[решено] Как настроить маршрутизацию?! <Dial-up Клиент, сервер 2003+RRAS, фаервол>
 

Доброго времени суток!
Есть удаленный клиенты, которые подключаются к серверу через модем и получают IP 192.168.1.2, а у сервера в свою очередь 192.168.1.1, сервер подключен к ЛВС (255.255.255.0), в ней подключен интернет через 192.168.0.1. Вопрос в следующем: как и какие маршруты настроить, чтобы удаленные клиенты тоже получили интернет???
Спасибо!

Забыл добавить: клиенты XP Home Edition; сервер: Windows Server 2003.

wuff,
1) схемку нарисуйте

2)
ipconfig /all - для сервера приведите

ipconfig /all - для клиента до и после подключения приведите

route -p add ip-адресс-куда mask 255.255.255.255 (смотри мануал) ip-компа, сетевухи.

Схема:

Я в маршрутизации полный ноль только начал ей заниматься, поэтому вопрос voler'у какой адрес "куда" надо вписывать, адрес интернет шлюза в локальной сети, или наоборот подключающегося к сети компа? Т.е. мне неясно, какие к-ры подразумеваются под "конечной точкой", "шлюзом", и "интерфейсом".
Спасибо!

wuff,
Да в случае простой сети вам, вполне возможно, маржрутизацию настраивать и не придется.
Приведите результаты команд которые я вас просил.

Для сервера
ipconfig /all >> c:\server-ip.txt

Для рабочей станции сетевые параметры снимаются два раза, до и после подключения к серверу по dial-up
ipconfig /all >>c:\ws-ip.txt

Привожу результаты команд

Вы контролируете :
Основной шлюз . . . . . . . . . . : 192.168.0.1
DNS-серверы . . . . . . . . . . . : 192.168.0.1
?

Вобще если Машина подключенная по dial-up
отрабатывает команду
tracert 192.168.0.22
то проблема именно в шлюзе по умолчанию

На него сваливаются пакеты из сети 192.168.1.0, и он не знает куда отвечать.

Выхода два:
1) Включить NAT на
Описание . . . . . . . . . . . . : Intel 8255x-based PCI Ethernet Adapter (10/100)
Физический адрес. . . . . . . . . : 00-02-B3-E9-51-1B
IP-адрес . . . . . . . . . . . . : 192.168.0.22
(В терминологии MS - это общее интернет-соединение)

2) Прописать маршрут на шлюзе 192.168.0.1

NAT, я включу. Но, извините, я повторюсь, проблема в том, что я, не совсем знаю как, и какой именно, прописать маршрут на 192.168.0.1. А в справке не совсем доходчиво написано. :sorry: Просто, интересная тема, и для мнея она становится актуальной, т.к. офис разрастается, потому и решил узнать по этому вопросу побольше. А при включении NAT серверу 192.168.0.22 будет назначен новый адрес 192.168.0.1, мне этого не хотелось бы.
Спасибо. :)

wuff,
Если вы включите NAT, то маршруты прописыват не надо.

Хотя лучше NAT не включать а прописать маршрут

Если у вас windows система, то это будет так.

ROUTE ADD 192.168.1.0 MASK 255.255.255.0 METRIC 10 192.168.0.22

Если все заработает, то сделать маршрут постоянным (сохраняющимся при перезагрузке)

ROUTE -p ADD 192.168.1.0 MASK 255.255.255.0 METRIC 10 192.168.0.22

Система windows. Может все таки надо сделать такой маршрут: ROUTE ADD 192.168.1.0 MASK 255.255.255.0 METRIC 10 192.168.1.1, ведь на сервере у меня есть интернет на адресе 192.168.0.22. traсert я проверил при подключенном кленте он не трассирует до 192.168.0.22, только до 192.168.1.1

Гм. Чего-то с топологией я не понимаю.
Если я правильно осознал Ваши настройки, то картина такова

