connect 2 subnets

[SOTIS]

Καλησπέρα σε όλους

Θέλω να ενώσω 2 server οι οποίοι βρίσκονται στο ίδιο φυσικό δίκτυο αλλά έχουν διαφορετικά domain και διαφορετικά subnet.

Μορώ να τους ενώσω με κάποιο τρόπο έτσι ώστε να έχω name resolution?

Θέλω δηλαδή απο ένα client το οποίο ανήκει στο domain του server 1 με ip 192.168.0.x ,να βλέπω τον server 2 ο οποίος έχει ip 200.200.200.x

[naiv_dim]

φιλε μου εδώ θα χρειαστείς ένα "ρουτερακι" k από κει k πέρα θα χρειαστείς να κανεις routing τις ip..

[nske]

Δε ξέρω στα Windows, πάντως σε Linux/*BSD γίνεται πολύ απλά.

[100 010 00]

route add 192.168.0.x mask 255.255.255.0 200.200.200.x

 

καντο batch και τρεχετο στο start up σε οσα pcs θες να βλεπουν το server

[nske]

Αυτό μεταφράζεται:

"Για να επικοινωνήσεις με οποιαδήποτε διεύθυνση ανήκει στο 192.168.0.0/24 subnet (δηλαδή 192.168.0.1 ως .254) χρησιμοποίησε το 200.200.200.χ ως gateway"

 

όμως:

- δε μπορείς να χρησιμοποιήσεις για gateway μια διεύθυνση έξω από το υποδίκτυό σου.

- οι υπολογιστές του δικτύου βρίσκονται ούτως ή άλλως στο υποδίκτυο 192.168.0.0/24, δεν θέλουν (ούτε μπορούν) να χρησιμοποιήσουν gateway για να μιλήσουν με άλλες διευθύνσεις στο 192.168.0.0/24.

- δεν έχει λογική

- το πιο σημαντικό: αν κάτι γίνεται πολύ απλά στα *nix λειτουργικά, στα windows υποχρεωτικά θα έπρεπε να είναι τουλάχιστον δύο τάξεις μεγέθους πιο περίπλοκο

 

@SOTIS:

- Πρόκειται για δύο private δίκτυα (αν ναι είναι άσχημη ιδέα να χρησιμοποιείς public address space);

- Τι ακριβώς θέλεις να πετύχεις;

[100 010 00]

Δε διαφωνω.... για δοκιμη του το εδωσα βασικα να δω αν εχει σκεφτει κατι για το θεμα. Λογω του οτι δεν μπορω να δωσω subnet 0.0.0.0 εγω θα αλλαζα το το δικτυο 200.χχχ.χχχ.χχχ σε 192 για να μπορεσω να του κανω routing ειτε απο το server ειτε κατευθειαν απο τα windows.

 

Ετσι δε νομιζω οτι μπορει να κανει και πολλα πραγματα

[nske]

Ομμμμολογώ ότι δεν καταλαβαίνω!

[MY80-]

Αν δε συμπίπτουν σε κανένα σημείο (πχ, router) τα 2 δίκτυα, θα μπορούσες να βάλεις στο client που θες να βλέπει και τα 2, δεύτερη ip μέσα από το δεύτερο subnet. Επίσης, αν και το 200.200.200.0/24 είναι προς το παρόν unassigned, αν/όταν γίνει κάποτε assigned, δε θα μπορείς να το δεις όπως είναι ρυθμισμένο το δίκτυο σου.

[tech25]

route add 192.168.0.x mask 255.255.255.0 200.200.200.x

 

καντο batch και τρεχετο στο start up σε οσα pcs θες να βλεπουν το server

Οπως σου λεει και ο nske αυτο ειναι λαθος.. (παρεπιπτοντως μπορεις να εχεις και persistent routes. Δεν χρειαζεται εκτελεση καθε φορα)

Αν οπως γραφει ο MY80$ τα τερματικα σου κουμπωνουν σε κοινα switches μπορεις να παιξεις με διπλες IP..

