Internet, Lan, VPN, AD По всем да помаленьку =\
 

О великие Гуру, помогите чайнику стать юзверем :) Люди добрые не могу решить головоломку, сам пока еще не догнал...


Поставил 2-ю сетевуху, схема такая

ИНТЕРНЕТ -----------> Маршрутизатор (pppoe соединение) ----------------------->Интерфейс1(Inet)<==PC(SERVER)==>Интерфейс2(Lan)---------->СВИЧ

СВИЧ(Вход1)------------->PC(Client1)
СВИЧ(Вход2)------------->PC(Client2)
СВИЧ(Вход3)------------->PC(Client3)
......... -----> ............
СВИЧ(ВходN)------------->PC(ClientN)

На сервере поднят DNS и DHCP для некоторых PC(Client[]) Ip зарезервированы, остальным присваивается.

Сервак IP (интерфейс Lan) 192.168.10.1
Остальным ip присваевается 192.168.10.5 - 192.168.10.254 такой диапозон.

Маршрутизатор его параметры (ip 192.168.1.2 маска 255.255.255.0 шлюз 192.168.1.1 dns 192.168.1.1)

---------------------------------------

Нынешняя ситуация, интерфейс Inet отключен. интерфейс Lan включон настроен (pcServer) Сеть видит AD работает все стабильно, пользователи на pcClient заходят под учетками регистрируются в домене. Сеть везде есть все отлично. Нехватает интернета =)

--------------

Ситуация такая как только я врублю интерфейс Inet c настройками tcp/ip (ip 192.168.1.2 маска 255.255.255.0 шлюз 192.168.1.1 dns 192.168.1.1)

Сеть нахрен рубит, pcServ становится недоступен аналогично и для других.

Почему?
---------------------
startline07

Я слышал что можно при наличии 2-х интерфейсов раздать интернет через pcServr клиентам (pcClient) но НЕ всем!

В дальнейшем я планирую чтобы к pcServ могли подключаться клиенты из
интеренета по VPN и видели локальную сеть, такое можно организовать?
Еще вопрос, клиент подсоеденившись к севаку по vpn может использовать СВОЙ интернет, а не интернет который раздает сервер локальным машинам но при этом видя локальную сеть.

И последний вопрос,

Как дать группе1 пользователей АД права опытного пользователя локального клиента а группе2 обычного?

Спасибо.. Надеюсь на вашу помощь.

А глазки расшнуровать и увидеть, что адреса подсети LAN и Inet из одного диапазона - никак?

Правильно слышал.

Можно.

Видишь ли, двое, говорящие по телефону, используют оба аппарата, а не один.

Внести эти группы AD в соответствующие локальные.

Всмысле???
Inet 192.168.1.1
Lan 192.168.10.1

То что они в 192.168.x.x?????? непонял

т.е. может? подключение клиента к инету по adsl с инета сообветственно vpn

Локальные это которые по умолчанию?? Но у этих групп прав вообще нету, мне надо Опытного пользователя.

Адреса сетей лежат в разных диапазонах - 192,168,1,0/24 и 192,168,10,0/24. Работать должны
А вот ipconfig /all сервера - как с включенным "внешним" интерфейсом, так и без него - бы не помешал.

Конечно. Он ведь и по VPN работать будет через интернет :)

С работы приду, включу, скину.
М л я, я имею ввиду замутить мона чтобы клиент vpn при посещении внешних ресурсов типа майл.ру яндекс и тд. и тп не жрал трафик сервера. Епт вы ведь поняли о чем речь.

По поводу инета
видишь не состыковка а возьми для этого участка диапазон 10.10.10.х проще будет потом
и убери как многие тут советуют прослушивание DNS с внешней карты

вопросик эта группа должна присутствовать в AD (в смысле группа локльных администраторов) ? просто у меня такие группы отстутствуют, если не сложно моно скрин ваших групп

Упс... Мне шнуровку снимать... :sorry: А NAT на серваке настроен?

Снять на клиенте в свойствах VPN-подключения в свойствах протокола TCP/IP птичку "Использовать шлюз в удалённой сети".

спс, возьму на заметку =)
Нет, пытался да чтото не получилось, не пойму сути. Мне бы еще как нибуть сделать чтобы интернет был только у определенных пользователей или группы пользователей (скорее группы так наверно правильней =\)А дальше что делать?

=\ Народ чет я недопонимаю.... =\ Я конечно с 2003 Server опыта как такового не имею... Вобщем локальную сеть и интернет на сервере появился...

интерфейс Inet в свойствах tcp/ip поставил все на автоопределение хотя у меня нигде роутер авто никогда не определялся =\, пропинговал 192.168.1.1 обмен прошол удачно, зашол в роутер все успешно интернет тоже успешно.

Проверил сеть интерфейс LAN, пропинговал ip сети, имена компов и dns суф. - все прошло успешно.

Один вопрос отпал.

Теперь мне надо раздать интернет определенным группам пользователей, если можно объясните как распределить квоты если это возможно.

Суть вытекает из названия: NAT = Network Adress Translation - Преобразование сетевых адресов.

TMeter в помощь.

Настоить NAT.

