Существует подключение к интернету по технологии ADSL. Модем работает в режиме моста.
Компьютер выступающий в качестве маршрутизатора имеет 2 сетевые карты - одна подключена к модему другая к коммутатору лок. сети. На маршрутизаторе запущена служба общего доступа к интернету ICS.
В настройках сет. адаптера подключенного к модему мы указываем IP-адрес, адрес шлюза и адреса DNS-серверов полученные от провайдера.
В настройках сет. адаптера подключенного к лок. сети указываем IP-адрес 192.168.0.1
Вопрос: подскажите пожалуйста, какие адреса DNS-серверов и адрес шлюза надо указать для подключения по лок. сети?
Полная версия: Подключение к интернету по технологии ADSL
Если DNS серврака нет, то ничего вводить не нужно, если есть - соответственной его айпиху.
Шлюзом выступает твой маршрутизатор.
Шлюзом выступает твой маршрутизатор.
Dmitry5
В настройках второй сетевухи кроме IP 192.168.0.1 и маски ничего больше выставлять не нужно.
На другом компе, подключенном к первому, в настройках TCP/IP нужно выставить IP (192.168.0.2), маску, шлюз - 192.168.0.1. В качестве основного DNS можно указать IP модема, а в качестве дополнительного - один из DNS провайдера.
В настройках второй сетевухи кроме IP 192.168.0.1 и маски ничего больше выставлять не нужно.
На другом компе, подключенном к первому, в настройках TCP/IP нужно выставить IP (192.168.0.2), маску, шлюз - 192.168.0.1. В качестве основного DNS можно указать IP модема, а в качестве дополнительного - один из DNS провайдера.
Хочу уточнить один нюанс. Поскольку на маршрутизаторе установлена служба общего доступа к интернету, то как я понимаю он сам является для локальной сети DNS-сервером и DHSP сервером.
Тогда не совсем понял, конкретизирую вопрос:
1) для этого маршрутизатора в подключении по локальной сети мы должны в поле DNS-сервера указать на сам маршрутизатор - 192.168.0.1 или оставить поле пустым?
2) Оставить ли поле шлюз пустым или указать в нем DNS-сервер провайдера?
Модем работает в режиме моста и IP- адреса не имеет.
Тогда не совсем понял, конкретизирую вопрос:
1) для этого маршрутизатора в подключении по локальной сети мы должны в поле DNS-сервера указать на сам маршрутизатор - 192.168.0.1 или оставить поле пустым?
2) Оставить ли поле шлюз пустым или указать в нем DNS-сервер провайдера?
Модем работает в режиме моста и IP- адреса не имеет.
На компе-маршрутизаторе, в настройках TCP/IP интерфейса с которого расшаривается инет, IP адрес должен быть 192.168.0.1, маска по дефолту - 255.255.255.0. Больше ничего прописывать не нужно.
Большое спасибо за помощь.
Подскажите пожалуйста еще такой вопрос.
Если мы настраиваем модем в режиме моста, то он подключается к одному из сетевых адаптеров машины выступающий в качестве маршрутизатораа, на котором и вписываем все настройки полученные от провайдера.
Если мы настраиваем модем в режиме маршрутизатора (все настройки полученные от провайдера вбиваются непосредственно в модем), то как я понимаю программный маршрутизатор нам в сети больше не нужен. Значит модем может быть подключен непосредственно к коммутатору или же он все- таки должен подключаться к сет. адаптеру машины как в первом случае?
Или если возможны оба варианта, то какой для какого случая применяется?
Если мы настраиваем модем в режиме моста, то он подключается к одному из сетевых адаптеров машины выступающий в качестве маршрутизатораа, на котором и вписываем все настройки полученные от провайдера.
Если мы настраиваем модем в режиме маршрутизатора (все настройки полученные от провайдера вбиваются непосредственно в модем), то как я понимаю программный маршрутизатор нам в сети больше не нужен. Значит модем может быть подключен непосредственно к коммутатору или же он все- таки должен подключаться к сет. адаптеру машины как в первом случае?