[SOTIS]

Ευχαριστώ για τις απαντησεις

Σε αυτα που προανεφερα έκανα μια αλλαγή.Εχω 2 server με ip 200.200.200.1(server) και 200,200,200,2 (server2)οι οποίοι όμως έχουν διαφορετικά domain name.Θέλω απο ένα client ο που ανήκει στο domain του server, να βλέπω τον server2.Αυτό με τις 2 ip δεν μου κάνει γιατί θέλω να έχω name resolution.Δηλαδή θέλω απο εκτέλεση να τρέχω \\server , \\server2 και να έχω επικοινωνία.Το \\server παίζει γιατί ο client aανήκει όπως είπα στο domain ....

Τι γίνεται όμως με το \\server2????

 

Ελπίζω να έγινα κατανοητός

[100 010 00]

Ετσι οπως ταχεις δεν τη γλυτωνεις την αμφοτερη επικοινωνια, αν κατανοησα σωστα το θεμα σου. Αυτο που σε σωζει μονο ειναι ο καθεις που δεν θελεις να μπει στο server2 να μη γνωριζει τα pass, η να του κοψεις τα admin rights, η να δωσεις στο server2 ip=200.200.0.1 με subnet 255.255.0.0 και στα pcs που θες να βλεπουν server2 να τρεχεις me persistent η χωρις (δικο σου θεμα, γιατι μπορει να μη θες να βλεπουν παντα server2) το παρακατω σε μορφη .bat

 

route add 200.200.0.0 mask 255.255.0.0 200.200.0.1

 

Αυτο με τη προυποθεση οτι τα domain pcs εχουν ips της ταξεως του 200.200.χ.χ

 

Σκεψου, δοκιμασε και πες μας

 

ΥΓ. Χωρις να κοβω και το λαιμο μου, το βλεπω δυσκολο να χανεις το name resolution με τις διπλες ip. Αλλα για να εισαι σιγουρος οτι δε θα το χασεις με τιποτα, απλα δηλωνεις την ip του server στο wins. H μονη ενσταση που εχω για τις διπλες ip, ειναι οτι μπορει να τις χασεις απο το TTL(Time To Live Left), ειδικα αν ο server παιζει και SQL, η αλλα μνημοβορα προγραμματα που cacheαρουν πολυ, εκει το χανεις σιγουρα. Με αυτο το τροπο που σου προτεινω εχω δουλεψει καλα και σταθερα οπου χρειαστηκε. Με τις διπλες ip ειχα τα ανωτερω προβληματα, αλλα να χανω το host ποτε. Καντο και τρεξε nslookup και θα δεις αμεσως.

 

Πιστευω να βοηθησα

[nske]

θέλω να έχω name resolution.Δηλαδή θέλω απο εκτέλεση να τρέχω \\server ' date=' \\server2 και να έχω επικοινωνία.Το \\server παίζει γιατί ο client aανήκει όπως είπα στο domain ....

Τι γίνεται όμως με το \\server2????[/quote']

 

Αν υπάρχει επικοινωνία σε επίπεδο IP, το resolution είναι το λιγότερο. Μερικές λύσεις:

 

α) Σχεδόν σίγουρα θα μπορείς να ρυθμίσεις τον server έτσι ώστε να το εξυπηρετεί με WINS, άσχετα που βρίσκεται σε διαφορετικό domain (δεν έχω χρησιμοποιήσει ποτέ τέτοιες τεχνολογίες του σατανά αλλά θα παραξενευόμουν αν δε γίνεται),

β) ή ίσως μπορείς να ορίσεις στους hosts να χρησιμοποιούν παράλληλα πολλούς WINS servers (server και server2),

