Имя пользователя:
Пароль:
 | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - Как настроить две подсети на одном сервере?

Ответить
Настройки темы
2008 R2 - Как настроить две подсети на одном сервере?

Новый участник


Сообщения: 16
Благодарности: 1

Профиль | Сайт | Отправить PM | Цитировать


Приветствую, уважаемые форумчане!

У меня появился вопрос по настройке сети под управлением Windows Server 2008 R2.

Сейчас имеется сервер с двумя сетевыми картами, одна из них не используется, а другая подключена к общему маршрутизатору.
Сервер является контроллером домена, на нём подняты DNS и DHCP, он раздаёт всем адреса вида 192.168.000.***
В домен заведены компьютеры двух офисов все подключены напрямую к маршрутизатору.

К этому же маршрутизатору подключены другие маршрутизаторы с PPPoE подключением к Интернету по выделенной линии через Ethernet.
Оба PPPoE подключения дают на WAN порты маршрутизаторов внешние статические IP адреса.
Используется в данный момент только один из них, подключенный как PPPoE роутер, через него к сети Интернет через NAT подключаются все компьютеры сети и сервер.

Вопрос такой, как правильно разделить всю сеть на две подсети, чтобы они продолжили пользоваться этим серврером, но чтобы у каждой было своё подключение к Интернету по выделенной линии и при этом была возможность подключаться к серверу снаружи через VPN?

Оба маршрутизатора с PPPoE подключениями помимо LAN и WAN портов содержат так же WiFi модули и имеют возможность запуска собственного DHCP сервера, поэтому есть ещё и такое пожелание, чтобы подключающиеся по беспроводной связи ноутбуки так же попадали в ту или иную подсеть, в том числе с получением IP адреса от DHCP сервера для соответствующей подсети и с возможностью доступа на основной сервер и в домен.

И ещё такое пожелание, чтобы компьютеры обеих подсетей попадали в соответствующие различные "Organisation Unit", а в идеале даже чтобы вообще разделялись на два разных домена. Хотя, вроде один контроллер домена физически не может держать более одного домена, но наверное может держать виртуальные серверы со своими контроллерами доменов на них.

Примечание, VPN нужна в том числе для подключающихся снаружи через Интернет беспроводных устройств с 3G подключением, для получения статичного IP адреса. Другими словами, беспроводное устройство через 3G во внешней сети Интернет подключается к нашему серверу через VPN и получает внутренний IP адрес вида 192.168.000.***, а затем уже из внтуренней сети через NAT со статическим внешним IP адресом PPPoE соединения осуществляет подлючение к внешним серверам.

Отправлено: 17:41, 16-06-2011

 
QRS QRS вне форума

Ветеран


Сообщения: 630
Благодарности: 111

Профиль | Отправить PM | Цитировать


KoichiSenada, первый вопрос в любой сложной задаче - зачем Вам это нужно?
Откуда такие требования про разделение сетей и разделение доменов???

Цитата KoichiSenada:
Вопрос такой, как правильно разделить всю сеть на две подсети, чтобы они продолжили пользоваться этим серврером, но чтобы у каждой было своё подключение к Интернету по выделенной линии и при этом была возможность подключаться к серверу снаружи через VPN? »
Если Ваш маршрутизатор поддерживает подключение нескольких внутренних подсетей, то настройте его так, что на одном интерфейсе одна сеть, на другом другая.
Чтобы каждая подсеть имела собственный выход в интернет, но все крутилось на одном маршрутизаторе - это задача PBR (например есть в оборудовании Cisco).
Сможет кто-то снаружи подключиться к серверу через VPN? - это вопрос настройки VPN-сервера и проброс входящих подключений . Однако поднимать VPN-сервер на контроллере домена - это не очень хорошо, и в таком случае подключаться к нему по VPN можно будет только через один канал выхода в Интернет, разве что Вы реализуете на внешних маршрутизаторах nat outside (тоже cisco).

Может быть Вам проще настроить VPN-сервер непосредственно на маршрутизаторах, которые смотрят в Интернет? Это решит вопрос с VPN в целом и не приведет к проблеме маршрутизации.

Может быть Вам будет проще полностью разделить сети и сделать две независимых сети?
Короче, напишите зачем Вы все это делаете...

Отправлено: 23:38, 16-06-2011 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 16
Благодарности: 1

Профиль | Сайт | Отправить PM | Цитировать


Задач несколько.