Или если возможны оба варианта, то какой для какого случая применяется?
тут не имеет значения через сетевую карту он подключен или через свитч, если он грамотно настроен то видется он будет только на этой машине независимо от того куда подключили, соотвественно ip адрес модема тогда должен совпадать с порядком ip адреса в сети, а еще проще поставить на машину UserGate и не мучатся со всем побочыми проблемами, приняла запрос от одной сети получила из интернета и обратно выдала, никаких проблем не будет
Спасибо за пояснения. Непонятен мне вот какой момент. Наш публичный адрес принадлежит к сети смаской 255.255.255.252. Значит как я понимаю провайдер выделил нам сеть из 4 адресов. Первый и последний не используются. Один принадлежит нашему внешнему шлюзу находящемуся у провайдера. Нам остается один адрес, который назначается модему.
Так вот, если мы применяем способ, когда модем подключается к одному из сетевых адаптеров, машины (с двумя сетевыми адаптерами и установленным брандмауэром), то какой адрес должна иметь сетевая карта к которой подключается модем. Адреса ей не остается.
Подскажите, пожалуйста, где ошибка в моих рассуждениях?
И нужно ли нам заказывать больше IP-адресов, чтобы применить данный способ подключения.
Так вот, если мы применяем способ, когда модем подключается к одному из сетевых адаптеров, машины (с двумя сетевыми адаптерами и установленным брандмауэром), то какой адрес должна иметь сетевая карта к которой подключается модем. Адреса ей не остается.
Подскажите, пожалуйста, где ошибка в моих рассуждениях?
И нужно ли нам заказывать больше IP-адресов, чтобы применить данный способ подключения.
Модем в режиме раутера раздаёт инет на внутреннюю сеть (192.168.x.x/24). Дополнительный софтовый маршрутизатор при этом не нужен. Все машины должны при этом иметь адреса в соответствующем диапазоне (первый адрес диапазона - адрес модема, используется на остальных в качестве шлюза и ДНС-сервера). Сетевые настройки можно получать с DHCP-сервера, встроенного в раутер. Внешний IP при этом принадлежит PPP-соединению (устанавливаемому модемом).
Модем в режиме моста собственным (внешним) IP не обладает, транслирует внешний IP на машину, с которой устанавливается PPP-соединение (внешний IP при этом присваивается PPP-соединению). При этом для раздачи инета внутри сети необходим софтверный раутер/прокси (необязательно с 2-мя сетевыми). Если же сетевых 2, то "внешний" интерфейс при этом должен лежать в подсети модема, "внутренний" (вместе со всеми машинами) - в другой подсети. Соответственно, шлюзом для софтшлюза назначается провайдерский шлюз (автоматом при установлении PPP-соединения), для остальных - должен быть назначен видимый им интерфейс софтшлюза.
Модем в режиме моста собственным (внешним) IP не обладает, транслирует внешний IP на машину, с которой устанавливается PPP-соединение (внешний IP при этом присваивается PPP-соединению). При этом для раздачи инета внутри сети необходим софтверный раутер/прокси (необязательно с 2-мя сетевыми). Если же сетевых 2, то "внешний" интерфейс при этом должен лежать в подсети модема, "внутренний" (вместе со всеми машинами) - в другой подсети. Соответственно, шлюзом для софтшлюза назначается провайдерский шлюз (автоматом при установлении PPP-соединения), для остальных - должен быть назначен видимый им интерфейс софтшлюза.
Дело в том, что я хотел бы использовать следующую структуру сети: модем в режиме маршрутизатора с настроенным DHCP- сервером и DNS-proxy подключается к сетевому адаптеру машины
под Windows XP (она имеет две сетевые карты - к одной подключаеися модем, другая подключается к коммутатору лок. сети ). На этой машине я хочу развернуть какой-нибудь хороший firewall.
