» Маршрутизация пакетов между несколькими подсетями Win2000

Вот бьюсь уже который час, а похоже - просто не понимаю, что к чему
Есть компьютер-маршрутизатор Win2K Pro
У него есть внешний интерфейс (выделенка) на провайдера.
Есть карточка, что смотрит в локальную сеть.
Локалка настроена и ходит через TCP/IP (Сеть 10.0.0.0/8)
У внешнего интерфейса есть реальный IP адрес (скажем 190.1.1.111 с маской подсети /16)
Для того, чтоб дать возможность держать DNS и Exchange провайдер нам выделил еще подсеть (скажем 191.0.0.252/30)
И вот теперь загвоздка: куда нужно присобачить ентих 2 IP адреса, на какие интерфейсы, и как правильно настроить маршрутизацию внутри, чтоб пакеты попадали на нужную машину и уходили обратно)?
Пробовалась следующая конфигурация:
Gateway Computer:
External Interface:
IP: 190.1.1.111
MASK: 255.255.255.128
DefGW: 190.1.1.1

Internal Interface:
IP1: 10.0.0.1
MASK1: 255.0.0.0
IP2: 191.0.0.253
MASK2: 255.255.255.252
DefGW: <none>

DNS & E-Mail Server:
IP1: 10.0.0.2
MASK1: 255.0.0.0
IP2: 191.0.0.254
MASK2: 255.255.255.252
DefGW1: 10.0.0.1
DefGW2: 191.0.0.253

В такой конфигурации внутри сети великолепно видны и 10.0.0.х и 191.0.0.х, но 191.0.0.х не видны извне сети

Попробовали следующую конфигурацию:
External Interface:
IP1: 190.1.1.111
MASK1: 255.255.255.128
IP2: 191.0.0.253
MASK2: 255.255.255.252
DefGW: 190.1.1.1

В такой конфигурации с маршрутизатора не видно адреса 191.0.0.254, который находится в локалке (и раутинга через внутренний интерфейс наладить не удалось), а самого маршрутизатора не видно извне сети по адресу 191.0.0.254, но видно по адресу 190.1.1.111

Третья конфигурация заключалась только в изменении порядка IP адресов для маршрутизатора, т.е. стала следующей:
IP1: 191.0.0.253
MASK1: 255.255.255.252
IP2: 190.1.1.111
MASK2: 255.255.255.128
DefGW: 190.1.1.1

В такой конфигурации с маршрутизатора все еще не видно адреса 191.0.0.254 в локалке, но сам маршрутизатор стало видно по обоим адресам извне сети.

А вот как добиться, чтоб стало видно и локальный адрес?
ЗЫ: Подчеркиваю, что маршрутизатор это Win2K Pro без какого-либо спец.софта.

Спасибо

а в чем смысл разных сетей выхода наружу и mail/dns .

можнос сделать так

внутренняя сеть скажем 10.0.0.0 mask 255.0.0.0
внешние адреса скажем 213.180.19.0 mask 255.255.255.0

гейт интерфейс 213.180.19.200 mask 255.255.255.127 смотрит наружу
гейт интерфейс 213.180.19.2 mask 255.255.255.127 смотрит внутрь
на гейте Брандмауэр

почтовый сервер имеет адрес 213.180.19.3 mask 255.255.255.127 и второй ip из 10. сети
Dns сервер имеет адрес 213.180.19.4 mask 255.255.255.127 и второй ip из 10. сети

В сети ставится nat , который натит пакеты из 10 в 213.180.19 и обрато

zorrack
В первой конфигурации все нормально (я полагаю, что у провайдера тоже все настроено, т.е., что они направляет все пакеты для сети 191.0.0.252 на адрес 190.1.1.111), только надо добавить маршрут:
route add 191.0.0.252 mask 255.255.255.252 191.0.0.253
Вроде все.

Zlobny_John
Дело в том, что как раз невозможно использовать одинаковую под-сеть для выхода и MAIL & DNS. У провайдера из сегмента сети для выделенных линий нет свободных адресов, а перенастраивать нас на другую подсеть немного накладно.

ooptimum
Гхм... Попробовал добавить... Все равно не работает.
При просмотре таблицы раутинга - показывает, что этот маршрут настроен для внутреннего интерфейча, а я так понимаю, что вся проблема именно в этом - внешний интерфейс не знает как смаршрутизировать пакеты на внутренний интерфейс.

