Сейчас обсуждают

[forumchanin]

Ребят, я туплю определенно, но подскажите, пожалуйста, тупню, если ПК подключен к локальной сети через обычный свитч, но в качестве основного шлюза будет указан определенный ПК этой сети (равноценный, с точки зрения подключения), то те пакеты. которые предназначены исключительно для курсирования внутри ЛВС ведь не будут проходить через этот шлюзовый ПК?
Т.е. через шлюзовый ПК (и только с конкретной машины, где указан этот шлюз) будут проходить только пакеты, направленные во вне ЛВС (например в Интернет)?
Или все таки любой пакет из ЛВС, если он направляется к ПК (или от него) с прописанным шлюзом, обязательно будет проходить и через шлюзовый ПК тоже?

Сообщение отредактировал forumchanin - 28.6.2015, 15:05

[Jek]

Тут всё зависит от того, насколько тупые устройства используются в сети и какие пакеты отправляются.

Широковещательные пакеты всегда отправляются во все порты сетевого оборудования. Поэтому если ты, например, поинтересуешься MAC-адресом какого-нибудь айпишника - этот пакет попадёт на все железки внутри твоего бродкастового домена.

С остальными пакетами не так просто. В 21 веке практически все коммутаторы оснащены таблицей MAC-адресов, в которой хранится информация о том, какой MAC-адрес на каком порту отозвался. Если это твой случай - тогда коммутатор не будет слать пакеты в те порты, где нет получателя. Но можно нарваться на какое-нибудь древнее устройство, которое шлёт всё всем без разбора.

[forumchanin]

Тут всё зависит от того, насколько тупые устройства используются в сети и какие пакеты отправляются.

Железяка - D-Link DES-1016D.

Широковещательные пакеты всегда отправляются во все порты сетевого оборудования. Поэтому если ты, например, поинтересуешься MAC-адресом какого-нибудь айпишника - этот пакет попадёт на все железки внутри твоего бродкастового домена.

С остальными пакетами не так просто. В 21 веке практически все коммутаторы оснащены таблицей MAC-адресов, в которой хранится информация о том, какой MAC-адрес на каком порту отозвался. Если это твой случай - тогда коммутатор не будет слать пакеты в те порты, где нет получателя. Но можно нарваться на какое-нибудь древнее устройство, которое шлёт всё всем без разбора.

Что бы прям конкретно подойти к вопросу опишу почти подробно.

Есть коммутатор ^ к которому равноценно подключены ПК и, скажем так, Интернет.

Есть ПК - сервер. На нем имеются две службы, которые взаимодействуют с СУБД MS SQL Server.
Одна служба получает и передает запросы исключительно в рамках ЛВС. Вторая формирует запросы к SQL (с помощью планировщика) и отправляет их по VPN, на базе VipNet. Сам Vipnet предполагается установить на один из ПК в ЛВС (шлюзовый).

Нужно что бы та служба, которая работает в рамках ЛВС, так и продолжала работать в ЛВС, а вторая, используя конкретный виртуальный адрес, отправляла их сначала на шлюзовый ПК (с VipNet), где шифровала и потом передавала по назначению в рамках VPN за пределы ЛВС.

Я так понимаю, что если на сервере не прописать в качестве основного шлюза IP ПК-Vipnet, то локальная служба без проблем будет через коммутатор пересылать пакеты внутри ЛВС, а вот вторая, скорее всего, не поймет куда же отправлять те пакеты, которые имеют конкретный виртуальный адрес.

Если прописать на сервере в качестве основного шлюза IP ПК с VipNet, то служба работающая с VPN, в этом случае, думаю найдет, куда отправить пакет.

Опасение в том, что не потеряется ли первая, локальная служба? Не начнет ли она слать пакеты от сервера на ПК-VipNet {а поскольку там будет стоять режим - пропускать только пакеты предназначенные для VPN, то локальные пакеты не будут доходить до адресата в ЛВС.}, вместо того что бы через коммутатор передавать их на обычные ПК, откуда пришел запрос, даже и не попадая на шлюзовый ПК?

Вот.

