» Нет доступа к внешнему FTP из локальной сети

Есть две сети: 192.168.1.0/24 и 192.168.2.0/24.
В качестве маршрутизатора компьютер с Server 2003 (буду называть его сервером) и двумя сетевыми картами: 192.168.1.205/24 и 192.168.2.1/24.
Шлюз - отдельная машина с KWF и двумя сетевыми картами: локальный 192.168.1.207, внешний - ну пускай будет 81.245.43.12
Сервер настроен как маршрутизатор локальной сети. В качестве шлюза по умолчанию на обеих картах стоит 192.168.1.207.
В сети 192.168.1.0/24 основной шлюз - 192.168.1.205; в 192.168.2.0/24 основной шлюз - 192.168.2.1
В KWF разрешен любой трафик между обоими сетями, в интернет обе сети ходят через NAT.

Собственно, вопроса даже 3
1. Маршрутизацией занимался первый раз, поэтому является ли такая конфигурация приемлемой или это тихийужасшоблпздц и автора на кол?

2. С машины 192.168.2.13 (клиент) я могу видеть 192.168.1.205 (сервер), 192.168.1.207 (шлюз), но не вижу машину 192.168.1.158 (клиент). Почему?

3. С конфигурацией клиента 192.168.2.13/24 и шлюзом по умолчанию 192.168.2.1 я не могу получить доступ к внешнему FTP (в пассивном режиме, интернет работает). Когда меняю шлюз на 192.168.1.207 - вижу FTP (также работает интернет), но не вижу локалку. Как выйти из положения?

[more=route print и ipconfig c сервера]
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.207 192.168.1.205 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.205 192.168.1.205 1
192.168.1.205 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.1.255 255.255.255.255 192.168.1.205 192.168.1.205 1
192.168.2.0 255.255.255.0 192.168.2.1 192.168.2.1 1
192.168.2.1 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.2.255 255.255.255.255 192.168.2.1 192.168.2.1 1
224.0.0.0 240.0.0.0 192.168.1.205 192.168.1.205 1
224.0.0.0 240.0.0.0 192.168.2.1 192.168.2.1 1
255.255.255.255 255.255.255.255 192.168.1.205 192.168.1.205 1
255.255.255.255 255.255.255.255 192.168.2.1 192.168.2.1 1
Основной шлюз: 192.168.1.207
===========================================================================
Постоянные маршруты:
Отсутствует

Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : server
Основной DNS-суффикс . . . . . . : domain.ru
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : domain.ru

Подключение по лок. сети 205 - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Connection with I/O Acceleration
Физический адрес. . . . . . . . . : 00-15-17-C1-EA-B0
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.205
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.207
DNS-серверы . . . . . . . . . . . : 192.168.1.200
192.168.1.205

Подключение по локальной сети 2 - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Connection with I/O Acceleration #2
Физический адрес. . . . . . . . . : 00-15-17-C1-EA-B1
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.2.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.1.205
192.168.1.200
[/more]

[more=route print и ipconfig c шлюза]
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 81.245.43.11 81.245.43.12 10
81.245.43.10 255.255.255.254 81.245.43.12 81.245.43.12 10
81.245.43.12 255.255.255.255 127.0.0.1 127.0.0.1 10
80.255.255.255 255.255.255.255 81.245.43.12 81.245.43.12 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
169.254.0.0 255.255.0.0 169.254.146.14 169.254.146.14 20
169.254.146.14 255.255.255.255 127.0.0.1 127.0.0.1 20
169.254.255.255 255.255.255.255 169.254.146.14 169.254.146.14 20
192.168.1.0 255.255.255.0 192.168.1.207 192.168.1.207 10
192.168.1.207 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.1.255 255.255.255.255 192.168.1.207 192.168.1.207 10
192.168.2.0 255.255.255.0 192.168.1.205 192.168.1.207 1
224.0.0.0 240.0.0.0 81.245.43.12 81.245.43.12 10
224.0.0.0 240.0.0.0 169.254.146.14 169.254.146.14 20
224.0.0.0 240.0.0.0 192.168.1.207 192.168.1.207 10
255.255.255.255 255.255.255.255 80.240.53.125 80.240.53.125 1
255.255.255.255 255.255.255.255 169.254.146.14 169.254.146.14 1
255.255.255.255 255.255.255.255 192.168.1.207 192.168.1.207 1
Основной шлюз: 81.245.43.11
===========================================================================
Постоянные маршруты:
Отсутствует

Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : server1
Основной DNS-суффикс . . . . . . : domain.ru
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : domain.ru
Подключение по лок. сети 205 - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Connection with I/O Acceleration
Физический адрес. . . . . . . . . : 00-04-23-D3-26-4E
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 81.245.43.12
Маска подсети . . . . . . . . . . : 255.255.255.254
Основной шлюз . . . . . . . . . . : 81.245.43.11
DNS-серверы . . . . . . . . . . . : 192.168.1.200
192.168.1.205

Подключение по локальной сети 2 - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Connection with I/O Acceleration #2
Физический адрес. . . . . . . . . : 00-04-23-D3-26-4F
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.207
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 192.168.1.205
192.168.1.200[/more]

