Доброго времени суток!

После долгого и упорного поиска в сети решение найдено не было, возможно я не так задаю запрос
(каюсь если это так и за злостное размещение бесполезных и лишних сообщений).

Сначала опишу сеть:

Есть два сегмента сети, адресное поле которых 10.10.10.* (внутренний адрес), в обоих сетях есть шлюз 10.10.10.1,
в первом сегменте за него стоит двухсетевой комп, во второй стоит обычный рутер.

Между ними есть районная сеть с адресами 192.160.1.1 (1 внешний адрес) и 192.161.2.1 (2 внешний адрес)
В районной сети нет ограничений, экранов, файрволлов и запретов (нам разрешено все)

В сети есть один комп на базе W 2003 с AD, 4 компа на базе W 2K, 3 компа на базе ML PP 2011 Spring, остальные на базе W XP SP 3.

Первый сегмент имеет два шлюза интернета (оба на базе 2 сетевого компа,) один комп смотрит в инет с 3 внешним адресом и внутрь с адресом 10.10.10.1 (большего от него не требуется), второй комп смотрит в инет с 1 внешним адресом и внутрь с адресом 10.10.10.2 он то и нужен.
В первом сегменте присутствуют порядка 15 компов в домене, остальные сидят в рабочей группе.


Второй сегмент имеет один шлюз (банальный рутер) со 2 внешним адресом и вовнутрь он смотрит адресом 10.10.10.1, все компы на базе W XP SP3 сидят в рабочей группе (за отсутствием доступа к AD).

Все порты проброшены с обоих сторон, между, как говорилось выше, ничего не мешает, внешние IP выданы и привязаны к маку. (сменить не возможно)

Задача: обеспечить доступ ко всем сетевым компам обоих сегментов сети посредством районной сети, без применения VPN канала.

Проблема:
нет доступа к ресурсам даже между двумя компами в районной сети (1 и 2 внешние адреса) даже при обращении по IP адресу и при организации VPN канала.
С обоих сторон внешние адреса пингуются и если задать их в качестве ID в TV можно получить управление компом, в добавок просто указав внешний адрес поднять VPN (по которому я собственно и сижу сейчас в инете :) )

Помогите, плз, решить эту проблему, хотя бы подскажите куда биться....

Помогите, плз, решить эту проблему, хотя бы подскажите куда биться.... »
В любой графический редактор, позволяющий нарисовать схему сети

ок, я на эту тему думал, пардонс, выложим

Спасибо что напонили, вот схема сети:
http://res.nasgur.ru/files/gif_1.gif

По твоей схеме, "Шлюзе №3" не должен видеть "Шлюзе №2" ну и наоборот.
Возьмем за исходные данные.
Слева сеть 10.10.10.* = "Сеть А"
Слева сеть 10.10.10.* = "Сеть В"

Они одинаковые почему?
Сделай так.
"Сеть В" = 10.10.20.*
На "Шлюзе №3" сделать маршрутизацию что "Сеть А" маска (ну пусть будет 24) шлюз. 192.160.1.1 (если на шлюз на винде то как то так route add 10.10.10.0 mask 255.255.255.0 192.160.1.1)
На "Шлюзе №2" сделать маршрутизацию что "Сеть B" маска (ну пусть будет 24) шлюз. 192.161.2.1 (если на шлюз на винде то как то так route add 10.10.20.0 mask 255.255.255.0 192.161.2.1)

Все должно заработать. проверяй сначала все на шлюзе. (Ну или можешь на каком нить выделенном компе)

Задача: обеспечить доступ ко всем сетевым компам обоих сегментов сети посредством районной сети, без применения VPN канала
Вообще-то, именно VPN-каналом нужно связать оба маршрутизатора (шлюза).
Ваши подсети не должны принадлежать одному диапазону.

нет доступа к ресурсам даже между двумя компами в районной сети (1 и 2 внешние адреса) даже при обращении по IP адресу и при организации VPN канала
Поясните.

