FreeBSD-свич/роутер

[oboroten]

Здравствуйте.

Задача вроде простая, но что-то начинаю тупить.
В общем так - есть 2 "комнаты" на приличном расстоянии друг от друга, связаны оптикой ч-з 100мб конверторы.
В первой стоит сервер на винде 2003 с 1с, во второй десяток юзверей с виндами-ХР терминально етот сервак юзают.
Нужно в первую комнату добавить сервер с web/ftp/mail. Выход в инет во второй комнате через д-линк роутер.
Решение поставить FreeBSD-8 сервер с апачем/профтпд/exim, с двумя сетевыми.
По отдельной просьбе веб-админа между Вин. и веб-сервером ставлю 1гб (встроенная) через кроссовер, на конвертор тоже но с PCI-ной 100мб карточки.
Как теперь настроить ети сетевые? Голова не варит, помогите кто чем может.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[baton4eg]

нарисуйте схему! Поставь конкретно задачи которые нужно решить! опиши оборудование! (какой например dlink-роутер модель)

[oboroten]

Извините за невнятное обьяснение.

Вот так есть сейчас:

[oboroten]

Уточнение:
Как покрасивее настроить связь через FreeBSD сервер?
IPFW ? Может кто набросать настройку? (хоть примерно, а то что-то никак не могу врубится)
Или другие варианты?

[oboroten]

Еще уточнение:
На FreeBSD будет крутится сайт фирмы + ФТП + почта (Apache22+ProFTPd+Exim)

[ADRE]

пора бросать употреблять наркотики, поставить шлюз и повешать на него всякое барахло в виде веб сервисов... где 10 юзеров там сервер не засунуть? или у вас стойка?

[oboroten]

пора бросать употреблять наркотики, поставить шлюз и повешать на него всякое барахло в виде веб сервисов... где 10 юзеров там сервер не засунуть? или у вас стойка?

Ето не стойка, ето "политика безопасности".
Взгляд начальника не обязан совпадать со взглядом админа!
ЗыЖ Может и правда попросить докторов перестать мне наркотики колоть...

[Gendos]

2

[BlackCat]

oboroten, несколько уточняющих вопросов.
1. У вас конвертор точно в D-Link воткнут или всё-таки в свитч. Или у вас свитч встроен в D-Link?
2. Обязательно ставить свой сервер для сайта, может посмотреть в сторону внешнего хостера?
В данный момент, схема вызывает много нареканий, в т.ч. с точки зрения безопасности.
=====
Но если вы всё таки решите использовать свой внутренний сервер, то в т.н. "Комнате 1" поставьте свитч и подключите к нему конвертор и оба сервера. Гонять трафик терминальных сессий между клиентами и W2k3 сервером через ещё один сервер - странная идея.

[BlackCat]

oboroten, к сайту, FTP или почте будет доступ из вне?

[ADRE]

ну раз так: вот один из хитрогеморойных планов: 1) ставиш шлюз, кидаешь vpn на удаленный сервер, далее ipfw директишь нужные на него порты, закрываешь всем доступ на удаленном сервере кроме vpn шлюза - чем не секурно? ))) 2) сервер по оптике всеравно в общей сетке, поэтому либо активным оборудование настраеваешь перенаправление нужных портов, либо на шлюзе...

[oboroten]

oboroten, несколько уточняющих вопросов.
1. У вас конвертор точно в D-Link воткнут или всё-таки в свитч. Или у вас свитч встроен в D-Link?
2. Обязательно ставить свой сервер для сайта, может посмотреть в сторону внешнего хостера?
В данный момент, схема вызывает много нареканий, в т.ч. с точки зрения безопасности.
=====
Но если вы всё таки решите использовать свой внутренний сервер, то в т.н. "Комнате 1" поставьте свитч и подключите к нему конвертор и оба сервера. Гонять трафик терминальных сессий между клиентами и W2k3 сервером через ещё один сервер - странная идея.