WS (192.168.1.2)<--DIAL-UP-->(192.168.1.1)SERVER(192.168.0.22)<--Ethernet-->(192.168.0.1)Firewall<----(Internet)

и проблема в том что Firewall не знает где искать сеть 192.168.1.0

Нет, проблема в том, что у 192.168.1.2 нет доступа к интернету, вот я и подумал, раз на сервере (192.168.0.22\192.168.1.1) есть инет, то наверное надо указать некий маршрут для того чтобы доставить инет на рабочую станцию, которая подключается по диалапу. Фаерволл у меня настроен нормально.

wuff,
Ой блин, прочтите http://wiki.oszone.net/index.php/Шлю...к_это_работает

Вчем суть проблемы, описываем по шагам:

-ws - посылает пакет в интернет, т.к. это не ее сегмент, то пакет отправляется на шлюз по умолчанию, т.е. на 192.168.1.1
-Сервер, в свою очередь изучает адрес получателя пакета, и обнаружив что он (адрес) не из граничных сетей отправляет пакет на свой шлюз по умолчанию, т.е. фаервол.
- фаервол получает пакет, изучает его и обнаруживает, что IP адрес сети отправителя пакета (192.168.1.0) ему не известны. Т.е. даже если он получит данные из интернета он не знает куда отправлять результаты (возвращать результаты первоначального запроса) дальше.

Спасибо, за ссылку. Я правильно понял что на шлюзе надо добавить такой маршрут ROUTE ADD 192.168.1.0 MASK 255.255.255.0 METRIC 10 192.168.1.1 или нет. Извините за такие наивные вопросы, но я больше программист, нежели сисадмин. :sorry:

wuff,
Ну давайте разбирать.

вот вы добавляете
И что вы этим добьетесь?
Что когда нужно будет отослать пакет в сеть 192.168.1.0 фаервол/шлюз должен искать посредник/маршрутизатор 192.168.1.1, который опять находится в адресуемой сети. Рекурсия, не находите ли?

Аппартный адрес шлюза (MAC) должен быть априори известен отправителю/маршрутизатору, т.е. он должен находится в одной из сетей куда "торчат" интерфейсы фаервола.

Т.е. это 192.168.0.22

Вы правильно выбрали "посредника", просто не стой стороны :)

Вобще запомните вот что:
- Адреса в маршрутизации всегда оперируют сетями, т.е. если даже в строке маршрутизации указана не сеть, но хост, это просто сеть вырожденная до 1 адреса

- Для формирования пакета необходим аппаратный адрес шлюза, который доставит пакет до конечного получателя или следующего шлюза (конечного получателя можно считать вырожденным шлюзом - это когда пакет формируется для той-же сети где находится отправитель). По этому путь указывают или в виде интерфейса куда надо "вывалится" пакету, или в виде одиночного IP-адреса (логичнее было бы указывать MAC-адресс, но это было бы не удобно)

- Сам процесс маршрутизации легко представить в виде сумасшедшего дома где все комнаты проходные, т.е. дабы добраться до конечного получателя вам надо пройти уйму комнат, за сим просто номер комнаты конечного получателя вам ничего не дает, вам к нему, нужно знать номер комнаты предположительного начала "скитаний"

Собственно наберите команду ROUTE PRINT и вы увидите какие маршруты формируются автоматически ,т. е. исходя из адресов и масок интерфейсов.
Маршруты в 0.0.0.0 - формируются на основании указанных "шлюзов по умолчанию"

Возникает следующий закономерный вопрос, на каком из компов я должен прописать этот маршрут. На компе через который настроен выход в инет (192.168.0.1) или на компе удаленного пользователя (192.168.1.1)?

wuff,
Гм. ну сами подумайте, кто не знает где находится сеть 192.168.1.0 ?