Добавлено
ooptimum
Да, у прова все впорядке - пакеты до 190.1.1.111 доходят, а дальше не идут.
Может попытаться дать внешнему интерфейсу одну из локальных IP? (типо 10.0.0.10) и настроить маршрут следующим образом
route add 10.0.0.0 MASK 255.0.0.0 10.0.0.10
route add 10.0.0.1 MASK 255.255.255.255 10.0.0.10
route add 191.0.0.252 MASK 255.255.255.252 10.0.0.1

Есть в этом какой-либо смысл?

Изменено:
Бред полный... :-\

zorrack
ракообразное решение чтобы долго не думать .

1. веревка до интернету ,в нее втыкаем хаб .
2. хаб , в него втыкаем mail ,dns ,gate на каждом стоит фаерволл .
3. mail ,dns ,gate имеют две сетевых карты , на одной внешний ip на другой 10.*
4. внутренние интерфейсы (10.*) mail ,dns ,gate воткнуты в хаб , в который воткнута вся ваша локальная сеть .

Zlobny_John

Цитата:

ракообразное решение

и, впринципе, невозможное... Выделенка идет по радио-каналу и подключение идет прямо от антенны на Orinoco-карточку, которая и является внешним интерфейсом

если подумать то , из первой конфигурации

Цитата:

DefGW1: 10.0.0.1

убираем и все работает .


внутренний интерфейс 191.0.0.253 должен пинговаться извне . Если этого нет - правим роутинг на gateway .

кстати на гейте external interface у тебя маска загадочная , это для примера или так и есть ?

Zlobny_John

Цитата:

кстати на гейте external interface у тебя маска загадочная

Это ты про 255.255.255.128? - так и есть
Типо напрямую я вижу токо первых 128 адресов (-2 сеть и броадкаст)

Теперь по-порядку...


Цитата:

внутренний интерфейс 191.0.0.253 должен пинговаться извне .

Извне не пингуется... И как сделать роутинг, чтоб пинговался - понятия не имею...


Цитата:

Убираем из первой конфигурации DefGW1: 10.0.0.1

Это, я думаю, вторая проблема, которая возникнет после решения первой - чтоб извне был виден второй IP внутренней карточки гейта

route print с гейта в студию

imho надо на гейте написать route add 191.0.0.253 mask 255.255.255.255 190.1.1.111
и пингануть внутренний фейс

Здесь оно - правда не читабельно...


Код:
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x1000003 ...XX XX XX XX XX XX ...... ORINOCO PC Card
0x1000004 ...YY YY YY YY YY YY ...... Intel(R) PRO Adapter
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 190.1.1.1 190.1.1.111 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
10.0.0.0 255.255.255.0 10.0.0.1 10.0.0.1 1
10.0.0.1 255.255.255.255 127.0.0.1 127.0.0.1 1
10.0.0.255 255.255.255.255 10.0.0.1 10.0.0.1 1
191.0.0.252 255.255.255.252 191.0.0.253 10.0.0.1 1
191.0.0.253 255.255.255.255 127.0.0.1 127.0.0.1 1
191.0.0.255 255.255.255.255 191.0.0.253 10.0.0.1 1
190.1.1.0 255.255.255.128 190.1.1.111 190.1.1.111 1
190.1.1.111 255.255.255.255 127.0.0.1 127.0.0.1 1
190.1.1.255 255.255.255.255 190.1.1.111 190.1.1.111 1
255.255.255.255 255.255.255.255 190.1.1.111 190.1.1.111 1
Default Gateway: 190.1.1.1
===========================================================================
Persistent Routes:
None

есть теория , что винды некорректно работают с ip алиасами . добавь третью сетевую карту на 191.0.0.253

Zlobny_John

Цитата:

добавь третью сетевую карту на 191.0.0.253

Возможно... А что дальше сделать? Как ее смаршрутизировать во внутреннюю сеть? Или тогда прийдется на DNS & MAIL ставить еще одну?

