» Маршрутизация пакетов между несколькими подсетями Win2000

Могу за себя сказать: аналогичное подключение - сделано по схеме приведенной мной выше, в качестве роутер стоит Win2kServ, на нем поднята маршрутизация - все работает как часы уже полгода...

Lifter

Цитата:

Не понял, кто от какой сети отключен. И откуда куда пытались пинговать.

Я отключил гейтвей от внутренней сети (т.е. убрал на нем IP 10.0.0.1), чтобы оставить только 1 IP адрес для каждого интерфейса.
Пинговал с публичного раут-сервера какого-то бекбона.
Внешний интерфейс пингуется
Внутренний - нет

Цитата:

проверить состояние службы RRAS (маршрутизация и удаленный доступ) (У меня, напр., погашена)

Стоп...стоп..стоп.... А разве есть Routing and Remore Access Service на Workstation?
И если есть - то как ее отключить?

Цитата:

результат route print для данного варианта в студию

===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x1000003 ...XX XX XX XX XX XX ...... ORINOCO PC Card
0x1000004 ...YY YY YY YY YY YY ...... Intel(R) PRO Adapter
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 190.1.1.1 190.1.1.111 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
191.0.0.252 255.255.255.252 191.0.0.253 191.0.0.253 1
191.0.0.253 255.255.255.255 127.0.0.1 127.0.0.1 1
191.0.0.255 255.255.255.255 191.0.0.253 191.0.0.253 1
190.1.1.0 255.255.255.128 190.1.1.111 190.1.1.111 1
190.1.1.111 255.255.255.255 127.0.0.1 127.0.0.1 1
190.1.1.255 255.255.255.255 190.1.1.111 190.1.1.111 1
255.255.255.255 255.255.255.255 190.1.1.111 190.1.1.111 1
Default Gateway: 190.1.1.1
===========================================================================
Persistent Routes:
None

Цитата:

результаты пингования КАЖДОГО из интерфейсов собственно на этой машине

Оба пингуются

Добавлено
Klisha
Да я бы рад поднять сервер, но вот проблема - машина не очень мощная. А ан ней еще программисту работать...

zorrack

Цитата:

Трасинг от провайдера до 191.0.0.253

Type escape sequence to abort.
Tracing the route to abc.bcd.cde.net (191.0.0.253)

1 190.1.212.122 20 msec 20 msec 8 msec
2 router.provider.net (190.1.1.1) 12 msec 8 msec 8 msec
3 * * *

Сдается мне, что у провайдера просто-напросто не прописано, что все пакеты на сеть 191.0.0.252 слать через 190.1.1.111. Ты бы у них поинтересовался их таблицей маршрутизации в этом плане, а.

ooptimum

Цитата:

Сдается мне, что у провайдера просто-напросто не прописано, что все пакеты на сеть 191.0.0.252 слать через 190.1.1.111. Ты бы у них поинтересовался их таблицей маршрутизации в этом плане, а.

Я про это писал в самом начале - если поставить адрес 191.0.0.253 как главный адрес внешнего интерфейса, а вторым адресом внешнего интерфейса поставить 190.1.1.111 то оба адреса нормально пингуются с бекбона

zorrack
Поверь мне по нагрузке на машину сервер от винды не далеко ушел... одинаковы они фактически.....

zorrack

Цитата:

Оба пингуются

Цитата:

Я про это писал в самом начале - если поставить адрес 191.0.0.253 как главный адрес внешнего интерфейса, а вторым адресом внешнего интерфейса поставить 190.1.1.111 то оба адреса нормально пингуются с бекбона

Ок. Шаг два.Внешний интерфейс по-прежнему 190.1.1.111, внутренний - 191.0.0.253.
Служба "Маршрутизация и удаленный доступ" - "Работает", "Авто".

(Если есть возможность), подключаем к внутреннему интерфейсу комп (кроссом или через хаб - без разницы). Адрес - 191.0.0.254/30, шлюз - 191.0.0.253. Пингуем с него:
- по адресу 191.0.0.253
- по адресу 190.1.1.111
- по адресу 190.1.1.1
- по адресу 194.186.36.138
Если №1 - ходит, №2 - нет - проблемы с марнрутизацией на твоем гейте.
Если №2 - да, №3 - нет, а с гейта на адрес 191.1.1.1 - да, то проблемы опять же у тебя.
Если с гейта тоже - нет, то проблемы у провайдера.
Аналогично, если №1, 2, 3 - да, а 4 - нет.




Добавлено
zorrack

Цитата:

Используется Internet Connection Sharing.

только обратил внимание. На каком интерфейсе? По-видимому, на внешнем? По-моему, для чистоты эксперимента пока лучше прибить. Это ж кусочки НАТ, надо сначала чистую маршрутизацию построить.

