| Объявление форума |
Если пользуетесь личными сообщениями и получили по электронной почте оповещение о новом письме, не отвечайте, пожалуйста, почтой. Зайдите на форум и ответьте отправителю через ЛС. |
Полигон-2 » Технический флейм » Маршрутизация в ОС Windows |
 |
Маршрутизация в ОС Windows
| <<Назад Вперед>> | Страницы: 1 2 | Печать |
| Anonymous
Advanced Member
Откуда: Москва(Россия) Всего сообщений: 2537 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 22 нояб. 2011 |
Нужен совет вин-админов! Есть промплата с установленным win2003, с одной сетевой картой, на карте поднято два IP, 192.168.1.20 и 192.168.0.20, маски подсетей 255.255.255.0, в подсети 192.168.1.* гейт 192.168.1.1, а в подсети 192.168.0.* гейт 192.168.0.11. Как указать одной конкретной программе использовать одну сеть и шлюз для выхода в и-нет, а другой конкретной программе - занимать второй выход в и-нет? |
| acorp
Advanced Member
Откуда: Иркутск Всего сообщений: 479 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 8 дек. 2014 |
Штатными средствами скорее всего никак. Сторонними можно, с ходу на ум приходит керио |
| Anonymous
Advanced Member
Откуда: Москва(Россия) Всего сообщений: 2537 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 22 нояб. 2011 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 22 июня 2016 17:26 Сообщение отредактировано: 22 июня 2016 17:33
А можно разжевать для никогда не использовавших винду ^^? Собственно, один гейт проводной и через него всякий трешовый трафик должен идти, а второй - радиоканал, по которому работает сигнализация и управление техпроцессом. P.S. Сейчас запускаются так: сперва имеют один поднятый IP, запускают рабочую программу, она цепляет сеть и сидит тихо в трее далее, изредка обмениваясь, её видно из сети всегда с тем первоподнятым IP, а затем поднимают второй IP и запускают всякие аси, жабберы и скайпы, которые цепляют поднятый вторым канал и видны со второподнятым IP снаружи - вот мне это очень неправильным кажется и очень не нравится такой подход на уровне первобытного шаманства... |
| SKcorp
Advanced Member
Эксперт. Откуда: Leningrad, USSR Всего сообщений: 3005 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 28 июля 2008 |
Брандмауэр Windows - Исключения - Изменить - Изменить область - Особый список. |
| Anonymous
Advanced Member
Откуда: Москва(Россия) Всего сообщений: 2537 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 22 нояб. 2011 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 23 июня 2016 1:38 Сообщение отредактировано: 23 июня 2016 5:05
SKcorp, спасибо! Кажется работает как надо, для проверки два ирц-клиента запустил таким способом - в чате видятся каждый через свой внешний IP. Update: А вот огнелис и хром захватывают оба канала, несмотря на прописывание одной подсети. :O Сейчас проводной отключен, так они в радиоканал хилый ломятся, куда не должны.  Торент-клиента попробовал запустить - во время запуска всплывает окошко с вопросом, продолжать ли блокировать данную программу, при любом ответе далее используются оба канала. Нужно так сделать, чтоб при недоступности второго канала, программы, которым первый канал использовать не разрешено, получали бы отсутствие сети вообще, т.е. таймаут (timeout) или отсутствие маршрута (no route to host). Процессор на плате слабый по нынешним меркам, потому раскидывать сети между виртуальными машинами не предлагать - там стоит пень-3 1ГГц с 512Мб озу... Поисследовал, работает оно так: DNS всегда на радиоканале задействуется в первую очередь, к DNS на проводе доступает только если радио недоступен; если доступен провод, то дёргает DNS на радио, затем качает с провода, если радио недоступен, то работает по проводу, если провод недоступен - работает по радио... Вот этого и хочется избежать! |
| Fe-Restorator |
NEW! Сообщение отправлено: 23 июня 2016 10:01 Сообщение отредактировано: 23 июня 2016 10:20
