Опишу проблему: есть две сети: 192.168.0.0 255.255.255.0 (внутренняя) и 87.Х.Х.48 255.255.255.248(внешка с реальными IP) Ситстема проста, на границе сетей стоит АД , он же Proxy UserGate2.8, он же файл-сервер, он же DNS. Одна нога его во внутренней, другая во внешке. С внутренней всё понятно, а вот во внешней немного интересней, с этого сервака идёт кабель на гигабитный свич, со свича уже расходится на модем 87.Х.Х.49 и на оракловый сервак 87.х.х.52. Для чего сделанно именно так: Даже когда нет инета, внутренняя сетка посредствам NAT имеет доступ к ораклу. А теперь внимание вопрос: КАК БЫ ВЫ отделили роль прокси от сервера с АД!? )))

Элементарно. Поставить маршрутизатор (или отдельный компьютер в его роли).

Нее, это понятно хотелось бы детально услышать всё видение ситуации со стороны профессионалов, комп будет обязательно, вот кстати думаю ISA на него ставитьили обойтись сторонним ПО

ISA на него ставитьили обойтись сторонним ПО »
Это уж как Вам больше понравится.
детально услышать всё видение ситуации со стороны профессионалов »
Не знаю, профессионал ли я, но на контроллер домена шлюз не ставят.

monkkey, и я с вами полностью согласен!!! но то что достаётся в наследство от предыдущих "поколений" выбирать не приходится , а приходится разруливать... Меня кстати, больше интересует вот что. Стоит ли связывать в случае установки ISA c AD и будет ли он работать в случае падения последнего... Всё это затеяно ещё и с целью организации резервной линии интернета от второго провайдера... плюс из-за глючного сервера АД , т.к. переустановить его нельзя потому что на него завязана огромая папка с разделёнными правами, короче жуть... ладно, что бы было нагляднее прикреплю рисунок с образной схемкой топологии...

но на контроллер домена шлюз не ставят »
я бы сказал наоборот: на шлюз ДК не ставят. т.к. сначало появляется сеть, а помто уже её в доменную преобразовывают. так примечание.
вот кстати думаю ISA на него ставить или обойтись сторонним ПО »
если деньги есть - ставтье ISA, если хотите съэкономить и при этом иметь надёжгную защиту - *nix и iptables или ipwf вам поможет.
но главное правило не забывате: делайте бекапы, перед тем как что-то менять.

exo, А конкретно предложения по схеме будут?

А конкретно предложения по схеме будут »
схема стандартная: интернет - шлюз - локальная сеть.
если хотите считать трафик пользователей в отдельности + пазграничение прав на использование интерента по пользователям - тогда ISA вам нужна или другие виндовые прокси. Если нет такой нужды - осваивайте *nix. Также на *nix есть тоже прокси.

exo, а как быть с подсеткой реальных айпишников , 87.х? просто вот сейчас сижу рисую на бумажке несколько вариантов... мне главное обеспечить бесперебойный доступ к ораклу как из внутренней 192й так и из внешки, собственно для этого резервная адсл линия протягивается.ЗЫ обращение к ораклу идёт через 87.х.х.52 так что из внутренней натится а из внешки проходит напрямую...

Да, и ещё вопрос, чисто может и делитантский, если логически разные подсети слить в одну физическую доступ по айпишнеку же будет? вернее я уверен что будет, вот только когда я так делал, почему то не у всех клиентов 192й получалось достучатся до 87.х.х.52....

сижу рисую на бумажке несколько вариантов »
вы покажите что есть - подумаем вместе.
почему то не у всех клиентов 192й получалось достучатся до 87.х.х.52 »
хорошобы тоже нарисовать. со слов не так понятно...

Ну например: хотя мне не очень нравится(( ибо если что то не так с проксиком внешка не достучится до Оракла...

а так?

1) одинаковые рисунки
2) а почему у вас адсл с прокси по pppoe общается ? обычно адсл так с внешним миром общается, а с прокси уже по Ethernet.
3) Оракл стоит у вас рядом с внешним адресом или далеко от вас. не понятно от кого он получил внешний адрес.

Для начала мне не понятно, что на первой что на второй, предложенных схемах. Зачем свитч перед оракловым сервером? Локальное пространство компов подключается и к прокси и к свичу котоорый ведет на оракл так еще и на АД. Подозреваю что все это с помощью хаба в локальной сети осуществляется. Не проще ли чтоб локальные машины были включены в общий свич, в который также подключена прокся, АД и оракловый сервер?!

Ещё один вариант:

Ещё один вариант: »
очень хорошо.
так же можно в оракл добавить ещё сеьтевую карту и воткнуть в неё внутренюю сеть.

так же можно в оракл добавить ещё сеьтевую карту и воткнуть в неё внутренюю сеть. »

Кажется это будет лишним. Оптимально когда оракл за прокси с помощью ната. он доступен из внешки спокойно и с помощью ната локально.

с помощью ната локально »
DDoS на нат. - что будете делать ? это к примеру.
Оптимально когда оракл за прокси с помощью ната »
или это рекомендации разработчиков оракла ?

DDoS на нат. - что будете делать ? это к примеру. »

аналогично если DDOS на прокси! оракл из вне доступен не будет.

или это рекомендации разработчиков оракла ? »
нет, это не рекомендации. Мое сугубо личное мнение. Данное его расположение упрощает обращение с разных сетей с минимальным количеством настроек

Согласен, 3 я схема, мне тоже кажется наиболее оптимальной!а теперь вопрос, как лучше, натить или проксить запросы к 87.х.х.52(оракл).
1) одинаковые рисунки »
Глук браузера и меня)))
а почему у вас адсл с прокси по pppoe общается ? обычно адсл так с внешним миром общается, а с прокси уже по Ethernet. »
это образно - схематично, просто один модем одного провайдера выходит через PPPoE а другой через PPPoA
Оракл стоит у вас рядом с внешним адресом или далеко от вас. не понятно от кого он получил внешний адрес. »
Оракл рядом, я его не обслуживаю, адрес прописан ручками, если помните, то в начале я говорил огруппе реальных IP его адрес один из них
так же можно в оракл добавить ещё сеьтевую карту и воткнуть в неё внутренюю сеть. »
Можно но геморно, я согласен с вами что добавить бы и всё тут, но клиенты обращаются по 87.x.x.52 , резона мало
И ещё вопрос, какой лучше прокси ставить, если рекомендуете ISA, то завязывать ли её с AD?