γ) αλλά και να μη γίνεται τίποτε από αυτά, δεν είναι ανάγκη να έχεις resolution από το βρωμο-netbios, μπορείς να εξυπηρετήσεις το "server2." από έναν DNS server που θα στήσεις,

δ) ή να βάλεις στατικά την αντιστοιχία στο αρχείο %SystemRoot%/system32/drivers/etc/hosts του κάθε client

 

Το domain είναι άσχετο, το μόνο ζητούμενο είναι να ρυθμίσεις τις υπηρεσίες που θέλεις να παρέχονται κατάλληλα. Μην αυτοπεριορίζεσαι σε τεχνολογίες-πακέτο που δε σου χρειάζονται, αν ξέρεις τι ακριβώς θέλεις τα πράγματα είναι απλά.

 

 

να δωσεις στο server2 ip=200.200.0.1 με subnet 255.255.0.0 και στα pcs που θες να βλεπουν server2 να τρεχεις me persistent η χωρις (δικο σου θεμα' date=' γιατι μπορει να μη θες να βλεπουν παντα server2) το παρακατω σε μορφη .bat

 

route add 200.200.0.0 mask 255.255.0.0 200.200.0.1

 

Αυτο με τη προυποθεση οτι τα domain pcs εχουν ips της ταξεως του 200.200.χ.χ[/quote']

 

Εξακολουθώ να μη σε πιάνω!

Αν έχουν τέτοια διεύθυνση με τέτοια netmask, το 200.200.χ.χ subnet είναι το υποδίκτυό τους, δεν πρόκειται να δρομολογηθούν από πουθενά. Θα βλέπουν τον server απευθείας.

 

ΥΓ. Χωρις να κοβω και το λαιμο μου, το βλεπω δυσκολο να χανεις το name resolution με τις διπλες ip.

Αν κατάλαβα καλά από το 2ο post του SOTIS, πλέον όλα τα μηχανήματα έχουν διευθύνσεις στο ίδιο subnet, δεν πρόκειται να χρησιμοποιήσει διπλές διευθύνσεις. Και ευτυχώς γιατί δεν ήταν καλή πρακτική.

[tech25]

Απο τα posts του sotis δεν φαινεται καθαρα αν υπαρχει domain ή οχι.

Αυτο το λεω για την δεδομενη ή μη υπαρξη DNS στο δικτυο του.

Αν υπαρχει στημενο domain τοτε τα πραγματα ειναι πολυ απλα...

Μια ακομη ζωνη στον DNS με ενα Α Record και τελειωσε το παραμυθι..

(τωρα που το σκεφτομαι ισως να μην χρειαζεται καν δευτερη ζωνη.Ενα απλο Α record στην υπαρχουσα ζωνη θα δουλεψει)

Αν δεν υπαρχει DNS ειτε τον στηνεις, ειτε οπως ειπε ο nske δηλωνεις στατικες καταχωρησεις μεσα στο hosts.

Δεν υπαρχει λογος για Wins (ειναι ελαφρως παρωχημενο)

[100 010 00]

Ναι οκ nske.... το λαθος που εγραψα ειναι οτι ο server2 πρεπει να μπει σε υποδικτυο 255.255.255.0, αλλιως θα φαινετε απο ολους. Κατα τα αλλα θα παιξει

[nske]

Και πάλι δεν θα παίξει, μάλλον τα έχεις καταλάβει μπερδεμένα.

 

Αν κατάλαβα καλά, η ιδέα σου είναι να απομονώσεις τον server2 σε ένα δικό του subnet, ώστε να μπορείς να ελέγξεις ποιοι hosts θα μπορούν να συνδεθούν.