Задача 1. Разделить сеть с одним сервером на две подсети для двух офисов.
Это делается для того, чтобы оба офиса сети получили собственное Интернет подключение, чтобы вести раздельно бухгалтерию и повысить общую пропускную способность, но при этом сохранить возможность доступа к общему файл-серверу и контроллеру домена.
Я нашёл информацию о PBR на сайте Cisco - Policy-Based Routing и на форуме Microsoft - Как настроить форвардинг пакетов не по таблице роутинга. Насколько я понял, PBR доступен на Linux/Unix/Cisco, но не на Windows Server.
Может быть, тогда поднять роутинг на Windows Server с двумя сетевыми картами и создать на нём таблицу роутинга, а вот DHCP поднять на маршрутизаторах, чтобы одна подсеть получала от своего маршрутизатора адреса вида 192.168.000.***, а другой 192.168.001.***, и это учитывать в таблице роутинга. Возможен ли такой вариант, будет работать? Или можно как-то иначе ещё сделать, без оборудования Cisco и операционных систем отличных от Windows Server?

Задача 2. Компьютерам созданных подсетей назначить свои "Organisation Unit" или даже свои домены.
Это делается для удобства администрирования компьютеров на основе политик безопасности домена. Чтобы к дискам компьютеров одного офиса имели доступ сотрудники этого офиса, а к дискам компьютеров другого офиса имели доступ соответственно сотрудники другого офиса.

Задача 3. Настроить VPN для подключающихся соединений.
Это делается для того, чтобы устройства с 3G подключением могли быть настроены на нашу VPN сеть, входили в неё, и уже через наши маршрутизаторы выходили дальше в Интернет, имея постоянный статичный IP-адрес. Это чтобы с мобильных устройств была возможность подключаться к тем внешним ресурсам, которые требуют постоянный IP-адрес от подключающихся.

Отправлено: 16:11, 17-06-2011 | #3

exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать


Цитата KoichiSenada:
чтобы оба офиса сети получили собственное Интернет подключение »
или два маршрутизатора со своими DHCP, или два прокси сервера.
при этом у общих коммутаторов должны быть реализованы VLAN.
Цитата KoichiSenada:
но при этом сохранить возможность доступа к общему файл-серверу и контроллеру домена. »
там две сетевухи. каждая для своей сети будет.
Цитата KoichiSenada:
или даже свои домены. »
один сервер - один домен или дочерний домен. нельзя на одном сервере настроить два домена.
Цитата KoichiSenada:
созданных подсетей назначить свои "Organisation Unit" »
да вы и так это можете сделать.

Цитата KoichiSenada:
чтобы устройства с 3G подключением могли быть настроены на нашу VPN сеть, входили в неё, и уже через наши маршрутизаторы выходили дальше в Интернет »
трафик между 3G и VPN будет для них тарифицироваться как обычный 3G. Экономии нет. А выходить через ваш маршрутизатор они будут по молчанию (при подключенном VPN).
Цитата KoichiSenada:
которые требуют постоянный IP-адрес от подключающихся. »
использование сертификатов позволяет подключаться с динамических адресов.

-------
Вежливый клиент всегда прав!


Отправлено: 17:23, 17-06-2011 | #4

QRS QRS вне форума

Ветеран


Сообщения: 630
Благодарности: 111

Профиль | Отправить PM | Цитировать


Цитата KoichiSenada:
Это чтобы с мобильных устройств была возможность подключаться к тем внешним ресурсам, которые требуют постоянный IP-адрес от подключающихся »
Купите у Провайдера на сим-карту услугу статического IP-адреса

Цитата KoichiSenada:
Это делается для удобства администрирования компьютеров на основе политик безопасности домена. »
OU можно назначать и ручками... не такой уж и большой у Вас объем администрирования...
Два домена "для удобства администрирования" - это что-то новое.
Раздельные домены создаются для обеспечения уровня безопасности на уровне Data-администраторов (для защиты от Service-администраторов требуются раздельные леса).

Цитата KoichiSenada:
Чтобы к дискам компьютеров одного офиса имели доступ сотрудники этого офиса, а к дискам компьютеров другого офиса имели доступ соответственно сотрудники другого офиса. »
И чем Вам здесь один домен мешает?
Одной половине запретили локальный и сетевой вход на ПК "чужого" офиса, второй половине наоборот.
Еще раз... раздельные домены и леса - требование безопасности в отношении АДМИНИСТРАТОРОВ, а не пользователей.

Цитата KoichiSenada:
Это делается для того, чтобы оба офиса сети получили собственное Интернет подключение, чтобы вести раздельно бухгалтерию и повысить общую пропускную способность, но при этом сохранить возможность доступа к общему файл-серверу и контроллеру домена. »
Один канал на 1Мб дешевле, чем 2*512 (как правило)... зачем покупать два канала, если можно делить один с помощью шлюза, который умеет делать shape для трафика по заданным условиям! Это либо аппаратные решения, либо специальные софтовые, например, IDECO немного умеет такое делать.
Хотя, если Вам раздельно нужно платить за Интернет, то придется пользовать 2 канала, но здесь тот же IDECO Вам поможет, т.к. умеет выбирать интерфейс для группы пользователей.
Если хотите чисто MS или аппаратный шлюз, то для каждой из сетей либо поднимите свой прокси, либо задайте в качестве шлюза по-умолчанию интерфейс их роутера, а для выхода в сеть "чужого" офиса можно прописать статический маршрут.