На "Шлюзе №3" сделать маршрутизацию что "Сеть А" маска (ну пусть будет 24) шлюз. 192.160.1.1 (если на шлюз на винде то как то так route add 10.10.10.0 mask 255.255.255.0 192.160.1.1)
На "Шлюзе №2" сделать маршрутизацию что "Сеть B" маска (ну пусть будет 24) шлюз. 192.161.2.1 (если на шлюз на винде то как то так route add 10.10.20.0 mask 255.255.255.0 192.161.2.1) »
Не получится. Адреса 192.160.1.1 и 192.161.2.1 - "белые", то есть принадлежат адресному пространству Интернета, а и Сети A и B - "серые" и находятся за NAT'ом.
То есть в любом случае для передачи информации между A и B нужен шифрованный канал связи, то есть VPN


Они одинаковые почему?
Сделай так.
"Сеть В" = 10.10.20.* »

Далее, на всех устройствах сети A, которые будут взаимодействовать с устройствами сети B, нужно прописать маршрут к сети B через маршрутизатор A. И наоборот. Проще всего это сделать через DHCP.

По твоей схеме, "Шлюзе №3" не должен видеть "Шлюзе №2" ну и наоборот.
Возьмем за исходные данные.
Слева сеть 10.10.10.* = "Сеть А"
Слева сеть 10.10.10.* = "Сеть В"
Они одинаковые почему? »
одинаковые из-за наличия трех маятниковых ноутов, которые перемещаются между сегментами, DHCP в сети отключен, ввиду наличия Wi-Fi, и для удобства пользователей не нужды перенастраивать шлюз.

Цитата massner:
нет доступа к ресурсам даже между двумя компами в районной сети (1 и 2 внешние адреса) даже при обращении по IP адресу и при организации VPN канала
Поясните. »
Поясняю, пробовалось поднять канал напрямую между двумя компами подключенными напрямую к районной сети, ни один, ни другой комп не показал свои ресурсы, на по netbios, ни по ip, даже при VPN канале, сами компы прекрасно смотрятся вниутри локальной сетке.

одинаковые из-за наличия трех маятниковых ноутов, которые перемещаются между сегментами, »
Чаво?

DHCP в сети отключен, ввиду наличия Wi-Fi »
Почему? Потому что гладиолус! :)

На самом деле отключать DHCP вне зависимости от наличия/отсутствия WiFi требует только религиозное мировоззрение админа и/или директора. Разумных причин этому нет.
1. Отключить религиозное мировоззрение
2. Включить DHCP
3. ...
4. Profit!!!

Объясняю вышесказанное.
отсутствие DHCP-сервера никак не помешает злоумышленнику самостоятельно указать нужные настройки IP вручную.
Достаточно просто подключиться к сети WiFi на первом уровне протокола TCP/IP, а уж определить используемый диапазон адресов путём перехватывания пакетов совсем не сложно :)
Так что для защиты сети нужно указать режим шифрования сигнала (WPA/WPA2) с паролем посложнее, а ещё можно задать привязку по MAC-адресам.


Поясняю, пробовалось поднять канал напрямую между двумя компами подключенными напрямую к районной сети, ни один, ни другой комп не показал свои ресурсы, на по netbios, ни по ip, даже при VPN канале, сами компы прекрасно смотрятся вниутри локальной сетке. »
Усё правильно. Компы не знают, что для обращения устройствам из другого сегмента сети нужно посылать пакеты на маршрутизатор, поднимающий канал VPN. И даже маршрутизатор не знает, что для работы с устройствами из другого сегмента сети нужно посылать пакеты в канал VPN.
У них подсеть одна и та же, а посему все пинги отправляются в локальный сегмент, где искомого устройства "почему-то" не нет.

А блин, чет сразу не обратил внимание что IP-шники белые. Сорь тогда.
Просто у нас аналогичная ситуация, и ты написал районная сеть. И на IP-шники уже не обратил внимание. IP в районной сети какие? и что ты тогда подразумеваешь под районной сетью если у них внешние ip по твоей схеме получается.

