Всем привет.
Есть небольшая но сильно запутанная сеть, есть местный провайдер с космическими ценами, из-за чего была куплена Yota. Также есть выведенный из работы старенький сервер 2008R2.
Задача - добавить в него пару сетевух, настроить маршрутизацию для выхода в интернет и доступа к DMZ.
Сеть DMZ имеет адрес 10.1.1.0/24
Внутренняя сеть адрес 192.168.0.0/24
Адрес внутреннего интерфейса Yota - 192.168.3.50
Доступ снаружи не нужен, да и не возможен, т.к. Yota раздает адрес из частного диапазона. Для доступа извне остается прежний канал с "белым" IP. Таким образом, доступ к DMZ нужен только для машин из сети 192.168.0.0/24

Что уже сделал:
Добавил два адаптера, назвал сети и назначил адреса:
Internal 192.168.0.52/24 шлюз не указан
DMZ 10.1.1.253/24 шлюз не указан
External 192.168.3.52/24 шлюз - внутренний интерфейс Йотовского интернет-центра, т.е. 192.168.3.50

Вывод route print:
C:\>route print
===========================================================================
Interface List
15...c8 d3 a3 ac 59 b0 ......DGE-560T Gigabit PCI Express Ethernet Adapter.
13...00 80 48 1a 7a 0d ......Realtek RTL8139/810x Family Fast Ethernet NIC
11...00 1b fc 35 70 c9 ......Realtek RTL8168B/8111B Family PCI-E Gigabit Ethern
et NIC (NDIS 6.20)
1...........................Software Loopback Interface 1
12...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter
14...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #2
16...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #3
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.0.0 255.255.255.0 On-link 192.168.0.52 276
192.168.0.52 255.255.255.255 On-link 192.168.0.52 276
192.168.0.255 255.255.255.255 On-link 192.168.0.52 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.0.52 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.0.52 276
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 192.168.3.50 Default
===========================================================================

IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 306 ::1/128 On-link
1 306 ff00::/8 On-link
===========================================================================
Persistent Routes:
None

C:\>

Насколько я понимаю, чтобы сеть ДМЗ была доступна из внутренней сети, мне нужно добавить один статический маршрут:
route add 10.1.1.0 255.255.255.0 xxx.xxx.xxx.xxx IF 13
А что указывать в качестве шлюза?

ДМЗ на то и ДМЗ, чтоб локальным компьютерам на нее не ходить.
http://daybook.org.ua/seti/chto-takoe-dmz.html

А я всегда был уверен, что ДМЗ для того, чтобы из нее не было доступа к ресурсам внутренней сети, т.к. она доступна из Интернет. В статье об этом и говорится.
Хотя, я согласен, что в данном случае эту сеть нельзя называть DMZ, поскольку в ней уже реализован доступ к некоторым ресурсам внутренней сети. Но это делал не я, мне все это хозяйство досталось в наследство.
Если в двух словах, то мне надо раздавать интернет через второго провайдера, сохранив при этом прежнего (для доступа избранных) и доступ в так называемую сеть ДМЗ. Для решения этой задачи я и решил поставить сервер с тремя адаптерами, при этом адрес одного из них будет раздаваться пользователям в качестве шлюза по умолчанию. Через второй адаптер надо реализовать доступ в/из сеть другой адресацией.
Здесь вопрос в маршрутизации, в которой я не силен. Более конкретно задача состоит в том, чтобы пользователи внутренней сети 195.168.0.0./24 имели возможость выхода в Интернет через интерфейс сервера Ext с адресом 192.168.3.52 и доступа к компьютерам через интерфейс DMZ с адресом 10.1.1.253/24
Для "избранных", которые останутся на прежнем провайдере с варварскими расценками я просто раздам IP и шлюз вручную, благо их будет от силы три машины.
Помощь нужна в настройках интерфейсов, указании шлюзов и создании маршрутов. В частности, что указывать в качестве шлюза по умолчанию для интерфейсов Int и Ext? Адреса друг друга? А для выхода в интернет написать маршрут вида 0.0.0.0 255.255.255.255 192.168.3.52?