Беда в том, шо форточка сама ищет доступный на данный момент шлюз и ставит его "дефолтным". Соответственно под новый шлюз перестраивается и таблица маршрутизации. А во всех прогах по-умолчанию проставлено "гнать трафик через шлюз, определённый системой". Если в FF можно задать шлюз вручную, то во прочих "хромых irc" - не знаю, вряд-ли. Чтобы отвадить форточку от маниакальной тяги к интернету, устанавливаютс ДВЕ сетевые карты и сторонний файволл-маршрутизатор, а-ля Kerio WinRoute, M$ ISAserver (они привязываются к адресам адаптеров, с единственной карточкой - работают так-же плохо, как и сама форточка). PS. Можно попробовать прописать маршруты в подсети как статические, но это никак не связано с распределением прикладных программ по маршрутам. |
| Сейчас на форуме |
| Anonymous
Advanced Member
Откуда: Москва(Россия) Всего сообщений: 2537 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 22 нояб. 2011 |
Увы, в промплату, где всё интегрировано, вторую карту не поставишь, разве только глюкодромную в usb... |
| pahan
Advanced Member
Откуда: Химки, М.О. Всего сообщений: 1070 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 13 мар. 2015 |
Как указать одной конкретной программе использовать одну сеть и шлюз для выхода в и-нет, а другой конкретной программе - занимать второй выход в и-нет?Ваш вопрос противоречит самим принципам организации сетей. Маршрутизация осуществляется по диапазонам адресов и портов и ничего не знает про обращающиеся к ним процессы. Вам надо настраивать шлюзы, чтобы рубили ненужный трафик (по его исходящему адресу) - с такой конфигурацией это должно быть легко. Можно и локальный фаерволл настроить. а затем поднимают второй IP и запускают всякие аси, жабберы и скайпы, которые цепляют поднятый вторым канал и видны со второподнятым IP снаружи - вот мне это очень неправильным кажется и очень не нравится такой подход на уровне первобытного шаманства...Мне тоже кажется тут лучшим рецептом приготовить тряпки и гнать оттуда всех пользователей с левыми задачами. Если же этого не делать - можно попробовать ещё так (хотя 100% гарантии не будет): 1) пропишите постоянные маршруты до нужных вам хостов (сигнализация и управление техпроцессом) через радиоканал. 2) вручную задайте радиоканалу метрику как можно ниже - это выгонит с него посторонний трафик, когда доступны оба канала, но не поможет когда есть только один. 3) проблема: таблица маршрутизации меняется при переподключении интерфейсов. Даже внутренний ID интерфейса в Windows может при этом смениться, что делает п. 2 полуручной работой. Мысль третья: на карте поднято два IP, 192.168.1.20 и 192.168.0.20, маски подсетей 255.255.255.0, в подсети 192.168.1.* гейт 192.168.1.1, а в подсети 192.168.0.* гейт 192.168.0.11. второй - радиоканал, по которому работает сигнализация и управление техпроцессомВсе устройства, к которым обращаются по радиоканалу, находятся в одной подсети? Если да, тогда зачем на этом интерфейсе вообще указан шлюз (и о, боже, DNS)? Выкиньте его оттуда к чертям и проблема решена. Короче, больше подробностей об организации ваших сетей нужно. |
| Anonymous
Advanced Member
Откуда: Москва(Россия) Всего сообщений: 2537 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 22 нояб. 2011 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 23 июня 2016 16:57 Сообщение отредактировано: 23 июня 2016 16:58
pahan написал: Все устройства, к которым обращаются по радиоканалу, находятся в одной подсети? Если да, тогда зачем на этом интерфейсе вообще указан шлюз (и о, боже, DNS)? Выкиньте его оттуда к чертям и проблема решена. Короче, больше подробностей об организации ваших сетей нужно.На этом интерфейсе 2..8 машин, к которым нужен доступ с другого конца Земли через и-нет. Шлюз нужен, чтоб при запуске программа вышла в и-нет и законнектилась к серверу, обозначив себя и свой IP, с которым её выпустили сегодня в сеть. На втором канале - простой выход в и-нет для бродилки-чатика, который на ночь отключается. Какие подробности конкретно нужны? |