Сообщение отредактировал forumchanin - 1.7.2015, 2:01

[Jek]

Железяка - D-Link DES-1016D

Код

Размер таблицы МАС-адресов: 8K

Ну т.е. MAC-таблица в нём есть. Шлёт пакеты только в правильные порты.

Есть коммутатор ^ к которому равноценно подключены ПК и, скажем так, Интернет.

Интернет? К коммутатору? Нафига? Хвост от провайдера надо напрямую подключать в железку, раздающую интернет. Например, в роутер. Иначе возможны некоторые нежелательные явления.

Я так понимаю, что если на сервере не прописать в качестве основного шлюза IP ПК-Vipnet, то локальная служба без проблем будет через коммутатор пересылать пакеты внутри ЛВС, а вот вторая, скорее всего, не поймет куда же отправлять те пакеты, которые имеют конкретный виртуальный адрес.

Если ты не пропишешь шлюз - устройство сможет отправлять пакеты только на железки в той же сети. Например, если ты пропишешь на сетевой карте два IP-адреса - 192.168.10.5/24 и 10.77.186.91/24 - а шлюз по умолчанию при этом не укажешь, тогда ты сможешь отсылать пакеты только на сети 192.168.10.0/24 и 10.77.186.0/24.

Если прописать на сервере в качестве основного шлюза IP ПК с VipNet, то служба работающая с VPN, в этом случае, думаю найдет, куда отправить пакет.

Если пакет должен добраться до фигни под названием VipNet - основной шлюз как бы не нужен. Достаточно, чтобы на этой фигне и на компьютере, который будет общаться с этой фигнёй, были IP-адреса из одной сети.

Если нужно наладить коммуникацию с какими-то другими сетями через этот VipNet (я так понимаю это какая-то фигня типа OpenVPN?) - тогда уже придётся заморачиваться с маршрутизацией. Шлюз по умолчанию, конечно, будет самым простым вариантом (если на компьютере с двумя службами не нужен интернет), но не всегда самым лучшим.

Наличие/отсутствие основного шлюза никак не сказывается на доступности локальной сети.

Для правильного решения тебе понадобится ТЗ, схема сети с адресацией и много пива .

[forumchanin]

Код

Размер таблицы МАС-адресов: 8K

Ну т.е. MAC-таблица в нём есть. Шлёт пакеты только в правильные порты.

Ну, да.

Интернет? К коммутатору? Нафига? Хвост от провайдера надо напрямую подключать в железку, раздающую интернет. Например, в роутер. Иначе возможны некоторые нежелательные явления.

Я же написал, для упрощения "скажем так", на самом деле, прежде чем уйти к провайдеру и обратно, пакеты проходят через ряд железяк общей стоимостью (в сегодняшней расценки) около 300 т.р.
Так. что тут вопросов - нет.

Если пакет должен добраться до фигни под названием VipNet - основной шлюз как бы не нужен. Достаточно, чтобы на этой фигне и на компьютере, который будет общаться с этой фигнёй, были IP-адреса из одной сети.

Если нужно наладить коммуникацию с какими-то другими сетями через этот VipNet (я так понимаю это какая-то фигня типа OpenVPN?) - тогда уже придётся заморачиваться с маршрутизацией. Шлюз по умолчанию, конечно, будет самым простым вариантом (если на компьютере с двумя службами не нужен интернет), но не всегда самым лучшим.

Наличие/отсутствие основного шлюза никак не сказывается на доступности локальной сети.

Погоди, Джек, малость запутался.
VipNet он хоть и находится в одной ЛВС с Сервером, однако пакеты к нему будут отправляться исключительно по адресам, скажем, 10.0.0.1, 10.0.0.22 (подобное будет конкретно прописано в конфиге приложения-службы), т.о. приложение должно будет точно знать куда слать эти пакеты, т.е. если бы это приложение отправляло пакеты, скажем, на адрес 192.168.1.5 (адрес шлюза с VipNet'ом в ЛВС), то он бы нашел его без ОШ, согласно таблице маршрутизации, а так будет тыкаться пытаясь найти где же начинается эта виртуальная сеть с -IP-адресацией 10.0.0.0/24/ а находиться она на ПК с тем самым IP 192.168.1.5.

я так понимаю это какая-то фигня типа OpenVPN?

