RRAS, сделать шлюз из компьютера
 

Здравствуйте ОС: Small Buisness Server 2011 - есть и такой вот, а на форуме такой ветки нету =).

Вопрос 1 - чтобы превратить комп в шлюз можно:

1) В настройках сетевой карты отметить галку "Разрешить другим пользователям сети использовать подключение к Интернету данного компьютера".

2) Добавить на сервер роль "Маршрутизация и удалённый доступ" и используя NAT превратить машину в шлюз.

Первый способ требует запущенной службы "Брандмауер Windows". Для работы второго способа нужно ли отключать службу "Брандмауер Windows"?

Вопрос 2 - до сих пор в нескольких местах организации стоит WinXP или Windows 2000 настроенные по первому способу. Каждая обслуживает не более 4-5 человек. Собственно вопрос - Сколько компьютеров будет выдерживать машина настроенная по первому способу?

Самый важный вопрос - какие преимущества у второго способа перед первым? Хотелось бы конкретики. Заранее спасибо =).

Здравствуйте.
это ветка 2008 R2.
а вообще, SBS с ролью маршрутизатора неудачное решение в силу загруженности другими сервисами. Ихмо.

Купите себе маршрутизатор. Самое верное решение.

Столько, сколько позволят ресурсы компьютера, о которых вы умолчали.

Гибкость.

Прошу прощения - не знал =(. Если нужно - перенесите в нужную ветку. =)

Тоже решение, конечно, только в организации много старых компьютеров (Pentium4) - вообщем их никто использовать не будет, а с ролью маршрутизаторов справляются пока что. Вот и хотел узнать - на сколько компьютеров они будут справляться?

Думал между XP и Linux'ом - у него тоже всё замечательно с маршрутизируемостью:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
В две команды шлюз - круть. =)

Одноядерные Pentium4, 512 оперативки, 2 сетевые карты 100m\bit - примерно такие характеристики каждого.

Если Вам несложно - с какой задачей справится второй способ, но не сможет справиться первый? Чтоб "взглянуть" на гибкость так сказать...

Спасибо за Ваши ответы. =)

ну а что тогда думать? дешёво и сердито.
в ICS (первый вариант) нельзя управлять адресным пространством в полной мере. Во втором варианте RRAS + DHCP = все возможности RRAS & DHCP.
я думаю, дня два будет только устанавливаться SBS... Если вообще встанет на этот компьютер.

когда-то очень давно на таком ПК с IDE RAID1 у меня вращалась MS ISA 2004, обслуживала пару сотен клиентских компов.
с NAT'ом, паблишингом, TrafficQuota и даже каким-то простеньким FTP сервером.
а сейчас на такую машинку вполне можно поставить pfSense или monowall ;)

На этих железяках: Pentium 4, 512 оп, etc... из них сделаны маршрутизаторы в виде XP или windows 2000 первым способом. SBS установлен на другой большой многоядерный и красивый компьютер =). Из него, судя по рекомендациям, сделаю маршрутизатор вторым способом ну и ещё повешаю всякие DHCP, DNS, Active Directory...

На половинах стареньких компьютеров, думаю уберу XP и 2000 и поставлю linux. Таким образом по-тестю, что удобнее в качестве программного маршрутизатора - linux или xp/2000. Но вроде, пока лидирует Linux - на нём нет огранечений в 10 полуоткрытых соединений - и не надо лицензию нарушать чтоб увеличить эти полуоткрытые соединения.

Всем спасибо за ответы - темку можно закрывать =)

пока нет необходимости в VPN - вариант с ICS вполне себе рабочий.
дешёво и сердито, а функционал, как я поняла, вам никакой и не нужен.

Ого! Тож потестю! Спасибо =)

Всё верно - просто маршрутизатор - на большее - я так понимаю железо не потянет =)... Ну или попробую pfSense или monowall - может сгодится и с таким железом =)

прежде чем убирать вставьте в комп вторую сетевую карту и попробуйте Tmeter. Для раздачи интернета хватит и бесплатной версии.

Окей - тогда:
- 1\4 (ICS - Windows)
- 1\4 (Tmeter - Windows)
- 1\4 (iptables only - Linux)
- 1\8 (pfSense)
- 1\8 (monowall).

pfSense и monowall по-меньше - я с Freebsd пока что не знаком - только с Linux'ом малость баловался =).

Всего 20 компьютеров.

"В конце останется только один!"... =D

Если серьезно - куча костылей нагорожена. Знакомо. Угу. Желательно еще схемку нарисовать сначала "до и после"- в визио, или в аналоге (DIA например из опенов - правда мне непривычна; не советую, если с визио уже успели поработать). Для себя сделать, понятнее будет намного и всегда можно краем глаза бросить, и для (может быть) других потом когда-нибудь пригодится.

Здравствуйте - тесты закончились - победителем стал: iptables only - Linux (Debian).

Результаты:

На XP есть ограничение в 10 полуоткрытых соединений - поэтому всё время тестирования Tmeter и (ICS) не покидало ощущение - что на маршрутизаторе это может сказаться не лучшим образом.