ДМЗ на то и ДМЗ, чтоб локальным компьютерам на нее не ходить.
http://daybook.org.ua/seti/chto-takoe-dmz.html »
А если внимательно почитать?
Но, с этих серверов (что в ДМЗ) нельзя обратиться к локальной сети за файрволом.

AsvComp, схему нарисуете? что-т не могу понять...

вот попробовал нарисовать в Visio... То, что слева - типа того, что есть сейчас. "Типа" потому, что я обнаружил, что кабели подключены не так. На это пока можно забить. Меня гораздо больше волнует правая часть схемы. Мне нужно поскорее ввести в эксплуатацию этот второй шлюз, ибо предоплаченный траффик уже израсходован, а цена по превышению - вообще жесть.
http://s2.ipicture.ru/uploads/20130714/thumbs/sSKhRfwU.jpg (http://s2.ipicture.ru/Gallery/Viewfull/28181877.html)

модель роутера, к которой подключена Yota? вам на нём нужно ДМЗ создавать... в обход сервера. Иначе это будет не ДМЗ.
http://s018.radikal.ru/i500/1307/bd/74e76bfadce8.jpg

Спасибо. Я понимаю, что это будет не ДМЗ, а просто другая сеть. Человек, который давал имя сети не понимал значения этого термина.
Точнее, я думал, что это на самом деле ДМЗ и был очень удивлен, когда ко мне обратился сотрудник с жалобой, что не может попасть с сервера DMZ2 на свою машину по RDP. На что я ему сказал, что на то она и DMZ, чтобы такого доступа не было. В ответ я услышал, что такой доступ был всегда. Чтобы в дальнейшем не путаться, просто назовем ее "Сеть 2".
Но дело в том, что мне необходимо соблюсти два условия:
Пользователи должны ходить в Интернет через новый шлюз и, соответственно, другого провайдера
Должен сохранится доступ в/из Сети 2Исходя из этих требований, я и решил поставить на будущий второй шлюз три сетевых адаптера. А после того, как будет реализован доступ в Интернет и доступ в Сеть 2, я смогу спокойно разобраться с первым шлюзом, обновить на нем Траффик Инспектор, (ибо там версия от 2007 года) и разобраться с физическими подключениями, т.к. там все очень запутанно, почти на 100% можно говорить о наличии петель.
Так что вопрос с настройкой маршрутизации на сервере с треммя сетевыми адаптерами, так же, как и с тем, какие шлюзы по умолчанию указывать на интрефейсах Сети 2 и внутренней сети остается открытым...

Исходя из того, что я сегодня прочитал про маршрутизацию, предполагаю, что для двух внутренних сетей указывать в качестве шлюза айпишник соседа, после чего проверить таблицу маршрутизации и убедиться, что для адреса 0.0.0.0 указан маршрут на IP внутреннего интерфейса Yota
зы Ну и разумеется, убедить руководство в необходимости перекрыть доступ из Сети 2 в локальную сеть, если это возможно.

можно попробовать на сервере настроить NAT и LAN rounting между сетью 2 и сетью 1. И прокидывать порты в сеть 2 в том же нате.
у сети 2 шлюзом будет - сетевая на сервере из сети 10
у сети 1 шлюзом будет - сетевая на сервере из сети 192.168.0
у сервера будет шлюз в сеть 3. но тут надо кое что проверить.

так же вариант - если это не ДМЗ - выдать сети 2, вторые адреса из сети 1.

:)
Как оказалось, ничего специально настраивать не надо.
Дело в том, что я выводил таблицу маршрутизации и пытался вручную прописать маршруты при единственном подключенном кабеле внутренней сети. Сегодня поставил этот шлюз, подключил все адаптеры и о чудо! Все необходимые маршруты на месте, доступ в Интернет и вторую сеть есть.