NAT включается вместе с маршрутизацией ведь так, у меня с этим тоже возникали проблемы, когда врубал эту службу. Как ее толком настроить.

На данный момент имею
internet <----> routing <-----> (interface INET) [pcServer] (interface LAN) -------> Switch ====> [pcClient1.2.3......n]

interface INET == Все на автомате стоит (ipconfig /all = ip-192.168.1.3 mask-255.255.255.0 остальное-192.168.1.1 в общем все нормально)
interface LAN - IP-192.168.10.1 Mask-255.255.255.0 DNS-192.168.10.1

а проблема со службой возникало то что опятьже сеть перестает видеть.


Да и насчет группы Опытные пользователи или хотябы где дать права на определенную группу пользователе в локальной машине клиента???

у тебя сервер какие роли выполняет, просто интернет раздает или он еще контроллер домена со всеми вытекающими?

контроллер домена со всеми вытекающими

Причем только 1-н ПК дан на сервер 2пк сервер вариант отпадает.

Сам пока в НАТ не лезу без ваших советов.

раз так я бы посоветовал для раздачи инета использовать отдельную машину, нехорошо в плане безопасности и отказоустойчивости использовать такие вещи в рамках одной машины. Пусть сервер выполняет свои роли (AD DNS DHCP и тд) а для инета как самый простой вариант машина XP с 2 картами и прогой типа USerGate (кстати версия 2.8 самая удобная и понятная или Любая друга прога прокси)

Блин, Яндекс, что, отменили что ли? Настройка Windows Server 2003 для работы в качестве маршрутизатора NAT

Ну, как это читать... :shot:

Вариант отпадает, есть только 1-на машина, это нынешний сервер который будет работать постоянно.

Т.е??

Чтот я недоумеваю =\ лол

Поднял NAT по шаблону как в источнике (спасибо за ссылку)

Ситуация теперь следующяя: С сервера я вижу все компьютера, даже могу зайти через терминал на какойнибуть только вот незадача, регистрироваться на компах клиентах я могу только в локальной группе а не на домене, т.к. они вообще мой сервак перестали видеть
[pcClient] ping 192.168.1.1
Превышен интервал......
.......
потеря 100% пакетов....

Что делать?? Что нетак?
Ниче не пойму Сервак всех видит на отлично пингую со всех сторон все норм и интернет пашет. А на всех компах клиентах полная борада, не видят сервер и все

Да я заметил что в шаблоне присутствует пункт NAT и VPN т.к. (я собираюсь поднимать еще в дальнейшем и VPN) смогу я VPN поднять после поднятия NAT так сказать "безболезненно" =) ?

То и есть, что знаками препинания хоть иногда пользуйся! Попробуй сам свою сентенцию прочитать...

Брандмауэр отключи.

Мне снова повторить?
Настройка VPN сервера Windows 2003

Angry Demon, не злись... ну нет у меня опыта с 2003 сервер.. Я апач тебе соберу со всей сборой за 5 мин) А здесь я вообще так ориентируюсь... методом тыка =))

Ща попробуем =)

Не, не хочет. уже даже по вот этой (http://www.oszone.net/9441/NAT) статье пробовал настроить в ручную.... Сеть видит отлично, сервак интернет видит отлично, клиент - нет

да я в настройках интерфейса Inet всетаки прописал адреса 192.168.1.2 | 255.255.255.0 | 192.168.1.1 | 192.168.1.1

повторюсь, сейчас все отлично только у клиентов интернета всеровно нет!

Ты ещё (хвала Всевышнему) не видел меня злого... :lol:

Давай теперь чуть-чуть сначала. Итак, NAT на серваке работает, так?
Дай сюда его IPCONFIG /ALL.
Клиенты сервак не пингуют по IP-адресу, так?
Дай сюда их (чей-нибудь) IPCONFIG /ALL.

Вот снимок с Сервера ipconfig /all (Сеть есть, интернет есть)
http://forum.oszone.net/attachment.p...1&d=1247820263

Снимок с компа клиента ping server, ping ya.ru, ipconfig /all (сеть есть, интернета нет)
http://forum.oszone.net/attachment.p...1&d=1247820263

NAT настроил по статейке которую ты мне давал.

andreevich, ну, вот... Клиенты сервер видят, имена резолвятся.
А кто-то говорил, что:
Внешняя карточка сервера пингуется с клиента?

То что клиент определяет ip хоста ya.ru эт я тоже заметил, но че ему надо для работы.

Нет, интерфейс интернета с клиента (192.168.1.1) не хочет пинговать пишет:

Значит, проверяй настройку RRAS. Чтой-то с NAT, видать, намудрил. Адрес маршрутизатора тоже не пингуется?

192.168.1.2 => сетевух интернета
192.168.1.1 => маршрутизатор

вот ping с клиентского компа:
http://forum.oszone.net/attachment.p...1&d=1247826473

ps: можешь описать со своих слов как настраивать nat, я понимаю что гугл, яндекс не отменяли ...

