Питання: Паралельна робота двох шлюзів

[Mihas]

Допоможіть, будь-ласка, розрулити наступну ситуацію:

(сам я не є професійним адміном, тому варіантів щось не знаходжу)

Отож, є в наявності:

1. сервер з Win2003 Server

2. канал №1 - лімітований трафік, статичний IP

3. канал №2 - необмежений трафік, динамічний IP (ОГО)

На сервері крутиться FTP-сервер, котрий повинен працювати через 1-у лінію (ведеться прийом даних від стороннього софта, котрий не вміє працювати через DNS), прокинуто порт.

Є потреба поставити на той же сервер-залізяку ще один софтовий сервер (наприклад, web), котрий працював би через 2-гу лінію (через DynDNS), також через прокидання порту.

Чи є якась можливість заставити обидва варіанти працювати паралельно (кожен через свій шлюз). Пряме прописування маршрутів по IP клієнтів FTP-сервера не підходить, бо вони не мають статичних IP, тобто невідомо, з якої адреси будуть підключатися клієнти наступного разу.

Чи є якісь ідеї? Буду дуже вдячний за пораду

[nameless]

Якщо в тебе 2 шлюзи прокидають трафік на сервак, то тобі ніякої маршрутизації не треба прописувати. На лімітованому інтерфейсі дозволь доступ тільки по 21 порту, на безлімітному - тільки по 80. Вхідний ФТП трафік тепер піде тільки лімітованим каналом, ВВВ - тільки безлімітним.

[fog]

Kerio Winroute Firewall.

Любі напрямки, інтерфейси, порти і протоколи.

[Mihas]

Якщо в тебе 2 шлюзи прокидають трафік на сервак, то тобі ніякої маршрутизації не треба прописувати. На лімітованому інтерфейсі дозволь доступ тільки по 21 порту, на безлімітному - тільки по 80. Вхідний ФТП трафік тепер піде тільки лімітованим каналом, ВВВ - тільки безлімітним.

Дякую, попробую. Як то кажуть сусіди "Всё гениальное просто!". А я то два дні голову ламаю...

[Mihas]

Якщо в тебе 2 шлюзи прокидають трафік на сервак, то тобі ніякої маршрутизації не треба прописувати. На лімітованому інтерфейсі дозволь доступ тільки по 21 порту, на безлімітному - тільки по 80. Вхідний ФТП трафік тепер піде тільки лімітованим каналом, ВВВ - тільки безлімітним.

Не пішло...

Проблема в тому, що по замовчанню для вихідного трафіку використовується один зі шлюзів. І якраз для вихідного потрібна паралельна робота. Забув сказати, що ФТП працює в активному режимі. Для того, щоб DynDNS-клієнт працював через 2-й шлюз, ставлю його дефолтним. Тоді ФТП-сервер приймає запит з 1-го шлюза (на 21-й порт), а відповідь надсилає зі свого 20-го порта через дефолтний шлюз (він же 2-й). Тут цей трафік фільтрується (бо він не повинен йти через цей 2-й шлюз) і дані нікуди далі не йдуть. Тобто при блокуванні трафіку на 2-му шлюзі він на 1-й не спрямовується.

Скачав Kerio WinRoute. Зараз пограюся.

Якщо не розберуся (з причини відсутності апаратного адмінсього бубна), то з'явилася ідея виставити дефолтним 1-й шлюз, а для DynDNS настроїти клієнта, котрий вшитиий в 2-й шлюз (думаю звідси йому дорога прямо в інтернет без всякої внутрішньої маршрутизації).

[nameless]

Як в тебе побудована мережа? 2 модеми і комп'ютер включені в свіч чи якось по-іншому?

[Qaz]

Впринципе все зависит от того какой сервис ты хочеш повесить на второй канал, была бы у тебя фрибсд например и ты захотел бы например клиентов в интернет пускать через ого, тогда вообще не проблема. Жаль что у тебя 2003 server

[Mihas]

Впринципе все зависит от того какой сервис ты хочеш повесить на второй канал, была бы у тебя фрибсд например и ты захотел бы например клиентов в интернет пускать через ого, тогда вообще не проблема. Жаль что у тебя 2003 server

Щодо FreeBSD, то воно то добре, але має крутитися деякий специфічний софт (це той, що дані з FTP ловить), котрого під інші ОС не існує (бо він в свою чергу є прошарком ще до одної софтини, котра є виключно під Windows)

Щодо конфігурації мережі, то маємо кілька компів, котрі включені в робочу групу (тобто без доменів). Всі включені в свіч (точніше декілька свічів каскадом). Туди ж включені маршрутизатори (один з них - ADSL-модем), зазначені вище. На сервері одна мережева карта. Взагалі то мережа дещо ширша, але інші частини її проблеми не стосуються...

[SysR]

Помню в мене було таке завдання колись. Розрулити 2 канала, правда в мене фря була для того.

З теорії можу порадити куди копати:

Варіант 1: замутити все на статичному роутінгу (мається на увазі примусово завертати одні сервіси на один шлюз, інші на інший, правда не можу тобі допомогти з віндою, бо не знаю як в ній таке реалізовується ). Так я колись робив. Все було побудовано з ДМЗ (ДеМілітаризованою Зоною) в якій крутилися сервакі. Розрулював все 1 роутер в якого було по мережевій карті на канал.

