none
Доступ в частную сеть через NAT извне. Как организовать?

    Вопрос

  • Доброго времени суток, уважаемые. Прошу помощи.

    Имеется сервер предприятия (пусть будет СП, 2012р2). СП имеет доступ к провайдеру, разруливает подсети и т.д. Также имеется Сервер отдела (пусть будет СО, 2012р2). СО настроен как КД, настроен ДНС, имеет 2 сетевых карты:

    • одна смотрит наружу. имеет ip 192.168.100.2, смотрит на СП в 100.1
    • вторая смотрит "внутрь отдела". имеет ip 150.1

    На СО настроен NAT, интернет есть на клиентах СО. Вроде бы всё хорошо, но... Получается, что сеть отдела, вся за СО, является частной, пингов с СП на СО нет. На СП установлена система "Гарант" (справочная, клиент-серверная). Но запустить её я не могу, скорее всего не проходит ответ с СП на клиента в отделе. Также в отделе есть сервер БД (СБД 192.168.150.2) и пара клиентов вне сети отдела, соответственно, они тоже не могут достучаться до СБД.

    Может быть, немного сумбурно. Простите. Подскажите мне: что сделать и настроить, чтобы заработал "Гарант" и клинты СП смогли подключиться к СБД? Куда копать? И возможно ли это средствами ВинСервера? Дополнительную информацию предоставлю, если потребуется.

    16 апреля 2018 г. 13:57

Все ответы

  • Уберите nat, и настройте route для нужных подсетей

    The opinion expressed by me is not an official position of Microsoft

    16 апреля 2018 г. 14:18
    Модератор
  • Общие комментарии:

    Доброго времени суток, уважаемые. Прошу помощи.

    Имеется сервер предприятия (пусть будет СП, 2012р2). СП имеет доступ к провайдеру, разруливает подсети и т.д.

    Т.к. на второй сервере две сетевые карты и NAT, следовательно, СП не так уж и разруливает подсети.

    Также имеется Сервер отдела (пусть будет СО, 2012р2). СО настроен как КД, настроен ДНС, имеет 2 сетевых карты:

    Это не есть хорошо, когда контроллер домена имеет несколько сетей и NAT. Посмотрите эту статью, если у Вас буду какие-либо проблемы с доменом.

    А теперь по делу: если хотите оставить NAT, то надо пробрасывать порты (сами узнаете какие порты использует Гарант и SQL ?). Проброс портов делается в RAS, в свойствах интерфейса, который является внешеним. Вот пример:

    16 апреля 2018 г. 14:52
  • Дело в том, что Отдел, по сути, является "организацией в организации", даже юрлицо отдельное. Поэтому, "подмешиваться" напрямую в сеть Предприятия не сильно хочется, да и не правильно. Говорил с админом Предприятия, предлагает следующий вариант:

    На СО оставляю 1 сетевую карту, AD отдела, DNS; маршрутизацию выкидываю. Указываю для СО в качестве DNS себя, шлюз СП. для клиентов DNS СО, шлюз СП.

    Как думаете, вариант жизнеспособный? Спасибо за ответы

    17 апреля 2018 г. 7:18
  • На СО оставляю 1 сетевую карту, AD отдела, DNS; маршрутизацию выкидываю. Указываю для СО в качестве DNS себя, шлюз СП. для клиентов DNS СО, шлюз СП.

    Как думаете, вариант жизнеспособный? Спасибо за ответы

    я предлагаю Вам более профессиональный вариант:
    - покупаете роутер вроде Mikrotik (подключаете его к интернет провайдеру). На нём настраиватете две сети. Одна для СО, другая для СП. Возможно потребуется свитч на вроде такого.
    - настраиваете правила маршрутизации между сетями
    - настраиваете правила фаервола, чтобы не все могли подключаться к ресурсам сети.

    Что из этого следует: сетями занимается только сетевое оборудование, сервера отвечают только за свои ресурсы.

    А то, что вы описали работать не будет потому, что:

    маршрутизацию выкидываю.
    17 апреля 2018 г. 8:03
  • Не могу я прикупить Микротик, как бы мне этого не хотелось. Свич по типу того, что Вы указали имеется в отделе, на него приходит кабель от СП. Админ СП вряд ли пойдёт на какие-то глобальные изменения (работает - не трогай).