А блин, чет сразу не обратил внимание что IP-шники белые. Сорь тогда.
Просто у нас аналогичная ситуация, и ты написал районная сеть. И на IP-шники уже не обратил внимание. IP в районной сети какие? и что ты тогда подразумеваешь под районной сетью если у них внешние ip по твоей схеме получается. »
В районной сети стоят ip 192.160.1.1 с обной стороны, и 192.161.2.1 эти адреса выданы нам при подключении районной сети.

Цитата massner:
одинаковые из-за наличия трех маятниковых ноутов, которые перемещаются между сегментами, »
Чаво? »
Есть три ноута, и три тупых юзера панически боящихся чего либо менять, поэтому оба сегмента сети настроены так чтобы все настройки были одинаковы и при появлении в одной части сети либо в другой ничего менять не потребуется.

Почему? Потому что гладиолус!
На самом деле отключать DHCP вне зависимости от наличия/отсутствия WiFi требует только религиозное мировоззрение админа и/или директора. Разумных причин этому нет.
1. Отключить религиозное мировоззрение
2. Включить DHCP
3. ...
4. Profit!!!
Объясняю вышесказанное.
отсутствие DHCP-сервера никак не помешает злоумышленнику самостоятельно указать нужные настройки IP вручную.
Достаточно просто подключиться к сети WiFi на первом уровне протокола TCP/IP, а уж определить используемый диапазон адресов путём перехватывания пакетов совсем не сложно
Так что для защиты сети нужно указать режим шифрования сигнала (WPA/WPA2) с паролем посложнее, а ещё можно задать привязку по MAC-адресам. »

в сети используются нестандартные IP адреса, в добавок защита основана на выдаче сертификата и WPA2 сама точка доступа скрыта...

Поясняю, пробовалось поднять канал напрямую между двумя компами подключенными напрямую к районной сети, ни один, ни другой комп не показал свои ресурсы, на по netbios, ни по ip, даже при VPN канале, сами компы прекрасно смотрятся вниутри локальной сетке. »

Нужно нормально настроить vpn канал между шлюзами 2 и 3, а так непонятно, что из себя эти шлюзы вообще представляют.
Как сказал Angry Demon
У автора просто это плохо получилось.

интересно, а как настроить канал между одинаковыми сетями? :)
как я понимаю, они обе /24 =)

интересно, а как настроить канал между одинаковыми сетями?
И я о том же. :yes:

интересно, а как настроить канал между одинаковыми сетями? »

Про то, что сети должны быть разными, уже было сказано и автор вроде согласился.

интересно, а как настроить канал между одинаковыми сетями?
как я понимаю, они обе /24 »
увы так и да обе 24....

Про то, что сети должны быть разными, уже было сказано и автор вроде согласился. »
хм, автор такого согласия не помнит... но этот вариант возможен если возможно избежать перенастройки шлюза при переходе между сегментами....

Нужно нормально настроить vpn канал между шлюзами 2 и 3, а так непонятно, что из себя эти шлюзы вообще представляют.
Как сказал Angry Demon
У автора просто это плохо получилось. »
как раз vpn нужно исключить из этой задачи, так как в сети разрешили подключить напрямую....
вот и паримся...

Если без vpn настроить не удастся, то провайдер автоматически лишится целого адреса клиентов.... :read: :read: договор с ними такой.... :threaten: а я сильно злой...

Есть три ноута, и три тупых юзера панически боящихся чего либо менять, поэтому оба сегмента сети настроены так чтобы все настройки были одинаковы и при появлении в одной части сети либо в другой ничего менять не потребуется. »
Повторяю громким голосом: ПРОТОКОЛ DHCP КАК РАЗ ТАКИ И БЫЛ ПРИДУМАН ДЛЯ ТОГО, ЧТОБЫ НИКОМУ НИЧЕГО НИГДЕ НЕ НУЖНО БЫЛО МЕНЯТЬ.