Да, вот еще вопрос на клиентском ПК состояние подключение нормальное, однако когда нажимаю кнопку ИСПРАВИТЬ выдает такое сообщение:
http://forum.oszone.net/attachment.p...1&d=1247830688

andreevich, не нужно исправлять то, что и так работает. (С) Логика.
Можешь сделать так, если приспичело:
ipconfig /renew *

Не, не помогло... да я уже в принципе посмотрел и понял что не важно...

Блин... чето этот интернет наколяет уже =\

Может в настройках интерфейса INET поставить общий доступ????

Повторяю:
Насколько я помню, на контроллере домена это недоступно + придётся распрощаться с мечтой о VPN-подключениях.

Значит эта галачка отпадает....


Я nat уже раз 15 заново настраиваю.......

:idontnow:

Ну, не бывает чудес-то...
Галку "Брандмауэр" убирал, когда NAT настраивал?
Правильно карты выбрал? Публичным интерфейсом должна быть карта, смотрящая в роутер.

Блин я уже и так и так пробЫвал и сяк и раком и хз как ....

-----
D-Link карта смотрит в интернет ;
Intel - Локалка
------
Вот примерно последовательность подключений:
Действия на сервере:
http://forum.oszone.net/attachment.p...1&d=1247834972
http://forum.oszone.net/attachment.p...1&d=1247834998
http://forum.oszone.net/attachment.p...1&d=1247834998
http://forum.oszone.net/attachment.p...1&d=1247834998
http://forum.oszone.net/attachment.p...1&d=1247834998
http://forum.oszone.net/attachment.p...1&d=1247834998
http://forum.oszone.net/attachment.p...1&d=1247834998
http://forum.oszone.net/attachment.p...1&d=1247834998
пинг на клиенте:
http://forum.oszone.net/attachment.p...1&d=1247835387


Вот.... что не так?????

:yahoo: :yahoo: ААА!!!! Все !! NAT пашет !!! Блин долго до меня доходило....

Не не работало наоборот, потомучто ничего не мудрил =))

Сейчас встал вопрос о VPN..

Как сделать чтобы ко мне подключались + видели мою локальную сеть + не использовали мой трафик на внешние ресурсы интернета ??

Подключались СНАРУЖИ через интернет?
Открыть на маршрутизаторе порт для VPN-соединения (номер порта должен быть предопределён), настроить в NAT его проброс на сервер.
Включить на сервере службу VPN-сервера, дать разрешение на подключение клиентов к "внешнему" интерфейсу, создать список пользователей.

Далее, клиенты с уже настроенным и работающим интернет-соединением должны содзать исходящее VPN-соединение, в настройках которого укажут белый IP-адрес (маршрутизатора). Соответственно, после установки VPN-соединения ваш сервер назначит его интерфейсу новый IP-адрес из диапазона 192,168,10,x.
И этот интерфейс будет использоваться ТОЛЬКО для доступа к вашей сети.

El Scorpio, Спасибо, разъяснили. Смысл понял, сейчас буду пробывать.

Блин чет не могу догнать, какой № порта мне ставить на перенаправление в маршрутизаторе??????

Ааахах, туплю L2TP пойдет для VPN? У него номер порта ведь 1701?? получается в Port Forwarding прописать его так??????

На компе клиенте пытаюсь подключиться, говорит ошибка серфитиката

andreevich, ну что, опять в Яндекс отправить?
PPTP, порт 1723.

Все настроил, по локалке подключение идет отлично...
На маршрутизаторе открыл порт L2PT и PPTP но когда подключаюсь к серверу через интернет, пишет "подключение к xxx.xxx.xxx.xxx" и на этом окошко застывает.

andreevich, VPN-сервер-то настроил? Проверил, что он принимает подключения?

Всмысле на windows 2003 server ? На нем да. Яж говорю пробовал к нему подключиться по локалке (локалка у меня через свич) все нормально. А когда попробовал через другой комп, через интернет то он не хотит, на окошке подключение к... застывает.
На моем серваке интернет через маршрутизатор starnet, может я чего то там не донастроил?
L2PT и PPTP порты я в нем прописал в port forwarding

Когда я говорил:То имел в виду, что принимает ли он подключения со стороны Интерфейс1.

который смотрит в интернет - нет, оно и не алё.

Вот что я хочу, схему нарисовал:
http://forum.oszone.net/attachment.p...1&d=1248154529

ЗЫ: там где не алё - стало алё =)

Который смотрит в маршрутизатор, а не в Интернет.

Мля! Точно епт! Извини на работе туплю пзц....

Ну вот, на него не получается (интерфейс 1),
а на интерфейс 2 - да

Как настроить??? Не могу допедрить...

Ну, что, дон Педро, опять в Яндекс послать? :lol: Настроил, видать неправильно. Проверяй.

Где не правильно???? Там вроде не указывается с какого диапозона принимать подключения и с какого интерфейса...
...или указывается???

По интерфейсу 2 все норм, че получается где там ставить интерфейс 1.... мля я не шарю, блин уже всякими ключевыми словами гуглил но там тока типичная настройка vpn впринципе везде все одного цвета, немного оттенки разные =)

На счет локальных политик или групп, мне так и не ответили где там такая интересная группа с "Опытными пользователями" ??????

Че кончились помошники?????