| pahan
Advanced Member
Откуда: Химки, М.О. Всего сообщений: 1070 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 13 мар. 2015 |
Да все! На этом интерфейсе 2..8 машин, к которым нужен доступ с другого конца Земли через и-нетИ у всех у них прямые IP? Там даже VPN нет? Шлюз нужен, чтоб при запуске программа вышла в и-нет и законнектилась к серверу, обозначив себя и свой IP, с которым её выпустили сегодня в сетьНеверно. Шлюз нужен, чтобы через интерфейс ходил кто попало и куда попало, что сейчас и происходит. Реально вам нужно, чтобы с этого интерфейса происходило обращение на единственный адрес (хуже если на DNS-имя) вашего сервера, так? Так сотрите адрес шлюза из настроек интерфейса в винде, пропишите ручками постоянный маршрут до сервера (и только до него) через этот интерфейс, если нужно DNS-имя, пропишите его в hosts, а из настроек соединения DNS выкиньте -> profit. Если что-то не так, добавляйте. Можно полную таблицу маршрутизации привести (при всех нужных поднятых соединениях) для понимания. |
| Fe-Restorator |
NEW! Сообщение отправлено: 23 июня 2016 17:45 Сообщение отредактировано: 23 июня 2016 17:47
pahan написал: этом интерфейсе вообще указан шлюз (и о, боже, DNS)? Выкиньте его оттуда к чертям и проблема решена.DNS там скорее всего на самой форточке поднята, ей пофиг на все каналы связи. Какие есть, те и будет есть... Шлюз на радиоканале нужен, чтоб на него прописать маршрут. Статический. Выкинуть DNS сервер с этого компа! Переставить на соседний сервер. |
| Сейчас на форуме |
| pahan
Advanced Member
Откуда: Химки, М.О. Всего сообщений: 1070 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 13 мар. 2015 |
Я не имел в виду DNS-сервер, поднятый на локальный ОС (он тут вообще не при делах, даже если есть), а прописанные в свойствах соединения адреса DNS-серверов. Шлюз на радиоканале нужен, чтоб на него прописать маршрут. Статический.Ещё один... Прописанный в настройках соединения шлюз нужен только для того, чтобы ОС сама прописала на него маршрут по умолчанию. Статическим (постоянным) маршрутом он не является! И в данном случае скорее всего вообще не нужен. Ибо в качестве маршрута по умолчанию на него будет сыпаться весь трафик, для которого нет явно заданного маршрута. А нужно - только то, что мы явно указали отправлять на него. DNS там скорее всего на самой форточке поднята, ей пофиг на все каналы связи. Какие есть, те и будет есть......если ей явно не указано в настройках цепляться к конкретным интерфейсам (который у ТС всё равно один), так что опять мимо. |
| Fe-Restorator |
NEW! Сообщение отправлено: 23 июня 2016 20:43 Сообщение отредактировано: 23 июня 2016 21:09
Насколько понимаю задачу: Дано: 1) промкомп является "пойнтом" для некоей глобальной системы управления и соединяется с ней по радиоканалу. 2) промкомп является шлюзом в инет для 2..8 машин в локалке (чат, хромота-срамота и прочее) Нужно: 1) отделить локалку и инет от сети управления 2) не дать возможности локалке лезть/видеть "радиопровайдера" Тогда действительно: 1) на "проводном" адресе ставить шлюз, NAT, DHCP, DNS и прочие службы, по-необходимости. Через него локалка будет чатиться в инет и обратно. При отвале соединения - "капец инету", все жуют капусту. 2) на "радио" адресе убрать шлюз и все службы, оставить только IP и маску. Прописать статический маршрут. Убедиться, что прога управления ИМЕЕТ собственную настройку на определённый IP или определённую подсеть, так она и только она будет "ходить" по статическому маршруту. Иначе - попрётся в инет на общих основаниях. Недостатки: 1) так и не понимаю, как подключены радиомодем и эвернет-шланг провайдера: гнездо одно, а "torchка" два... Если они оба тупо воткнуты в свич - то это форменное безобразие, можно гулять по радиоканалу из инета, минуя промкомп... 2) если отвалится сетевушка промкомпа, отвалятся обе сети разом, "удалённого управления" не получится, придётся бежать ногами и ремонтировать на-месте. Собсна, посему и ставят 2 сетевушки, а ещё - дублируют серваки. |