Да, нет. Здесь софтина от конкретного Российского разработчика. Не буду рекламировать, но VipNet - он один такой.

Сообщение отредактировал forumchanin - 3.7.2015, 2:32

[Jek]

VipNet он хоть и находится в одной ЛВС с Сервером, однако пакеты к нему будут отправляться исключительно по адресам, скажем, 10.0.0.1, 10.0.0.22

192.168.1.5 будет строить VPN до сети 10.0.0.0/24? Тогда правильно было бы примерно так:

C:\>route -p add 10.0.0.0 mask 255.255.255.0 192.168.1.5

Если на сервере нет основного шлюза - можно не заморачиваться и забить туда 192.168.1.5.

Сообщение отредактировал Jek - 3.7.2015, 8:46

[forumchanin]

192.168.1.5 будет строить VPN до сети 10.0.0.0/24? Тогда правильно было бы примерно так:

C:\>route -p add 10.0.0.0 mask 255.255.255.0 192.168.1.5

Если на сервере нет основного шлюза - можно не заморачиваться и забить туда 192.168.1.5.

Джек, вообще, мы ушли в некоторые дебри: изначально речь шла о том, что если поставить на Сервере основной шлюз, то будут ли ВСЕ пакеты исходящие с Сервера проходить через ПК-шлюз или только те, которые направляются к узлам, находящимся вне ЛВС (в данном случае это узлы VPN). Из всего, что выше я пришел к выводу, точнее привел мысли в порядок, что нет не будут. Что Свитч будет отправлять пакеты в ЛВС, согласно своей таблицы маршрутизации, а если адрес будет не из подсетке, то только тогда пакеты полетят к шлюзовуму ПК.

Так вот, зайдя в некоторые дебри, вышли на неожиданную полянку - мысль.

А если поступить так:
В качестве шлюза по умолчанию оставить тот, который является IP порта ..гм, в общем на границе ЛВС и другого сегмента физической сети.
При этом с помощью команды:

Код

route -p add 10.0.0.X mask 255.255.255.0 192.168.1.5

в таблицу маршрутизации ОС Windows 7 Pro добавить отдельные маршруты, которые будут отвечать за пересылку конкретных пакетов, идущих к узлам подсети 10.0.0.0/24 через шлюз 192.168.1.5.

Таким образом можно будет решить задачу:
Во-первых, на сервере будет Интернет потому что шлюзом по прежнему будет IP железяки, которая отвечает за Интернет (в противном случае VipNet блокировал бы все соединения, кроме защищенных - таковы будут настройки это софтины).
Во-вторых, те пакеты, которые направляются не прямо в интернет, а к узлам VPN, они пойдут по маршруту

Код

route -p add 10.0.0.X mask 255.255.255.0 192.168.1.5

и все будет как надо.

И ли всё не так? {ребята }

Сообщение отредактировал forumchanin - 3.7.2015, 21:49

[Jek]

Джек, вообще, мы ушли в некоторые дебри: изначально речь шла о том, что если поставить на Сервере основной шлюз, то будут ли ВСЕ пакеты исходящие с Сервера проходить через ПК-шлюз

Ну дык это как бы азы сетей, я до них не опускался . Основному шлюзу отправляются только те пакеты, у которых в качестве получателя указан IP-шник, не входящий в локальную сеть и не прописанный в каких-то других маршрутах. Т.е. если тебе нужен на сервере и доступ в интернет, и доступ куда-то в жопу мира через VipNet - ты можешь указать шлюзом по умолчанию железку, выпускающую в интернет, и добавить маршрут до сети 10.0.0.0/8 через VipNet.

А вообще лучше озадачь вашего системного администратора .

Сообщение отредактировал Jek - 3.7.2015, 22:27

[zaikaзоп]

Это зависит от самого хаба который вам установили и модема к которому непосредственно подаётся сигнал от хаба.
Если хаб старый, Liновский, можете проверить сами, их обычно на чердаках устанавливают. Если чердак открытый дерзайте, если нет, попросите ЖКХ предоставить вам ключи от замка.

[Jek]

А вообще лучше озадачь вашего системного администратора .

Кстати, ищу работу .

[forumchanin]

Jek, спасибо большое!