none
windows 2k8 r2 64 bit routing vpn RRS feed

 > 

  • Domanda

  • Question
    Registrati per votare
    0
    Registrati per votare
    Buon Giorno,


    Descrizione della dominio (unico).

    sede A 192.168.1.0/24 mask 255.255.255.0 GWT per internet 192.168.1.1 GWT 192.168.1.190 per la VPN con la sede S

    il dominio e' sulla classe 192.168.1.0/24

    Server2k8dc02 (32bit) DC - GC - DNS - Roming profiles IP: 192.168.1.252 mask 255.255.255.0 GWT 192.168.1.1 DNS: 192.168.1.252

    route -p add 192.168.2.0 mask 255.255.255.0 192.168.1.190


    Sede S 192.168.2.0/24 mask 255.255.255.0 GWT VPN 192.168.2.190  GWT internet 192.168.1.1

    il dominio e' sulla classe 192.168.1.0/24

    server2k8r2dc01 (64bit) DC - GC - DNS - Roming profiles

    ip: 192.168.1.253 mask 255.255.255.0 GWT 192.168.1.1 DNS: 192.168.1.253

    ip: 192.168.2.253 mask 255.255.255.0

    route  -p add 192.168.1.252 mask 255.255.255.255 192.168.1.190


    Posso dalla Sede A pingare/vedere la rete della classe 192.168.2.0/24 compreso il server che si trova nell'altra sede.

    dalla Sede S posso vedere il server2k8dc02 solo dal server2k8r2dc01 dove e' attiva la route statica, mentre da tutti gli altri pc non posso raggiungerlo.

    premesso che non posso far cambiare il gwt della sede S in classe 192.168.2.1 per motivi burocratici, che cosa succede al dominio?

    ogni sede ha un server ed i client puntano al server della sede, i due server si vedo fra di loro...

    Domanda:

    1) possono nascere dei problemi con questa configurazione?

    2) c'e' modo di ottimizzarla?


    grazie mille per qualsiasi informazione data.
    sabato 24 luglio 2010 09:06
    |

Risposte

  • Question
    Registrati per votare
    0
    Registrati per votare

    Ciao.

    Le configurazioni che hai postato non hanno molto senso.

    Sulla sede remota il DC ha due indirizzi, uno della rete 192.168.2.0 (senza gateway) e uno della rete 192.168.1.0 (che però è anche sulla sede remota) ?

    E come fa 192.168.1.190 ad essere visibile su entrambi le sedi ?

    Inoltre, i client della rete 192.168.2.0 come fanno a vedere il gateway internet (192.168.1.1) ?

    COMUNQUE, fermo restando che il routing sembra pensato da Forrest Gump, i consigli sono

    Per la domanda 1 : è come non avere due sedi e due D.C.

    Se ti muore il server locale, sei buggerato.

    Per la domanda 2:

    a) creare un sito Active Directory per la rete 192.168.2.0 in modo che i clients utilizzino di preferenza i servizi locali

    b) OVVIAMENTE fare in modo che i clients della rete 192.168.2.0 possano raggiungere la rete 192.168.1.0 anche a server locale spento e viceversa (a costo di mettere route statiche su tutti i PC)

    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Administrator (FCNSA)
    sabato 24 luglio 2010 14:16
    |

Tutte le risposte

  • Question
    Registrati per votare
    0
    Registrati per votare

    Ciao.

    Le configurazioni che hai postato non hanno molto senso.

    Sulla sede remota il DC ha due indirizzi, uno della rete 192.168.2.0 (senza gateway) e uno della rete 192.168.1.0 (che però è anche sulla sede remota) ?

    E come fa 192.168.1.190 ad essere visibile su entrambi le sedi ?

    Inoltre, i client della rete 192.168.2.0 come fanno a vedere il gateway internet (192.168.1.1) ?

    COMUNQUE, fermo restando che il routing sembra pensato da Forrest Gump, i consigli sono

    Per la domanda 1 : è come non avere due sedi e due D.C.

    Se ti muore il server locale, sei buggerato.

    Per la domanda 2:

    a) creare un sito Active Directory per la rete 192.168.2.0 in modo che i clients utilizzino di preferenza i servizi locali

    b) OVVIAMENTE fare in modo che i clients della rete 192.168.2.0 possano raggiungere la rete 192.168.1.0 anche a server locale spento e viceversa (a costo di mettere route statiche su tutti i PC)

    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Administrator (FCNSA)
    sabato 24 luglio 2010 14:16
    |
  • Question
    Registrati per votare
    0
    Registrati per votare
    Ciao Francesco Volpe,

    la vpn che unisce la sede A con la sede S e cosi strutturata:

    sede A 192.168.1.0/24 gateway per la vpn 192.168.1.190 e gateway per l'adsl 192.168.1.1

    sede S 192.168.2.0/24 gateway per la vpn 192.168.2.190 e gateway per l'adsl 192.168.1.1

    a secondo del gateway che metto nella scheda di rete posso uscire su internet e NON vedere le macchine che stanno dall'altra parte della VPN oppure vedere le macchine della VPN e non uscire su internet.

    [cut]

    Sulla sede remota il DC ha due indirizzi, uno della rete 192.168.2.0 (senza gateway) e uno della rete 192.168.1.0 (che però è anche sulla sede remota) ?

    [...]

    Sulla Sede S ho dovuto mettere sul DC due indirizzi ip per farsi che possa utilizzare la VPN per vedere il DC che si trova nella Sede A.

    Sul DC della Sede S ho creato una route -p add 192.168.1.252 mask 255.255.255.255 192.168.2.190

    [cut]
    b) OVVIAMENTE fare in modo che i clients della rete 192.168.2.0 possano raggiungere la rete 192.168.1.0 anche a server locale spento e viceversa (a costo di mettere route statiche su tutti i PC)
    [...]

    hai perfettamente ragione... mettere route statiche su tutti i pc della sede S e' impossibile perche' sono su due classi diverse e quindi dovrei mettere su tutte le macchine 2 ip.

    vedo di far pressione all'isp che gestisce la VPN per far modificare il GWT della Sede S da 192.168.1.1 a 192.168.2.1 cosi da poter funzionare tutto.

    grazie mille.
    domenica 25 luglio 2010 12:41
    |
  • Question
    Registrati per votare
    0
    Registrati per votare
    Ciao Francesco Volpe,


    Quando vedrò Francesco lo saluterò per te :-P

    C'è qualcosa (di base) che non torna nel modo in cui "pensi" alle VPN.

    Mi spiego meglio : tu hai un gateway per ciascuna rete che fa da "terminatore" per la VPN.

    NON ha senso che tu debba mettere un ip della rete 192.168.1.0 su macchine della rete 192.168.2.0 per poter raggiungere l'altra subnet.

    Tutto ciò che devi fare è mettere il gateway locale (diciamo ad esempio 192.168.2.190) come percorso verso l'altra rete (ad esempio 192.168.1.0 mask 255.255.255.0 192.169.2.190).

    A quel punto è il gateway che conosce il percorso (cioè il tunnel VPN) e fa arrivare il traffico di rete a destinazione.

    Per il discorso di chi può raggiungere una rete dall'altra, se vuoi "chiudere" alcune postazioni nella loro lan locale, basta mettere dei filtri sul router / gateway che collega la VPN.

    La singola subnet spezzata su due diverse sedi (ovvero le "subnet overlapping") sono una situazione che si cerca di evitare.

    Che per voi sia uno standard, mi risulta strano.

    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Administrator (FCNSA)
    domenica 25 luglio 2010 14:22
    |