ICS на XP я теперь ещё и не люблю вот почему - не знаю точно в чём дело, но если работает больше 5 человек - то начинаются абсолютно непонятные "подвисания" интернета. Например: целый табун пингов может пропасть в случайный момент времени...

monowall - почти понравился, но прочитал в тырнетах различные форумы где описаны sshd и monowall и вообщем грустно стало. Однако - monowall как шлюз вполне замечателен.

pfSense - не стал призёром только потому что я плохо разбираюсь во Freebsd. С обязанностью шлюза справляется легко + есть sshd, так что при желании можно мучать его более чем шлюз.

iptables only - Linux (Debian) - победил потому что с Debian'ом я знаком более, чем с другими дистрибутивами Linux. При необходимости можно закачать ещё .deb пакеты - какие угодно. Как я и писал выше - сделать из него шлюз можно двумя командами. С помощью iptables действительно можно сделать многое + мне обещали, что если я изучу iproute2 - то я стану настолько счастливым - насколько это возможно. Закинул на машину apache, mysql, squid+dansguardian, samba4, bind, isc-dhcp, sshd, minidlna - всё замечательно себя чувствует, кроме minidlna - при трансляции фильмов - подвисать сеть немного начинает у клиентов - но оно и понятно - поэтому minidlna работает не всегда. Самое забавное - что всё эт крутится на железках описанных выше, весьма древних.

Ну и вообщем - возможно мне не хватает каких-то знаний, и я не до конца раскрыл возможности какого-нибудь метода - но мне нравится как работает Linux - думаю его везде и поставлю =)

Собственно - особенно нечего рисовать - просто кусок сети соединённый с другим куском сети. Программный роутер - хорош тем, что можно подсоединиться по сети по ssh найти ip-ник какой-нибудь, который пакостит - и DROP'нуть его... Или вообще весь сегмент сетки кроме одного ip отключить, но при этом общие папки с гигабайтами pоrнодокументов благодаря самбе останутся в этой сети и сотрудники по-прежнему могут с ними работать - вообщем схему тут рисовать особенно не с чем - а именно программные рутеры понадобились из-за дополнительных возможностей описанных выше. Единственный минус - электричество много кушает...ну да ладно...

Возникла небольшая проблема, кстати:

SBS Windows 2011.

Отключил в services.msc службу ICS, включил "Маршрутизация и ...".

Настроил в rrasmgmt.msc pppoe-соединение - прописал маршрут там же 0.0.0.0/0.0.0.0 "Использовать ... поумолчанию"...


Вообщем всё работает - клиенты из одной сетки - через сервер успешно топают в интернет. И пинги до google.ru успешно проходят и с клиентских машин и с сервера.

Но есть небольшая...хм...ерундовина какая-то....

Короткое описание проблемы: пинги с клиентских машин в интернет не проходят после того как попробовать "Отключить" pppoe-соединение в rrasmgmt.msc. При этом, очевидно, pppoe-соединение не отключается - на сервере пинги идут, да и в интернет можно заходить и с клиентских машин и с сервера.

Более подробное описание проблемы:
В rrasmgmt.msc в пункте "Интерфейсы сети" я вижу своё pppoe-соединение оно называется "intern" - так вот:

Когда я нажимаю правой кнопкой на "intern" и нажимаю "Отключить" pppoe-соединение - не отключается!...

Т.е. если обновить окно(F5) и опять щёлкнуть на "intern" - то надпись "Подключить" неактивна(серая надпись), при этом "Отключить" активна.

Но это ещё не всё: до того как попробовать отключить "intern" на сервере отлично пингуется например yandex.ru и на клиентских машинах в сетке - тоже прекрасно пингуется yandex.ru.

Но после того как пробую отключить pppoe-соединение: на сервере по-прежнему отлично пингуется yandex.ru, но на клиентских машинах в сетке пишет превышен интервал ожидания запроса... При этом на сайты по-прежнему заходить можно и на клиентских машинах и на сервере.

Таблица маршрутизации не меняется и до и после - одинакова.

Если "intern" не "Отключить", а "Запретить", тогда нигде ничего не пингуется - на сайты не заходит, и после "Запретить" нажать ещё "Отключить", то надпись "Подключить" появляется.

Но после включения("Подключить" или "Разрешить") - также: на сервере по-прежнему отлично пингуется yandex.ru, но на клиентских машинах в сетке пишет превышен интервал ожидания запроса... При этом на сайты по-прежнему заходить можно и на клиентских машинах и на сервере.

Вернуть пинги на клиентских машинах помогает только перезапуск службы "Маршрутизация и..." в services.msc.

В журнале ошибок eventvwr.msc смотрел - ничего нет - думал мож проблемы с маршрутизацией: удалял pppoe-соединение и заново создавал и отключал маршрутизацию и включал её в rrasmgmt.msc - ничего не помагает...

Я облазил всея интернет - нигде не нашёл подобной проблемы - мож плохо искал...