https://opennet.dev/openforum/vsluhforumID6/21242.html Здравствуйте!<br>Возникла передо мной нетривиальная задача, тем более, что я ещё не совсем профессионал в настройках маршрутизаторов, начинающий пользователь так сказать.<br>Схемка прилагается - http://www.sinor.ru/~pdn_mail/proekt.jpg<br>Итак, есть у нас корпоративная сеть. Её адресация начинается с 172.20.0.0/16 и пошла биться на подсети. В том числе в "Нашей конторе" есть ЛВС1 и присвоеная ей сеть 172.24.100.0/24, и также в нашем "Филиале нашей конторы" (попросту филиале) ЛВС1 с присвоеной сетью 172.24.101.0/24. Вся маршрутизация между ЛВС1 московской конторы, нашей и филиалом, осуществляется с помощью корпоративных маршрутизаторов, к которым у меня нет никакого доступа. Пакеты между станциями из ЛВС1 филиала ходят как в ЛВС1 нашей конторы так и в ЛВС1 москвы и обратно естественно. ЛВС1 защищены файерами, за стенкой только маршрутизаторы.<br><br>Так вот, нам понадобилось (по своим причинам) сделать независимую сеть для мобильных клиентов. Т.е. ввести в строй распределённую ЛВС2 в нашей конторе и филиале, так чтобы м https://opennet.dev/openforum/vsluhforumID6/21242.html#8 Sun, 18 Jul 2010 16:52:08 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Вопрос остался, как рисовать сеть в конторе и филиале? <br>&gt;1. в конторе сеть 192.168.1.0/24, а в филиале 192.168.3.0/24 <br>&gt;или <br>&gt;2. в конторе - 192.168.1.0/24, и в филиале 192.168.1.128/25 <br>&gt;или <br>&gt;3. в конторе - 192.168.0.0/16, и в филиале 192.168.3.0/24 <br>&gt;<br>&gt;Как будет правильней, чтобы нормально VPN работал? или всё правильно, и лишь <br>&gt;дело вкуса какую сеть нарисовать? <br><br>Если говорить только про адресацию, то тут нужно помнить про суммирование маршрутов.<br>Тогда получается что например в центральном офисе все сети можно описать суммой 192.168.0.0/19, в филиале &#8470;1 192.168.32.0/19 и так далее.<br>Или проще для наглядности использовать сеть 10.0.0.0/8 и дробить ее на каждый филлиал с маской /16.<br> https://opennet.dev/openforum/vsluhforumID6/21242.html#7 Thu, 08 Jul 2010 05:43:04 GMT &gt;В нормальных конторах местные админы за подобные вещи обычно по шапке получают, <br>&gt;если обнаруживается необснованный гейт в корпоративной сети. Я бы начала на <br>&gt;вашем месте очень серьезно подумал. <br><br>Нет не получу, иначе бы даже пробовать не стал.<br><br>Вопрос остался, как рисовать сеть в конторе и филиале?<br>1. в конторе сеть 192.168.1.0/24, а в филиале 192.168.3.0/24<br>или <br>2. в конторе - 192.168.1.0/24, и в филиале 192.168.1.128/25<br>или <br>3. в конторе - 192.168.0.0/16, и в филиале 192.168.3.0/24<br><br>Как будет правильней, чтобы нормально VPN работал? или всё правильно, и лишь дело вкуса какую сеть нарисовать?<br> https://opennet.dev/openforum/vsluhforumID6/21242.html#6 Mon, 05 Jul 2010 17:54:22 GMT &gt;[оверквотинг удален]<br>&gt;пока ещё мысли не оформились. Думаю что наверное надо прикрутить статическую <br>&gt;маршрутизацию, только как? чтобы это всё ходило и мобильные пользователи филиала <br>&gt;работали на сервере конторы в ЛВС2, может есть ещё способы. <br>&gt;<br>&gt;В общем вот он и вопрос, такое вообще можно сделать в принципе <br>&gt;и какая примерно должна быть конфигурация на дополнительном маршрутизаторе