Lifter

Цитата:

Ок. Шаг два.Внешний интерфейс по-прежнему 190.1.1.111, внутренний - 191.0.0.253.
Служба "Маршрутизация и удаленный доступ" - "Работает", "Авто".

Включено. Авто.


Цитата:

(Если есть возможность), подключаем к внутреннему интерфейсу комп (кроссом или через хаб - без разницы). Адрес - 191.0.0.254/30, шлюз - 191.0.0.253. Пингуем с него:
- по адресу 191.0.0.253
- по адресу 190.1.1.111
- по адресу 191.1.1.1
- по адресу 194.186.36.138
Если №1 - ходит, №2 - нет - проблемы с марнрутизацией на твоем гейте.
Если №2 - да, №3 - нет, а с гейта на адрес 191.1.1.1 - да, то проблемы опять же у тебя.
Если с гейта тоже - нет, то проблемы у провайдера.
Аналогично, если №1, 2, 3 - да, а 4 - нет.

Все четыре - да

zorrack

Цитата:

Все четыре - да

Ок. Твой гейт работает как минимум в одну сторону.
Пинги до 191.0.0.253 по прежнему не ходят? Вариантов несколько:
- у тебя все-таки поднят НАТ и неправильно настроен
- у тебя НАТа нет, но у прова стоит фильтр, который просто режет ICMP-запросы или ответы для 191-й сети. Хотя тогда ничего бы не менялось от перестановки адресов .
Так что см. вариант 1. И трайс от тебя до, скажем, № 4 должен работать.

Значит, первичная конфигурация заработала.
Действительно был поднят НАТ (по Виндозному - Internet Connection Sharing)
После отключения - вроде заработало.
Но теперь стала другая проблема. Сейчас конфигурация:
Gateway:
External interface
IP: 190.1.1.111
MASK: 255.255.255.128
DefGW: 190.1.1.1

Internal interface
IP1: 191.0.0.253
MASK1: 255.255.255.252
IP2: 10.0.0.1
MASK2: 255.255.255.0 (я думаю - тут неважно или /8 или /24)
DefGW: 190.1.1.111

Дополнительные настройки:
route -p add 191.0.0.253 MASK 255.255.255.255 190.1.1.111
route -p add 10.0.0.1 MASK 255.255.255.255 190.1.1.111

Проблема в следующем
MAIL & DNS Server (191.0.0.254 & 10.0.0.2) видит инет и его из инета видно по 191.0.0.254.
Все остальные машины (10.0.0.х) инета не видят.
Скорее всего теперь, поскольку НАТа нету - все машины по причине внутренней IP - не видят инета. Но это, насколько я помню, очень часто обсуждаемая проблема и будем искать дальше.
ВСЕМ ГРОМАДНОЕ СПАСИБО!!!

zorrack

Ты принципиально неправильно пытаешься решить задачу.
В любом случае, когда есть переход от внешних к внутренним адресам, должен стоять НАТ. Для того, чтобы внутренняя сеть жила спокойно, там же должен стоять и файрволл.
То есть крайне желательно, чтобы по публичным адресам был (физически) доступ к крайне ограниченному количеству машин. А внешняя и внутренняя сети жили исключительно в разных сегментах.
Сделать можно так:

190.1.1.111:гейт:191.0.0.253 ------191.0.0.254:НАТ+ФВ:10.0.0.1 --- локалка
ДНС+МАЙЛ

или практически то же самое, но машиной с тремя сетевыми

190.1.1.111:гейт:НАТ+ФВ:10.0.0.1 --- локалка
|191.0.0.253
|
|
|191.0.0.254
ДНС+МАЙЛ

Абсолютно согласен. Но, поскольку все машины еще являются и рабочими машинами (т.е. нет возможности под раутер выделить отдельную машину), то приходится решать на двух машинах, обе из которых должны быть доступны из локалки по внутренним адресам. Как результат, поставил Винраут для НАТа на раутере и НАТятся только внутренние адреса. Все остальные ходят напрямую.

ЗЫ: Я великолепно понимаю, что такая сеть не соответствует стандартам безопасности и вообще логическим принципам построения сетей... Но... Ресурсы покаместь не позволяют улучшить ситуацию.

Сервер2к01(адр:*/1): 2 интерфейса (internet:*.*.*.* share internet; local:192.168.1.0/24)
Сервер2к02(адр:2/1): 2 интерфейса (local:192.168.1.0/24, share internet; local:192.168.2.0/24)
Инет виден в обоих, а вот локалки никак не хотят общаться (доступен только Сервер2к02). Раньше настраивал все было отлично - видимо что-то забыл сделать!