в сети используются нестандартные IP адреса, в добавок защита основана на выдаче сертификата и WPA2 сама точка доступа скрыта... »
Существует множество способов защиты WiFi. Два из них вы уже перечилили.
А "нестандартные IP адреса" способом защиты не являются, потому что IP-адресация (3-й уровень стека протоколов TCP/IP) на работу WiFi (1-й уровень стека протоколов TCP/IP) никакого влияния не оказывает.
Если злоумышленник выявил точку доступа и подобрал пароль, то есть расшифровал сигнал, то он сможет перехватывать пакеты со всеми IP-адресами, а значит сможет назначить своему устройству адрес из любого "нестандартного" диапазона.

Так что рекомендация остаётся прежней:
1. Отключить религиозное мировоззрение
2. Включить DHCP
3. ...
4. Profit!!!

Если без vpn настроить не удастся »
Кстати да, если вы так озабочены безопасностью, то совершенно непонятно, как вы собираетесь передавать информацию из одной закрытой сети в другую закрытую сеть через публичную сеть?
Как вы представляете себе это без использования шифрованного туннеля?

Кстати да, если вы так озабочены безопасностью, то совершенно непонятно, как вы собираетесь передавать информацию из одной закрытой сети в другую закрытую сеть через публичную сеть?
Как вы представляете себе это без использования шифрованного туннеля? »

Самое главное это не дать тырить инет, а доступ к серверам возможен только через спец авторизацию с динамическим паролем в 10 Mb, туда же и встроено шифрование (работает только со спец программой), нужен просто доступ ко всей сети, подробности и принципы нашей безопасности раскрывать муторно и не имет смысла...
поэтому нет нужды использовать vpn в районной сети...

2. Включить DHCP »

Допустим я включу DHCP, (хотя практика показала устойчивость ко взлому при отключенном DHCP во много раз, до того как он был отрублен IP приходилось менять раз в два дня, а после отруба уже второй год пошел как не менялся...).

Перенастраиваю второй сегмент сети на 10.10.11.0,
прописываю маршруты с обеих сторон...
но что делать с wins сервером где эти самые ноуты прописаны по закрепленным IP?
в добавок как быть с теми компами доступ к которым возможен только по IP?

практика показала устойчивость ко взлому при отключенном DHCP во много раз, до того как он был отрублен IP приходилось менять раз в два дня, а после отруба уже второй год пошел как не менялся... »
Какой IP менять приходилось? IP сети?
То есть вы хотите сказать, что на ваш DHCP-сервер регистрировал появление новых несанкционированных устройств?
Так вот, скорее всего уже второй год вас по-прежнему ломают все, кому не лень. Просто сейчас в сети нет никаких служб, которые бы вели поиск новых несанкционированных устройств :)

но что делать с wins сервером где эти самые ноуты прописаны по закрепленным IP? »
Отключить WINS-сервер нафиг
А DNS-сервер прекрасно взаимодействует с DHCP-сервером.

в добавок как быть с теми компами доступ к которым возможен только по IP? »
Вы вообще понимаете, что написали?
С любыми устройствами взаимодействие происходит исключительно по адресу IP (точнее IP4). Если только конечно устройство не работает по новому протоколу IP6 или по какому-нибудь очень старому, давно забытому протоколу (IPX и т.д.).
В свою очередь DHCP-сервер - назначает IP4, а DNS-сервер - преобразует текстовое имя в IP4.
Кстати, DHCP-сервер помнит MAC-адреса устройств, что позволяет назначать устройству постоянный IP-адрес (то есть каждый раз выделять один и тот же адрес)

Что касается устройств, использующих статические адреса, то для данных адресов нужно сделать записи в DNS-сервере и создать исключения в DHCP. Или просто выделить под динамические адреса пул меньшего размера (например с x.x.x.32 по x.x.x.127), а статические адреса разместить за границей этого пула.