в конторе <br>&gt;и филиале? Помним что маршрутизаторы корпоративки мы трогать не можем. Ну <br>&gt;и в будущем возможно эта схема будет масштабироваться на другие конторы. <br>&gt;<br>&gt;Помогите пожалуйста, если возможно то и с примером конфигурации. <br><br>В нормальных конторах местные админы за подобные вещи обычно по шапке получают, если обнаруживается необснованный гейт в корпоративной сети. Я бы начала на вашем месте очень серьезно подумал. <br> https://opennet.dev/openforum/vsluhforumID6/21242.html#5 Sat, 03 Jul 2010 05:57:38 GMT Спасибо! Значит всё должно получиться.<br>&gt;&gt;Это получается надо VPDN на cisco подымать? <br>&gt;<br>&gt;Зачем, сделайте туннель между маршрутизаторами ЛВС2, так как у вас нет доступа <br>&gt;к корпоративным маршрутизаторам <br>&gt;Только IP адреса должны быть разными в разных сегментах ЛВС2 <br><br>На схеме проекта у меня в конторе и филиале в ЛВС2 они разные, в конторе сеть 192.168.1.0/24, а в филиале 192.168.3.0/24. Но тут видимо я могу ошибаться, в филиале надо бы наверное рисовать подсеть 192.168.1.128/25 (ну или в конторе сразу 192.168.0.0/16), или это без разницы, можно просто иметь разные сети как на схеме и одну выделить для VPN?<br> https://opennet.dev/openforum/vsluhforumID6/21242.html#4 Fri, 02 Jul 2010 12:10:54 GMT &gt;Это получается надо VPDN на cisco подымать? <br><br>Зачем, сделайте туннель между маршрутизаторами ЛВС2, так как у вас нет доступа к корпоративным маршрутизаторам<br>Только IP адреса должны быть разными в разных сегментах ЛВС2 <br><br>&gt;а на других маршрутизаторах (H3C, <br>&gt;Nortel) авторизация по radius из филиала просто через VPN делается? <br><br>через туннель можно настроить <br><br>&gt;<br>&gt;Ещё такой вопрос, какие простые маршрутизаторы можете посоветовать, чтобы можно было модемный <br>&gt;пул до 4 модемов организовать? Не обязательно cisco, но чтобы мог <br>&gt;с ним в паре проброску авторизации через VPN делать. <br><br>не знаю<br><br> https://opennet.dev/openforum/vsluhforumID6/21242.html#3 Fri, 02 Jul 2010 09:28:49 GMT Это получается надо VPDN на cisco подымать? а на других маршрутизаторах (H3C, Nortel) авторизация по radius из филиала просто через VPN делается?<br><br>Ещё такой вопрос, какие простые маршрутизаторы можете посоветовать, чтобы можно было модемный пул до 4 модемов организовать? Не обязательно cisco, но чтобы мог с ним в паре проброску авторизации через VPN делать.<br> https://opennet.dev/openforum/vsluhforumID6/21242.html#2 Thu, 01 Jul 2010 06:22:28 GMT &gt;Тут вот подумал ещё. Надо будет наверное RIP отключить на дополнительных маршрутизаторах, <br>&gt;чтобы они не мешали работе корпоративных маршрутизаторов и всё сделать статическими <br>&gt;маршрутами. Ну ещё конечно можно маршрутизаторы попроще, но пока есть только <br>&gt;такие, да это и не важно, главное принцип работы. <br><br>vpn<br> https://opennet.dev/openforum/vsluhforumID6/21242.html#1 Wed, 30 Jun 2010 14:23:51 GMT Тут вот подумал ещё. Надо будет наверное RIP отключить на дополнительных маршрутизаторах, чтобы они не мешали работе корпоративных маршрутизаторов и всё сделать статическими маршрутами. Ну ещё конечно можно маршрутизаторы попроще, но пока есть только такие, да это и не важно, главное принцип работы.<br><br><br>