (((((

Итак, если схема сети правильная (да, лучше выкладывать схему сети чем писать много слов :)) то логика должна быть такой.



Задача 1 и 2 решаются одинаково:

С сервера_2 у вас должен без проблем пинговаться сервер_3 по ip 10.2.0.6 т.к. они находятся в одной сети и маршрут в эту сеть есть только у этих двух серверов. Если с сервера_2 попробовать попинговать что-нибудь из сети 2 - ничего не выйдет т.к. маршрута в сеть 192.168.2.0/24 на сервере нет. Добавим его.

route add 192.168.2.0 mask 255.255.255.0 10.2.0.6 metric 1 (потом везде можно будет добавить ключ -p чтобы маршрут не исчезал при перезагрузке сервера)

Если на сервере_3 добавить маршрут в сеть 1

route add 192.168.1.0 mask 255.255.255.0 10.2.0.2 metric

То с сервера 2 должны доходить пинги до сервера 3 по адресу 192.168.2.10

На пользовательских машинах в первой сети прописан основной шлюз 192.168.1.10 т.е. на эту машину попадают все запросы идущие не в локальную сеть. Обычно это запросы в Интернет. Если вы сейчас пробуете попинговать 2-ю сеть, с любой пользовательской машины, то ваш запрос будет направлен на Сервер_1, а далее в Интернет ... где собственно и потеряется. Вам нужно на сервере_1 прописать маршрут в сеть_2. А маршрут в сеть 2 идёт через сервер 2... т.е.

route add 192.168.2.0 mask 255.255.255.0 192.168.1.11 metric 1

По идее всё. Теперь если компьютер например с адресом 192.168.1.60 отправит пинг адресу 192.168.2.90 он сначала попадёт на сервер_1... у сервер_1 есть маршрут в эту сеть и он знает лежит от через сервер 2.... пакет уходит на сервер 2... сервер 2 отправляет пакет на сервер 3.... ну а сервер 3 уже на машину с адресом 192.168.2.90. Обратный пакет пойдёт тем же путём.

По 3-й задаче нужны уточнения. Как там сейчас реализован выход в Интернет??? Сервер 3 выпускает всех в Интернет через тот же интерфейс что и IP VPN или есть ещё один интерфейс???

Схема правильная, но есть уточнение по IP_VPN (см. ниже по ссылке уточнения к рисунку)

http://forum.oszone.net/attachment.p...1&d=1321452852

Я находил описание подобной реализации, как Вы предлагаете. Там тоже соединялись две сети через третью. Но у меня получается четыре сети, т.к. провайдер организует IP_VPN объединением двух сетей: 10.2.0.0/30 и 10.2.0.4/30. Как то об этом я забыл написать. )

Скажите это реализуется??? Если нет то тогда нужны ещё маршруты...

На сервере 2

route add 10.2.0.4 mask 255.255.255.252 10.2.0.5 metric 1


на сервере 3

route add 10.2.0.0 mask 255.255.255.252 10.2.0.1 metric 1



Но мне кажется, что и без добавления маршрутов, пинги должны проходить ибо для этого и создаётся провайдером VPN.


P.S. для начала поставьте себе цель получить ответы от оборудования из сети 10.2.0.0/24

Цитировать не получается буду писать так:

>На сервере 2
>
>route add 10.2.0.4 mask 255.255.255.252 10.2.0.5 metric 1
Мне кажется что все таки вот так надо route add 10.2.0.4 mask 255.255.255.252 10.2.0.1 metric 1

>на сервере 3
>
>route add 10.2.0.0 mask 255.255.255.252 10.2.0.1 metric 1
И вот так route add 10.2.0.0 mask 255.255.255.252 10.2.0.5 metric 1

Считаю так потому что не знают серваки 2 и 3 о шлюзах из соседних сетей, если я не прав объясните, т.к. в маршрутизации я новичек пока.

>P.S. для начала поставьте себе цель получить ответы от оборудования из сети 10.2.0.0/24
Я постараюсь это сделать, но пока провайдер еще не настроил канал, как появится возможность сразу отпишусь. А почему именно 10.2.0.0/24?

нет нужно писать именно

Сервер 2 знает о сети 10.2.0.0/30 т.к. он сам в ней находится. А вот другая сеть 10.2.0.4/30 ему неизвестна. Мы ему говорим, что эта сеть живёт где-то далеко и шлюз у этой сети 10.2.0.5. А вот доступ к шлюзу 10.2.0.5 должен обеспечить шлюз наш - 10.2.0.1. И мне кажется что эти маршруты должны быть на уровне шлюза провайдера прописаны. Вы должны с сервера 2 пинговать сервер 3!!! Просите вашего провайдера это обеспечить. Как только заработает будем писать маршруты между первой и второй сетью.

да так просто в голову пришло :)

Это работает.

Пока СЕТИ_2 как токовой нет и СЕРВЕРА_3 тоже нет. Пробовали подключать ноут заместо СЕРВЕРА_3. Винда почему то не может прописать этот маршрут, ругается.

Нужно чуть более точно выражаться... т.е. написать какая именно ошибка появляется.

ну и наверное конфигурация ipconfig /all была бы не лишней если мы перешли от теории к практике

Эту проблему решили, маршрут route add 192.168.1.0 mask 255.255.255.0 10.2.0.2 прописался, но пинг в нашу локалку не пошел. Начал разбираться почему. Отцепил СЕРВЕР_2 от канала IP_VPN подключил ноут и стал пинговать локальную сеть, из всех рабочих адресов нашей сети, мне ответил только один комп, мой админский. Сначала подумал что криво установилась служба RRAS на Win 2008 32bit, переустановил - не заработало, снес винду, переустановил - все по старому. Поставил другой дистрибутив Win 2008 R2 x64 - тоже самое. Если пинговать из родной сети, то пинги проходят, если пинговать из другой сети, то пингуется только один адрес(192.168.1.254). Фаерволы на всех машинах отключены. Было подозрение что это управляемые свичи что то блокируют, вернул из к заводским настройкам, все по старому. В RRAS в мастере указал особая конфигурация, поставил галочку напротив LAN Routing, нажал готово. Может я что то не так в RRAS настроил?


СЕРВЕР_2
C:\Users\Administrator>ipconfig /all

Windows IP Configuration

Host Name . . . . . . . . . . . . : win-2008-vpn
Primary Dns Suffix . . . . . . . :
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter IP_VPN:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection #
2
Physical Address. . . . . . . . . : 00-0C-29-7B-B5-6F
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 10.2.0.2(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.252
Default Gateway . . . . . . . . . : 10.2.0.1
NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter LOCAL:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
Physical Address. . . . . . . . . : 00-0C-29-7B-B5-65
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.1.137(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . :
NetBIOS over Tcpip. . . . . . . . : Enabled

Tunnel adapter isatap.{AA762F01-5447-4122-BEE4-EE1995D24900}:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.{28B5E561-15A4-4CC2-AFFE-A55C413267AD}:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter #2
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

нужен обратный маршрут что б пакеты стали ходить туда и обратно!

Спасибо! Заработало! Мы справились с двумя первыми пунктами. Только за место IP_VPN канала я подключал ноут. Осталось проверить на канале.

Замечательно. Рад за вас. Пробуйте.