    Ранее всё работало так: кабель от СП приходил на хаб, к хабу подключены были СО, СБД, клиенты. Мы имели выделенную подсеть 100.0. Клиенты и СБД имели следующие настройки: DNS СО, шлюз СО. При этом СО подключался по 1 кабелю, на нём крутилась WS2003, UserGate.

    Про маршрутизацию в целом погорячился. Имел ввиду отключение NAT. Всё равно работать не будет?

    17 апреля 2018 г. 8:19
  • (работает - не трогай)

    это не так. правильнее будет - работает через одно место? меняй, но только понимая, что меняешь.

    Про маршрутизацию в целом погорячился. Имел ввиду отключение NAT. Всё равно работать не будет?
    шансов станет больше, что будет работать. В принципе, самый простой вариант Вам написал Vector BCO. Включаете LAN Routing на CО, а потом на роутере, что смотрит в интернет, добавляете маршрут, что сеть 192.168.150.0/24 находится за 192.168.100.2
    17 апреля 2018 г. 8:28
  • Чтобы понимать о чем речь накидал пару картинок:

    Как было: ipic. su/7yzBqx (пробел убрать)

    Как сейчас: ipic. su/7yzBqB (пробел убрать)

    Что Вы думаете по этому поводу?

    17 апреля 2018 г. 9:32
  • на чёрном фоне очень плохо видно...
    17 апреля 2018 г. 9:58
  • Как было: ipic. su/7yzBuV

    Как сейчас: ipic. su/7yzBuZ

    17 апреля 2018 г. 10:47
  • да, работать будет. Но схема и сложная, нетипичная и небезопасная. А всё из-за того, что у Вас контроллер домена будет заниматься тем, чем не должен (не рекомендуется)

    Как вариант - настроить контроллер домена в виртаульной машине (если ещё нет ниодной виртуальной машины с Windows Server, то лицензии позволят установить одну), а работу с сетями отдать уже железному серверу.

    • Изменено Anahaym 17 апреля 2018 г. 11:02
    17 апреля 2018 г. 11:00
  • оно работает внутри отдела, но из подсетей СП доступа к СБД нет доступа и "гарант" не запускается, так как его сервер расположен во 2 подсети СП. Мы же отгорожены NAT'ом.

    Если я отключу NAT и настрою Routing, проблем с раздачей интернета не возникнет?

    Могу ли в моей топологии сети

    "На СО оставляю 1 сетевую карту, AD отдела, DNS; маршрутизацию выкидываю. Указываю для СО в качестве DNS себя, шлюз СП. для клиентов DNS СО, шлюз СП."

    ?

    Серверная машина одна, на ней в гипер-в поднят КД, ДНС, НАТ. На хостовой ОС поднят SQL, общие папки.

    • Изменено Phoenixoid 17 апреля 2018 г. 11:09
    17 апреля 2018 г. 11:07
  • То есть, можно ли сделать так: ipic. su/7yzBwP    ?
    17 апреля 2018 г. 11:16
  • Если я отключу NAT и настрою Routing, проблем с раздачей интернета не возникнет?

    я уже писал, чтобы не было проблем с интернетом, то маршрутизация настривается не только на СО, но и на СП.

    "На СО оставляю 1 сетевую карту, AD отдела, DNS; маршрутизацию выкидываю. Указываю для СО в качестве DNS себя, шлюз СП. для клиентов DNS СО, шлюз СП." ?
    То есть, можно ли сделать так: ipic. su/7yzBwP
    я так понял - тут вообще одна сеть. 192.168.100.0/24
    17 апреля 2018 г. 12:00
  • я так понял - тут вообще одна сеть. 192.168.100.0/24
    Да, одна, работать в такой конфигурации будет? (где DNS клиентов = СО, а шлюз = СП)
    17 апреля 2018 г. 12:03
  • я так понял - тут вообще одна сеть. 192.168.100.0/24
    Да, одна, работать в такой конфигурации будет? (где DNS клиентов = СО, а шлюз = СП)

    да, будет. только всех клиентов, все сервера подключаете в свитч, а его к СП.

    Доменов у Вас, кстати, сколько? Один или два? Ведь контроллеров домена то два...

    17 апреля 2018 г. 12:16
  • Доменов получается 2. Один для предприятия, другой - мой, отдела. Они не пересекаются.
    17 апреля 2018 г. 12:28
  • если у Вас два домена, то на СО должен быть только его доменный ДНС (сам на себя), а не от СП.
    17 апреля 2018 г. 12:44