- Компьютер пользователя? - он граничит с данной сетью (его PPP интерфейс находится в данной сети)
- Сервер? - Он тоже граничит с этой сетью (его PPP интерфейс находится в данной сети)

- Фаервол/Шлюз интернета? - вот он не граничит с данной сетью и не знает где ее искать. Следовательно именно в его таблицу маршрутизации нужно добавить строку, где искать сеть 192.168.1.0

Понятно?
:tongue:

Я так и предполагал, но решил перепровериться, правильный ли у меня ход мыслей. :) Кстати на сервере для теста запустил NAT, на клиенте пробовал оттрасировать маршрут к 192.168.0.1, первые прыжки проходят, а остальные нет.

Это нормально.
У вас ведь NAT, в таком случае используется дважды: первый раз на сервере, второй раз на интернет-шлюзе.
Это не очень приятная схема, особенно для новичка.
Именно по этому я и писал

Я сейчас добавил маршрут как Вы сказали ничего не изменилось.
Трассировка с удаленного клиента показывает: tracert -j 192.168.1.1 192.168.0.1
1 193ms 179ms 191ms 191.168.1.1
2 * * * превышен интервал ожидания.
и так далее.
Из всего сказанного мне непонятно одно, если фаерволл/шлюз не видит сеть 192.168.1.0 без маршрута, то ведь и клиент (192.168.1.1) не видит локалку в которой сидит сервер 192.168.0.22? Может и на клиенте надо прописать маршрут до сети 192.168.0.0? :unsure:

wuff,

1) Nat на сервере отключите ,если включен

2) tracert с клиента, а именно:

tracert 192.168.1.1
tracert 192.168.0.22
tracert 192.168.0.1
tracert (ваш внешний IP)

результаты в студию.

Да я пробовал и с NAT'ом и без. Результаты трассировки приведу немного позже. Хотя на шлюзе в логах я уже обнаружил запросы от 192.168.1.1

А у вас часом на шлюзе фаервол не отсекает сеть 192.168.1.1?

Приведите еще результаты команды со шлюза.

ROUTE PRINT

tracert 192.168.0.22
tracert 192.168.1.1

B и еще вопрос

У Вас на клиенте шлюз по умолчанию 192.168.1.2

Сервер же заявляет, что его PPP-интерфейс 192.168.1.1

Клиент точно может трассировать до 192.168.0.22?

И для сервера ROUTE PRINT

Да нет, сделал ее доверенной зоной.
На клиенте шлюз по умолчанию 192.168.1.2
PPP - 192.168.1.1
Клиент не может трассировать до 192.168.0.22!
маршруты сервера:
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.22 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.22 192.168.0.22 1
192.168.0.22 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.0.255 255.255.255.255 192.168.0.22 192.168.0.22 1
192.168.1.0 255.255.255.0 192.168.0.22 192.168.0.22 1
224.0.0.0 240.0.0.0 192.168.0.22 192.168.0.22 1
255.255.255.255 255.255.255.255 192.168.0.22 192.168.0.22 1
Основной шлюз: 192.168.0.1

:yahoo: Этот пост пишу как подключившийся клиент через 192.168.1.2!!!! Все заработало! Большое спасибо kim-aa!!!!!

Последний вопрос, подскажите какие-либо ресурсы по введению в маршрутизацию, если такие есть.
Спасибо!

wuff,

1) А в чем таки была проблема?

2) Я считаю что наиболее подробно и понятно освещается данный процесс в издательстве Cisco Press
http://forum.oszone.net/thread-90954.html

Кто еще может лучше описать предмет чем его изобретатель? :)

Просто я "напрямую добрался" до сети где сервер и шлюз, до этого я подключался к нему по удаленке, прописал там указанный Вами маршрут, перезагрузил сервер :laugh: , уехал к себе в офис, подключился по удаленному доступу и, опа... все работает. Видимо проблема была в сервере, виндовс, как-ни-как. Что-ж будем грызть гранит маршрутизации!
Еще раз спасбо, за помошь! В очередной раз убеждаюсь, что на OSZone, крутые пацаны тусуются. :up