| Сейчас на форуме |
| Fe-Restorator |
NEW! Сообщение отправлено: 23 июня 2016 21:07 Сообщение отредактировано: 23 июня 2016 21:16
Дано: 1) промкомп является СЕРВЕРОМ сети управления, разбросанные по глобусу "пойнты" сети подключаются к нему через инет. 2) промкомп является сервером доступа в инет для локалки из 2..8 машин. Надо: 1) разделить сети и направления трафика. Тогда так: 1) на промкомпе поднимается сервер VPN (чтоб работал через радиоканал) и, возможно, DNS/DHCP для обслуживания пойнтов управления (иначе их придётся конфигурировать вручную). В сервере VPN поднимае(ю)тся канал(ы) до пойнтов/удалённых серверов (если это возможно) и прописываются статические маршруты через VPN канал(ы). Нужно убедиться, что прога управления ИМЕЕТ собственную настройку на подсеть. 2) на "проводном" адресе поднимаются DHCP/DNS/NAT (по надобности) и указывается шлюз. Недостатки: 1) В этом случае, вообще не понимаю, зачем нужен радиоканал. VPN можно пустить и по проводу... Работать будет не хуже, даже проще. 2) Сервер управления потребует себе "прямой" IP адрес, иначе пойнты его не найдут, хоть через впн, хоть без него. Воротить нечто из dyndns... Эт сильно на-любителя. |
| Сейчас на форуме |
| Anonymous
Advanced Member
Откуда: Москва(Россия) Всего сообщений: 2537 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 22 нояб. 2011 |
Радиоканал - тоже обычный выход в и-нет, причем, внешний IP всегда разный, и какой мы не знаем изнутри, потому и нужно соединяться со внешним сервером, имеющим конкретный адрес и на нём уже регистрироваться - та же ситуация, что и с dyndns. Проводной канал отключается несколько раз в день, и отключается полностью на ночь, потому его не используешь, и да, на нём тоже внешний IP всегда разный. На обоих гейтах NAT, с пробросом определённых портов снаружи на определённые порты конкретных машин внутри. |
| Fe-Restorator |
NEW! Сообщение отправлено: 24 июня 2016 1:38 Сообщение отредактировано: 24 июня 2016 1:39
Anonymous, определись уже: промкомп играет роль сервера по радиоканалу или роль клиента для внешнего сервера? Anonymous, модем радиоканала подключён напрямую к промкомпу или через некий свич, одновременно с проводом провайдера? |
| Сейчас на форуме |
| Anonymous
Advanced Member
Откуда: Москва(Россия) Всего сообщений: 2537 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 22 нояб. 2011 |
Fe-Restorator не читатель, писатель же. Всё разжёвано выше. Fe-Restorator написал: Anonymous, определись уже: промкомп играет роль сервера по радиоканалу или роль клиента для внешнего сервера?Аппарат - часть корабельной автоматики, и откуда мы соединились заранее неизвестно - потому стучимся в известное место, на сервер, где регаемся, оттуда клиент берёт наши текущие параметры канала и соединяется с нами. Fe-Restorator написал: Anonymous, модем радиоканала подключён напрямую к промкомпу или через некий свич, одновременно с проводом провайдера?Модем обслуживает несколько систем, виден в той же сети. |
| andyTh |
NEW! Сообщение отправлено: 24 июня 2016 13:06
Anonymous, я конечно не доктор, но в винде такая задача не решается. Как вариант написать софтинку, которая будет после регания на сервере и получения его текущего адреса, вписывать этот самый адрес в ini файлы ваших программ. С каким количеством софта это заработает и какое количество софта из числа вашего вообще умеет ходить по прописанному адресу... Ну вам там уже виднее. |
| Сейчас на форуме |
| pahan
Advanced Member
Откуда: Химки, М.О. Всего сообщений: 1070 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 13 мар. 2015 |