 

Ο Sotis δεν έθεσε ζήτημα ασφάλειας ή ελέγχου, αλλά, αφού το έθιξες, η ιδέα σου θα έπρεπε να υλοποιηθεί ως εξής:

 

- εφ' όσον μιλάμε για διαφορετικά subnets, είναι απαραίτητη δρομολόγηση (routing)

- θα πρέπει το μηχάνημα που θα κάνει τη δρομολόγηση (θα μπορούσε να είναι και ο server1) να έχει διεύθυνση και στα δύο υποδίκτυα. Διαφορετικές διευθύνσεις, διαφορετικά και μη επικαλυπτόμενα subnets, δηλαδή να μην έχουν καθόλου κοινές διευθύνσεις

- θα πρέπει τα δύο υποδίκτυα να βρίσκονται σε διαφορετικά φυσικά δίκτυα, αλλιώς θα ήταν trivial να προσπεράσει ένας host τον όποιο έλεγχο, ορίζοντας απευθείας διεύθυνση στο κατάλληλο υποδίκτυο. Τουτέστιν, δύο κάρτες δικτύου για το μηχάνημα που θα κάνει τη δρομολόγηση, μία για τον server2 και μία για το δίκτυο των hosts.

- θα πρέπει το μηχάνημα αυτό να ρυθμιστεί να κάνει δρομολόγηση (δεν θα την κάνει αυτόματα μόνο του!) και να οριστούν και οι κανόνες φιλτραρίσματος πακέτων για το ποιοι hosts θα επιτρέπεται να επικοινωνούν. Η απόφαση του ελέγχου προφανώς δε μπορεί να λαμβάνεται στους hosts, όπως φαίνεται να εννοείς, αφού αυτούς θεωρούμε αναξιόπιστους και θέλουμε να περιορίσουμε. Θα πρέπει να λαμβάνεται στο μοναδικό κομβικό και έμπιστο σημείο των δύο δικτύων: το μηχάνημα που κάνει τη δρομολόγηση.

- οπότε όλοι οι hosts θα είχαν μονίμως για gateway προς το subnet του server2 αυτό το μηχάνημα (δηλαδή μια persistent route).

 

Δεν θα είχε νόημα να γίνεται διαφορετικά αν θέλουμε να μιλάμε για ασφάλεια ή έλεγχο και όχι για μαλί-κουβάρι-configuration-που-να-φαίνεται-ότι-κάνει-αυτό-που-φανταζόμαστε.

 

Όμως, μιας και μιλάμε για περιορισμό επικοινωνίας προς ένα και μόνο μηχάνημα (server2), δεν έχει κανένα νόημα να μπει στη διαδικασία να κάνει όλα αυτά για να ελέγξει την πρόσβαση σε αυτό (θα είχε μόνο αν ήταν δύο η παραπάνω δίκτυα), μπορεί κάλλιστα να την ελέγξει από κάποιο firewall στον ίδιο τον server2.

 

Μια ακομη ζωνη στον DNS με ενα Α Record και τελειωσε το παραμυθι..

(τωρα που το σκεφτομαι ισως να μην χρειαζεται καν δευτερη ζωνη.Ενα απλο Α record στην υπαρχουσα ζωνη θα δουλεψει)

 

Αν δεν κάνω λάθος, τα μονολεκτικά hostnames (π.χ. "server2") δε γίνονται resolve μέσω DNS αλλά μέσω Netbios. Αν κάνεις query τον DNS server των Windows για το hostname "server2", θα σου απαντήσει "δεν ξέρω", γνωρίζει μόνο το "server2.domain". Οπότε αν ο Sotis θέλει να δίνει απλά "server2" και όχι "server2.domain", για να γίνει μέσω DNS θα πρέπει είτε αυτό το Α record για το server2 να προστεθεί απευθείας στην ζώνη της ρίζας είτε ο dns server να ρυθμιστεί να εξυπηρετεί τυφλά και τα hostnames από το hosts file. Δε ξέρω αν γίνεται κάτι από αυτά τα 2 στον server των Windows, σε άλλους γίνεται.

 

Γι' αυτό και ανέφερα το WINS πρώτα (αν και σίγουρα είναι ένα σάπιο σκουπίδι).