Цитата KoichiSenada:
Может быть, тогда поднять роутинг на Windows Server с двумя сетевыми картами и создать на нём таблицу роутинга, а вот DHCP поднять на маршрутизаторах, чтобы одна подсеть получала от своего маршрутизатора адреса вида 192.168.000.***, а другой 192.168.001.***, и это учитывать в таблице роутинга. Возможен ли такой вариант, будет работать? Или можно как-то иначе ещё сделать, без оборудования Cisco и операционных систем отличных от Windows Server? »
Если Вы будете использовать один шлюз и делить трафик для двух сетей (либо использовать два прокси или шлюза), то PBR и прочие заморочки Вам не пригодятся.

Последний раз редактировалось QRS, 17-06-2011 в 18:29.


Отправлено: 18:22, 17-06-2011 | #5

exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать


Цитата KoichiSenada:
IP адрес вида 192.168.000.*** »
чуть не забыл... вы в курсе что адрес 192.168.035.035 отличается от 192.168.35.35 ? Пишите правильно IP адреса.
Цитата QRS:
Раздельные домены создаются для обеспечения уровня безопасности »
эм... я думал они делаются для распределенной сети.

-------
Вежливый клиент всегда прав!


Отправлено: 00:39, 18-06-2011 | #6


Новый участник


Сообщения: 16
Благодарности: 1

Профиль | Сайт | Отправить PM | Цитировать


EXO и QRS, благодарю за ответы!

VPN для 3G устройств нужен только для статичного IP, не для экономии. К сожалению, сертификат там тоже не подойдёт, так как свой IP требуется для авторизации на стороннем веб-сервере с Atlassian JIRA. Одновременно для этого же пробуем заполучить такую услугу от операторов сотовой связи, больше всего в нашем городе для этого подходит Beeline, но и у них эта услуга только для корпоративных пользователей.

По поводу раздельных Интернет подключений всё сводится к наличию DHCP и VLAN на маршрутизаторах, насколько я понял.
Насчёт наличия DHCP я абсолютно уверен, а вот про VLAN что-то не нахожу.
Подскажите, пожалуйста, как определить наличие такой возможности VLAN на маршрутизаторах?
У нас на данный момент в распоряжении вот такие две модели:
ZyXEL NBG460N EE
Tenda W301R

Отправлено: 17:58, 20-06-2011 | #7

exo exo вне форума

Аватара для exo

Ветеран


Сообщения: 12417
Благодарности: 1442

Профиль | Отправить PM | Цитировать


Я думаю поторопился. можно и без VLAN, главное чтобы к одному маршрутизатору подключались только компьютеры одной сети.

-------
Вежливый клиент всегда прав!


Отправлено: 18:54, 20-06-2011 | #8


Новый участник


Сообщения: 16
Благодарности: 1

Профиль | Сайт | Отправить PM | Цитировать


Значит, всё сводится вообще только к настройке DHCP на маршрутизаторах?
Я так уже пробовал, выключал DHCP на сервере и включал на маршрутизаторах, но почему-то не подхватывалась настройка DNS и шлюзов, и соответственно Интернета на компах не было.
Маршрутизаторы после PPPoE авторизации получают сетевые настройки от провайдера - это свой внешний статический IP, внешний шлюз, два DNS сервера провайдера.
А вот что и как надо настроить на Windows Server 2008 R2 или на маршрутизаторах, чтобы компьютеры подсетей видели и друг друга и домен и контроллер домена, и при этом чтобы и Интернет тоже нормально работал?

Отправлено: 09:21, 21-06-2011 | #9



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - Как настроить две подсети на одном сервере?

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Две сетевые карты на одном сервере Vygov Microsoft Windows NT/2000/2003 6 24-03-2010 11:54
Proxy/NAT - Как поднять 2 интернет соединения на одном ISA сервере и настроить маршрутезацию? antantonov Сетевые технологии 2 12-12-2008 10:05
Proxy/NAT - Не получается настроить Иса сервер для раздачи инета в две подсети, + проблемы с марш nemykh Сетевые технологии 9 19-06-2008 11:54
Две фирмы на одном Exchange-сервере V Telm Microsoft Exchange Server 0 23-12-2005 13:55
Помогите настроить две подсети mal21 Сетевые технологии 1 13-09-2004 13:57




 
Переход