Варіант 2: Курити щось типу BGP, OSPF.

До речі фряхою можна завернути трафік в середину таким чином що ззовні буде виглядати ніби софт на ній крутиться.

Якщо не секрет а що за софт і що він робить, можливо є безкоштовні аналоги?

[Mihas]

Якщо не секрет а що за софт і що він робить, можливо є безкоштовні аналоги?

Не секрет:

УРБД-майстер + 1С

[SysR]

ІМХО роздавати нет на тачці яка має доступ до бази то небезпечно.

На твоє завдання скажу що без окремого роутера на інет ти не обійдешся. Це може бути комп класу пня2 з 512Мб ОЗУ.

Що до вирішення з роутером то буде так виглядати:

Ставиш роутером по дефолту канал з статикою. Всіх інет-клієнтів твоєї сєтки примусово завертаєш на проксі (transparent proxy). Вихідним ІР на проксі ставиш ІР з каналу ОГО (там де динаміка, може бути ІР твоєї локалкі, треба перевести модем в режим роутера з НАТ) попередньо завернувши трафік з вихідного ІР проксі-сервера на ОГОшний роутер (ним може бути модем в режимі роутера, це щоб не гратася з динамікою УТ).

Наприклад Squid -- проксі для юнікса і вінди є така опція як вихідне ІР

Як розділити/завернути (тільки що навіяло, сам не перевіряв):

На серваку прописуєш 2 підмережі 1у твою, іншу твого ОГОшного модема. Проксі ставиш вихідним ІР з 2ї підмережі. В налаштуваннях підключення прописуєш 2 роутера, дефолтний і ОГОшний, дефолтний має мати вищу метрику (пріорітет) як ОГОшний. Далі по ходу вже як вінда розрулить (теоретично трафік має розїхатися по різних каналаї, веб запити юзерів/проксі в ОГОшний, все інше в дефолтний).

[serega]

Mikrotik RB750G розрулить твою задачу в момент. Ціна питання якихось 700 грн

[nameless]

Для того, щоб DynDNS-клієнт працював через 2-й шлюз, ставлю його дефолтним.

Постав дефолтним перший шлюз і в консолі:

route add <DynDNS-server-IP> <2nd-gateway-IP>

тепер DynDNS-клієнт буде слати пакети на свій сервер через другий шлюз. Взагалі твоя задача вирішується дуже просто, єдине що потрібно - чітко сформулювати поставлену мету. Пиши в ЛС, спробую допомогти вирішити проблему.

[Mihas]

ІМХО роздавати нет на тачці яка має доступ до бази то небезпечно.

Забув вказати, що ця тачка інет не роздає. Для цього є ще третій шлюз, котрий використовується для загального доступу. 1-й та 2-й - виключно для службового користування.

Ну і доступу до основної бази тут теж немає. Використовується лише як транзитний сервер для отримання копій даних з філій. Ну а оскільки рівень завантаження невисокий, то й надумав додати йому трошки обов'язків .

P.S. DynDNS вже працює з вшитого клієнта. Решта вже чекатиме до вихідних (завал на роботі, немає часу гратися...)

P.P.S. З'явилася ще одна ідея - підняти додатковий програмний віртуальний сервер на цій же машині із власними налаштуваннями мережі. Думаю це буде оптимальна ідея. Кожна ОС працюватиме окремо і через свій шлюз і одразу відпадають питання розділення трафіку...

[SysR]

P.P.S. З'явилася ще одна ідея - підняти додатковий програмний віртуальний сервер на цій же машині із власними налаштуваннями мережі. Думаю це буде оптимальна ідея. Кожна ОС працюватиме окремо і через свій шлюз і одразу відпадають питання розділення трафіку...

Віртуалізація -- то річ класна. А в тебе ресурсів на віртуалізацію то вистачить?

Взагалі якщо ти розрулюєш ВЕБ сервіс і можеш його виділити в окрему тачку і є достатньо ресурсів на сервері то можна його підняти і на віртуалі. Тим більше якщо використаєщ щось *нікс подібне то ресурсів багато на віртуал не треба буде.

З коробочних ВЕБ зборок є FreeNAS

[Mihas]

Віртуалізація -- то річ класна. А в тебе ресурсів на віртуалізацію то вистачить?

Взагалі якщо ти розрулюєш ВЕБ сервіс і можеш його виділити в окрему тачку і є достатньо ресурсів на сервері то можна його підняти і на віртуалі. Тим більше якщо використаєщ щось *нікс подібне то ресурсів багато на віртуал не треба буде.

З коробочних ВЕБ зборок є FreeNAS

Ресурсів повинно вистачити. Конфігурація C2D 8400 / 4GB RAM

Зараз при запущеній гостьовій Windows XP утилізація ресурсів не дотягує зазвичай і до 10%. Особливо на цій машині нічого не запускається важкого.

За пропозицію ВЕБ-збірки дякую, але вже є визначений софт, що там крутитиметься (mail-сервер з веб-інтерфейсом)