[more=route print и ipconfig c клиента 192.168.2.0/24]
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.13 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.2.0 255.255.255.0 192.168.2.13 192.168.2.13 10
192.168.2.13 255.255.255.255 127.0.0.1 127.0.0.1 10
192.168.2.255 255.255.255.255 192.168.2.13 192.168.2.13 10
224.0.0.0 240.0.0.0 192.168.2.13 192.168.2.13 10
255.255.255.255 255.255.255.255 192.168.2.13 2 1
255.255.255.255 255.255.255.255 192.168.2.13 192.168.2.13 1
Основной шлюз: 192.168.2.1
===========================================================================
Постоянные маршруты:
Отсутствует

Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : comp
Основной DNS-суффикс . . . . . . : domain.ru
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : domain.ru
Подключение по локальной сети - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Atheros L1 Gigabit Ethernet 10/100/1000Base-T Controller
Физический адрес. . . . . . . . . : 00-1D-60-6B-9E-55
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.2.13
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.2.1
DNS-серверы . . . . . . . . . . . : 192.168.1.205
192.168.1.200[/more]

mattveiko
всё ниасилил, многа букаф.. но
Цитата:

это тихийужасшоблпздц и автора на кол

очень похоже на то.. ;)
кста, "аффтар" по правилам олбанской арфографии пишыццо черис 2 ф.. :))

имхо, надыть сделать проще - на всех компах локали проставить маску 255.255.252.0..
при этом, как минимум, оба твоих сегмента будут видеть друг дружку и шлюз/сервак безо всякого бубна.. :)

зы.
если нужно ограничить доступ между сегментами, задавай соответссные рулезы в кире и на серваке-передасте..
ну, ессно, НЕ соединяя сегменты физически через свичи.. :)

Цитата:

Как выйти из положения?

самый правильный выход изучить хотя бы азы маршрутизации, я так и быть подскажу но учится нужно

и так по порядку

сервер KWF
на внешнем интерфейсе дефолтный шлюз - провайдерский
на внутреннем никакого
добавить статический маршрут
route add 192.168.2.0 mask 255.255.255.0 192.168.1.205

Server 2003
на интерфейсе 192.168.1.205 дефолтный шлюз - 192.168.1.207
на интерфейсе 192.168.2.1 никаких шлюзов

компьютеры в сети 192.168.2.0/24
дефолтный шлюз - 192.168.2.1

компьютеры в сети 192.168.1.0/24
дефолтный шлюз 192.168.1.207
добавить статический маршрут
route add 192.168.2.0 mask 255.255.255.0 192.168.1.205

TheBarmaley
Цитата:

на всех компах локали проставить маску 255.255.252.0..
при этом, как минимум, оба твоих сегмента будут видеть друг дружку и шлюз/сервак

Не вводи человека в заблуждение. У него же роутер стоит. Поэтому в сетке 192.168.2. всем настроить шлюз по умолчанию 192.168.2.1, в сетке 192.168.1. всем настроить шлюз по умолчанию 192.168.1.205, на 192.168.1.205 настроить шлюз по умолчанию 192.168.1.207, на 192.168.1.207 настроить маршрут в сетку 192.168.2. через 192.168.1.205.

Valery12 Т.е. у меня не все так запущено как кажется.
Посмотрите мои роуты, получается мне надо только убрать шлюз с 192.168.2.1 и на клиентах добавить статический маршрут в сеть 192.168.1.0 192.168.2.0

vlary Сейчас именно такая конфигурация и стоит, только на 192.168.2.1 я указал основным шлюзом 192.168.1.207. как сказали выше, это ошибка - я ее исправлю.

vlary
Цитата:

Не вводи человека в заблуждение. У него же роутер стоит

это я ещё вчера прочитал.. но вот не догоняю тока, зачем он ему сдался.. :)

ну, судя по постановке задачи, предполагается свободное гуляние клиентов в пределах обеих (!) подсетей..
не вижу смысла ставить рутер, если он хочет из обоих сегментов дать доступ к друг дружке и ко всему прочему..
если так, то проще именно маской свести сегменты в один.. ну и - в общий свитч два конца, ессно.. ;)

вопчем, я бы ещё понял смысл внутреннего (!) рутера, если бы он отделял локаль от своего внешнего шлюза..
или, скажем, обособил бы некую группу "особо важных" рабочих станций.. а так..

если же разделение на две части всё-тки необходимо, тады - да..
но прописывать нужные маршруты только на нужных (!) станциях, а не тупо шлюзовать сегменты на рутере..

карочь.. остаюсь при своих - в его случае общие свитч + маска = самое оно.. :)

Добавлено:
mattveiko
я правильно понял твою задачу? т.е. тебе нужно объединить оба сегмента?
если "да", то, исходя из принципа Оккама, проще и лучше сменить маску + поставить объединяющий свитч..
ибо железячная "сущность" в таком случае всяко разно лучше софтовой.. :)

TheBarmaley
Не, свободное гуляние всех клиентов по подсетям не предполагается. Предполагается доступ с нескольких машин ко всем клиентам обоих подсетей.
Если неправильно или неясно выразился, мои извинения.

Еще хотелось узнать, оно вообще работает или я сделал какую-то чушь?
Работает. Я доволен.