Тогда получается, что обе сетевые карты этой машины должны иметь адреса внутренней сети (частные адреса 192.168.x.x). Я правильно понимаю?
под Windows XP (она имеет две сетевые карты - к одной подключаеися модем, другая подключается к коммутатору лок. сети ). На этой машине я хочу развернуть какой-нибудь хороший firewall.
Тогда получается, что обе сетевые карты этой машины должны иметь адреса внутренней сети (частные адреса 192.168.x.x). Я правильно понимаю?
Dmitry5
1. Непосредственно в раутере (маршрутизаторе) есть весьма неплохой файрволл, обрезающий всю внешнюю активность кроме специально разрешённой и пропускающий наружу всё (при умолчальных настройках). Стоит ли городить огород с дополнительным софтовым файрволлом? Разве что попутно поднять прокси и учитывать, кто, куда и когда лазал и сколько траффика потребил...
2. Не вижу проблемы в выделении двух внутренних диапазонов для двух внутренних сегментов сети.
Например: умолчальный IP раутера (внутренний) 192.168.1.1/24 (чтобы не было лишних вопросов - "/24" соответствует маске 255.255.255.0). Тогда "внешнему" интерфейсу софт-раутера присваиваем 192.168.1.2/24 с шлюзом и DNS 192.168.1.1, "внутреннему" - 192.168.2.1/24 (без шлюза и DNS).
Клиентам по DHCP (который, в данном случае, обязательно ставить на софтшлюзе!) раздаются адреса из подсети 192.168.2.0/24 с шлюзом и DNS 192.168.2.1.
На софтшлюзе ставится софтверный раутер типа WinRoute (DHCP и DNS в комплекте).
Бонус схемы - в сеть 192.168.1.0/24 можно добавить компьютеры, которые будут работать мимо софтраутера... ;)
3. Но даже для целей учёта траффика городить софтраутер необязательно - достаточно поднять прокси и на раутере ограничить выход в инет для всех, кроме прокси и самых доверенных. При этом раутер раздаст всем по DHCP правильные адреса (скажем, из диапазона 192.168.1.33-192.168.1.254), но в инет их не пустит. А адреса из диапазона 192.168.1.2-192.168.1.32 могут использоваться "в технологических целях": на одном будет прокси для клиентов, на другом-третьем и т.д. доступные извне web-сервисы (ftp/http/что-там-ещё-нужно), качалки eMule и торрентов, просто админские машины. Эти IP делаются фиксированными, и для них настраивается соответствующим образом NAT на раутере. Вторая сетевая карта на прокси при этом нафиг не нужна, как и второй "частный" диапазон...
1. Непосредственно в раутере (маршрутизаторе) есть весьма неплохой файрволл, обрезающий всю внешнюю активность кроме специально разрешённой и пропускающий наружу всё (при умолчальных настройках). Стоит ли городить огород с дополнительным софтовым файрволлом? Разве что попутно поднять прокси и учитывать, кто, куда и когда лазал и сколько траффика потребил...
2. Не вижу проблемы в выделении двух внутренних диапазонов для двух внутренних сегментов сети.
Например: умолчальный IP раутера (внутренний) 192.168.1.1/24 (чтобы не было лишних вопросов - "/24" соответствует маске 255.255.255.0). Тогда "внешнему" интерфейсу софт-раутера присваиваем 192.168.1.2/24 с шлюзом и DNS 192.168.1.1, "внутреннему" - 192.168.2.1/24 (без шлюза и DNS).
Клиентам по DHCP (который, в данном случае, обязательно ставить на софтшлюзе!) раздаются адреса из подсети 192.168.2.0/24 с шлюзом и DNS 192.168.2.1.
На софтшлюзе ставится софтверный раутер типа WinRoute (DHCP и DNS в комплекте).