Цитата:

Пробовалась следующая конфигурация:
Gateway Computer:
External Interface:
IP: 190.1.1.111
MASK: 255.255.255.128
DefGW: 190.1.1.1

Internal Interface:
IP1: 10.0.0.1
MASK1: 255.0.0.0
IP2: 191.0.0.253
MASK2: 255.255.255.252
DefGW: <none>

DNS & E-Mail Server:
IP1: 10.0.0.2
MASK1: 255.0.0.0
IP2: 191.0.0.254
MASK2: 255.255.255.252
DefGW1: 10.0.0.1
DefGW2: 191.0.0.253

Убирай отсюда гадевей по умолчанию на внутреннем интерфейсе.....

Цитата:

В такой конфигурации внутри сети великолепно видны и 10.0.0.х и 191.0.0.х, но 191.0.0.х не видны извне сети

и добавь на Роутере следущие строчки:
route add -p 191.0.0.254 255.255.255.255 191.0.0.253 METRIC 1

Klisha

Цитата:

Убирай отсюда гадевей по умолчанию на внутреннем интерфейсе.....

Дык нету его!
На внутреннем интерфейсе дефолтный гейт = <NONE>


Цитата:

и добавь на Роутере следущие строчки:
route add -p 191.0.0.254 255.255.255.255 191.0.0.253 METRIC 1

Все было бы великолепно, если бы 191.0.0.253 был видн извне... Но нет этого!! И как решить не знаю

Klisha

Цитата:

и добавь на Роутере следущие строчки:
route add -p 191.0.0.254 255.255.255.255 191.0.0.253 METRIC 1

Если ты не заметил, то это уже советовали. И не .254 в конце должно быть, а .252.

zorrack

Цитата:

И как решить не знаю

одно из решений тебе уже подсказали -- ставь 3ю сетевуху. IMHO, это наиболее идеологически верное решение. Другое возможное решение (в порядке полубредовой идеи) -- в списке адресов внутреннего интерфейса адрес 191.0.0.253 сделай первым. Хотя... Какого члена? Как у тебя изнутри сети-то и-нет виден, если специализированного софта никакого не установлено? Ведь у тебя проф, а не сервер с его RRAS или чем-то иным. Ладно, в данный момент нас интересует значение параметра IPEnableRouter в HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters.

Цитата:

DNS & E-Mail Server:
IP1: 10.0.0.2
MASK1: 255.0.0.0
IP2: 191.0.0.254
MASK2: 255.255.255.252
DefGW1: 10.0.0.1
DefGW2: 191.0.0.253

А я что слепой??? на кой стоит два дефолт гейтвея????


Добавлено
И еще предложение: а может на DNS/mail поднять NAT и сделать вот что:

----<сеть профайдера>----<внешний интерфейс роутера>{роутер}<ваш "public" адрес #1>-------<крос-кабель>----<ваш "public" адрес #2>{DNS/mail с поднятым NAT}<внутренняя сеть 10.х.х.х>------


У меня работает именно в такой конфигурации...

Klisha

Цитата:

А я что слепой??? на кой стоит два дефолт гейтвея????

Читай все сообщения. Он уже убрал второй шлюз.

zorrack

Действительно, идеологически верное решение - 3-я сетевая, и организация отдельного сегмента для майл/днс, при этом сетевая имеет, например, адрес 191.0.0.253/30, днс имеет адрес 191.0.0.254/30 и шлюз 191.0.0.253. Сетевая № 2 имеет адрес 10.0.0.1/8 (?), все компы в этом сегменте имеют адреса 10.х.х.х /8 шлюз 10.0.0.1. Сетевая № 1 будет иметь адрес 190.1.1.111 /25 (????) шлюз 190.1.1.1.
пинги ходить будут. ))
При этом остается непонятным, куда денется остальная куча (и зачем она нужна в принципе) реальных IP подсети 190.1.0.0/16 ? Если их предполагается раздать хостам в сети 10.0.0.0, то зачем нужна внутренняя сеть?
Еще более правильное решение, но требующее обязательно вешанье НАТ на внешний интерфейс. Тогда к внешнему интерфейсу прикручивается два адреса - 190.1.1.111 и 191.0.0.253. Все остальное сидит за НАТом и пользует внутренние адреса. Без постороннего ПО такое делается, по-моему, только в2к сервером, а не рабочей станцией

Цитата:

При этом остается непонятным, куда денется остальная куча (и зачем она нужна в принципе) реальных IP подсети 190.1.0.0/16 ? Если их предполагается раздать хостам в сети 10.0.0.0, то зачем нужна внутренняя сеть?

думаю что эта куча уже занята страдальцами типа него . просто пров па каким то причинам дал ему такую маску .