Anonymous, отлично, почти всё уже понятно! Давайте уже распишем всё подробно: 1) у вас постоянный локальный адрес 192.168.1.20 и постоянный адрес шлюза 192.168.1.1 (про второй канал пока забываем, он нам не интересен, вообще). Этот шлюз подключен по радиоканалу, и его внешний адрес динамический. 2) некая софтина через этот канал обращается к постоянному адресу (или имени? хотя тоже непринципиально) сервера x.x.x.x 3) сей сервер имеет некую таблицу соответствия между вашим текущим динамическим внешним IP и постоянным именем, по которому к нему обращаются клиенты, так? Если всё это верно, всё что вам нужно сделать: 1) убрать из настроек интерфейса с адресом 192.168.1.20 шлюз и DNS-сервера 2) прописать статический маршрут на ваш сервер route add x.x.x.x mask 255.255.255.255 192.168.1.1 -p повторить для всех IP адресов этого сервера (3) прописать в файле c:\windows\system32\drivers\etc\hosts соответствие DNS-имени вашего сервера его IP адресам, если оно вообще нужно). 4) у вас 2 независимых канала. Один из которых используется только теми, кому нужно обращаться к серверу x.x.x.x ----------------------------- Fe-Restorator а вы, извините, бредите. Убедиться, что прога управления ИМЕЕТ собственную настройку на определённый IP или определённую подсеть, так она и только она будет "ходить" по статическому маршруту. Иначе - попрётся в инет на общих основаниях.Глупость. По какому маршруту пойдут данными определяется операционной системой и зависит оно только от того к какому конечному IP идёт обращение. Если для данного адреса есть явно заданный маршрут - будет использоваться он. Если нет - пойдёт на шлюз по умолчанию (что в виндах криво перевели как основной шлюз). Есть ещё один параметр - метрика интерфейса. При выборе нескольких вариантов предпочтителен тот, у кого она ниже (т.е. это приоритет). Но если она явно не изменялась, метрика статического маршрута всегда самая низкая. так и не понимаю, как подключены радиомодем и эвернет-шланг провайдера: гнездо одно, а "torchка" два...Элементарно - vlan'ы поднял. Иначе бы разные основные шлюзы и DNS он на одной сетевухе не прописал бы. Если они оба тупо воткнуты в свич - то это форменное безобразие, можно гулять по радиоканалу из инета, минуя промкомп...Это каким образом, интересно? 2) если отвалится сетевушка промкомпа, отвалятся обе сети разомЕсли физически отвалится - да. Если отключить из ОС - ничего не будет, для неё это два независимых соединения. В сервере VPN поднимае(ю)тся канал(ы) до пойнтов/удалённых серверов (если это возможно) и прописываются статические маршруты через VPN канал(ы).VPN по определению объединяет разные машины в общую локальную сеть. Никакой отдельной настройки каналов/маршрутов в этом случае не требуется, если явно не стоит задачи разнести сервер и клиентов по разным подсетям. Вот только в роли VPN сервера у него скорее всего сторонний сервер и выступает (весьма странно было бы оставлять это всё вообще без шифрования). 2) Сервер управления потребует себе "прямой" IP адрес, иначе пойнты его не найдут, хоть через впн, хоть без него.VPN-сервер и на динамическом IP вполне себе поднимается. Но да, это гораздо менее удобно. |
| Anonymous
Advanced Member
Откуда: Москва(Россия) Всего сообщений: 2537 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 22 нояб. 2011 |
Спасибо за разъяснения! После выходных уже только попробую применить. |
| <<Назад Вперед>> | Страницы: 1 2 | Печать |
Полигон-2 » Технический флейм » Маршрутизация в ОС Windows |
|
| 0 посетителей просмотрели эту тему за последние 15 минут |
| В том числе: 0 гостей, 0 скрытых пользователей |
| Последние |
|
| [Москва] LIQUID-Акция. Сливаются разъемы CF МС7004 и 7004А на AT и XT Пайка термотрубок Проммать s478 PEAK 715VL2-HT ( Full-Size SBC) Подскажите по 386 материке по джамперам. | |
| Самые активные 5 тем |
|