Бонус схемы - в сеть 192.168.1.0/24 можно добавить компьютеры, которые будут работать мимо софтраутера... ;)
3. Но даже для целей учёта траффика городить софтраутер необязательно - достаточно поднять прокси и на раутере ограничить выход в инет для всех, кроме прокси и самых доверенных. При этом раутер раздаст всем по DHCP правильные адреса (скажем, из диапазона 192.168.1.33-192.168.1.254), но в инет их не пустит. А адреса из диапазона 192.168.1.2-192.168.1.32 могут использоваться "в технологических целях": на одном будет прокси для клиентов, на другом-третьем и т.д. доступные извне web-сервисы (ftp/http/что-там-ещё-нужно), качалки eMule и торрентов, просто админские машины. Эти IP делаются фиксированными, и для них настраивается соответствующим образом NAT на раутере. Вторая сетевая карта на прокси при этом нафиг не нужна, как и второй "частный" диапазон...
Большое спасибо за пояснение.
Пожалуйста, можно чуть подробнее по третьему пункту.
В этом случае. как я понимаю маршрутизатор играет роль DNS, DHCP сервера и шлюза по умолчанию, для всех клиентов внутренней сети и подключается не к сетевой карте компьютера, а также как и остальные машины к коммутатору сети. Тогда все клиенты сети в своих TCP/IP указывают на IP этого маршрутизатора в полях шлюз и DNS -сервер.
И тогда прокси, например User Gate можно установить на любой машине в сети. Затем нужно настроить на всех машинах браузеры, почтовые клиенты и другие программы на работу через прокси сервер.
Я правильно, вас, понял?
Еще такой вопрос, не является ли вариант описанный в пункте 2 более надежным в плане защиты сети?
Пожалуйста, можно чуть подробнее по третьему пункту.
В этом случае. как я понимаю маршрутизатор играет роль DNS, DHCP сервера и шлюза по умолчанию, для всех клиентов внутренней сети и подключается не к сетевой карте компьютера, а также как и остальные машины к коммутатору сети. Тогда все клиенты сети в своих TCP/IP указывают на IP этого маршрутизатора в полях шлюз и DNS -сервер.
И тогда прокси, например User Gate можно установить на любой машине в сети. Затем нужно настроить на всех машинах браузеры, почтовые клиенты и другие программы на работу через прокси сервер.
Я правильно, вас, понял?
Еще такой вопрос, не является ли вариант описанный в пункте 2 более надежным в плане защиты сети?
Цитата(Dmitry5 @ 30.07.2007 - 20:25) 
Я правильно, вас, понял?
Да.Цитата(Dmitry5 @ 30.07.2007 - 20:25)
Еще такой вопрос, не является ли вариант описанный в пункте 2 более надежным в плане защиты сети?
Теоретически - да, является. В классической схеме подключения к инету подсеть 192.168.1.0/24 из данного примера называется "Демилитаризованной зоной" и именно в ней размещаются все ресурсы, которые должны быть доступны извне (ftp/http/mail-серверы, а также пиринговые клиенты, на которые пробрасываются порты). В теории, это позволяет изолировать критически важные узлы сети от попыток взлома через узлы, доступные извне (грубо говоря, через взломанный веб-сервер). Однако же такая схема значительно сложнее в конфигурировании и имеет больше шансов на выход из строя (чем сложнее система, тем больше у неё шансов на это). И применяется эта самая классическая схема, как правило, в достаточно крупных компаниях с высокой стоимостью утечки/потери информации или простоя в результате взлома. Причём они и подключаются по выделенке, и раутеры (оба) как правило ставятся аппаратные (обычно CISCO), а прокси поднимается на отдельном сервере. А городить огород из-за 5-10 компьютеров на мой взгляд не стОит.
Спасибо за подробное и полное объяснение вопроса.
..
Это текстовая версия — только основной контент. Для просмотра полной версии этой страницы, пожалуйста, нажмите сюда.
Русская версия Invision Power Board © 2001-2024 Invision Power Services, Inc.