Lifter

Цитата:

идеологически верное решение - 3-я сетевая, и организация отдельного сегмента для майл/днс, при этом сетевая имеет, например, адрес 191.0.0.253/30, днс имеет адрес 191.0.0.254/30 и шлюз 191.0.0.253. Сетевая № 2 имеет адрес 10.0.0.1/8 (?), все компы в этом сегменте имеют адреса 10.х.х.х /8 шлюз 10.0.0.1. Сетевая № 1 будет иметь адрес 190.1.1.111 /25 (????) шлюз 190.1.1.1.

Все было бы хороше если бы извне была видна внутренняя сетевуха, а ее не видно.
Т.е. проблема не в том как уже с гейта смаршрутизировать на внутреннюю подсеть (в данном случае, я думаю, 3-я сетевая - возможный вариант), а как с внешнего интерфейса смаршрутизировать на внутренний (т.е. с 190.1.1.111 на 191.0.0.253)
Пробовал следующий вариант.
Гейт полностью отключен от сети. Внешний интерфейс имеет адрес 190.1.1.111, внутренний - 191.0.0.253, соответственно. Пинги до внешнего доходят, а до внутреннего - нет.

ooptimum

Цитата:

Хотя... Какого члена? Как у тебя изнутри сети-то и-нет виден, если специализированного софта никакого не установлено?

Используется Internet Connection Sharing. Можно, конечно, и ВинРаут поднять, если невозможно иначе.

zorrack

Цитата:

Используется Internet Connection Sharing.

Ты так и не ответил по поводу IPEnableRouter в HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters.

Цитата:

есть теория , что винды некорректно работают с ip алиасами . добавь третью сетевую карту на 191.0.0.253

ooptimum

Цитата:

Ты так и не ответил по поводу IPEnableRouter в HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters.

Стоит значение 1
Zlobny_John

Цитата:

есть теория , что винды некорректно работают с ip алиасами . добавь третью сетевую карту на 191.0.0.253

А разве есть разница, стоит у меня 2 сетевые карты и на каждой по одному IP адресу или 3 сетевых карты и на каждой по одному IP адресу?

zorrack

Цитата:

есть теория

что есть . В плане маршрутизации . чтобы проверить - поставь первым 191.0.0.253 и попробуй пинг снаружи .

Как уже писал - я попробовал убрать 10,0,0,1 с гейтвея и все упоминания про эту подсеть. Результат не изменился (т.е. алиасов уже нету, а извне внутренняя карточка все равно не пингуется)

тогда

Цитата:

Ты так и не ответил по поводу IPEnableRouter в HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters.

и tracert до 191.0.0.253 в студию

По поводу IPEnableRouter - ответил (стоит значение 0х00000001)

Цитата:

и tracert до 191.0.0.253 в студию

Трасинг от провайдера до 191.0.0.253

Код:
Type escape sequence to abort.
Tracing the route to abc.bcd.cde.net (191.0.0.253)

1 190.1.212.122 20 msec 20 msec 8 msec
2 router.provider.net (190.1.1.1) 12 msec 8 msec 8 msec
3 * * *

меня терзают смутные сомнения.. развейте их... а разве в вин 2к есть маршрутизация???? она по-моему только в серверах.. поправьте меня, если я не прав... Если так.. то это вся конфигурация никогда не заработает по одной простой причине: нет софта.. Поставь вин2К сервер - и подними маршрутизацию...

Klisha
Точно не знаю, но ведь если можно настроить TCP/IP, если можно использовать route add/delete и т.д. ...

Klisha

Цитата:

а разве в вин 2к есть маршрутизация????

Есть. Нет апплета, нет (по-моему; просто лень уточнять) части возможностей НАТ,
а есть служба RRAS.

zorrack


Цитата:

Гейт полностью отключен от сети. Внешний интерфейс имеет адрес 190.1.1.111, внутренний - 191.0.0.253, соответственно. Пинги до внешнего доходят, а до внутреннего - нет.

Не понял, кто от какой сети отключен. И откуда куда пытались пинговать.
Плюс необходимо:
-проверить состояние службы RRAS (маршрутизация и удаленный доступ) (У меня, напр., погашена )) )
-результат route print для данного варианта в студию
- результаты пингования КАЖДОГО из интерфейсов собственно на этой машине.