Kонвертор воткнут в D-Link. (DI-804HV - 4х портовый свич-роутер) (можно переткнуть, а зачем?)
Между веб и W2k3 сервером планируется активный обмен данными
Веб/фтп/почта должны быть видны снаружи.

Обеспечить безопасность... разве только W2k3 сервера, да и то пока только срезая "странные" пакеты.
Убеждения сделать правильно ведутся, но пока что... В общем ето долгий расговор. Хотя надежда что в комнате2 выделят место для серверов чтобы их не пинали ногами и не поливали чаем/кофе/остальным есть в переспективе, но не скоро. А делать нужно уже. Сделать что-ли W2k3 сервер х.х.х.129 а компы пользователей снести в нижний диапазон и "разделить" таким образом на подсети? Заканчиваю настройку всего остального, подскажите вариант попроще (или понадежней), бо время поджимает.
ЗЫЖ Решение организовать именно так из-за встроеных гигабитовых сетевух на мамках серверов, а на конвертор PCI-ная 100Мб сетевуха пойдет.
ЗЗІЖ Или серв. W2k3 вывести вообще в другой IP диапазон и НАТ поставить?.. извраты сплошные...

[oboroten]

ну раз так: вот один из хитрогеморойных планов: 1) ставиш шлюз, кидаешь vpn на удаленный сервер, далее ipfw директишь нужные на него порты, закрываешь всем доступ на удаленном сервере кроме vpn шлюза - чем не секурно? ))) 2) сервер по оптике всеравно в общей сетке, поэтому либо активным оборудование настраеваешь перенаправление нужных портов, либо на шлюзе...

Пока пытался вообразить прохождение пакетов - вспотел.
Что же будет при попытке воплотить все ето...
(жалостливо) А попроще решений нету? (ну кроме как воткнуть оба сервера в один свич)

[BlackCat]

Kонвертор воткнут в D-Link. (DI-804HV - 4х портовый свич-роутер) (можно переткнуть, а зачем?)

Это был просто уточняющий вопрос, за одно и модель D-Link'а узнали.

Между веб и W2k3 сервером планируется активный обмен данными

Активный обмен - это когда данные для разделов корпоративного сайта берутся из 1С? Что-то на подобии интернет-магазина? Так в этом случае данных намного больше будет гонятся между шлюзом и HTTP-сервером. Да и гигабитные свичи ещё никто не отменял.

Веб/фтп/почта должны быть видны снаружи.
Обеспечить безопасность... разве только W2k3 сервера, да и то пока только срезая "странные" пакеты.

Если не заморачиваться с безопасностью, то поможет проброс портов со шлюза до HTTP/FTP/SMTP-сервера, а если заморачиваться, то...

Сделать что-ли W2k3 сервер х.х.х.129 а компы пользователей снести в нижний диапазон и "разделить" таким образом на подсети?

Вопросом на вопрос, зачем?

Заканчиваю настройку всего остального, подскажите вариант попроще (или понадежней), бо время поджимает.

Можно совсем просто, как было предложено выше: свитч для серверов и проброс портов со шлюза. Можно посмотреть в сторону VPN, как предлагал тов. ADRE, но не вижу в этом необходимости т.к. VPN решает немного другие задачи или я просто не понял идею. Ещё, как вариант, возможно применить VLAN создав несколько подсетей с отдельной DMZ для HTTP/FTP/SMP-сервера, но это потребует, как минимум, замены D-Link'овского шлюза т.к. он не поддерживает VLAN или его придётся перепрошивать.

ЗЫЖ Решение организовать именно так из-за встроеных гигабитовых сетевух на мамках серверов, а на конвертор PCI-ная 100Мб сетевуха пойдет.

Это, почти, равносильно ситуации в которой вы гоняете трафик от клиентов до терминального сервера через открытую сеть (такую как интернет), в дополнение к нагрузке по пересылке трафика.

ЗЗІЖ Или серв. W2k3 вывести вообще в другой IP диапазон и НАТ поставить?.. извраты сплошные...

Ну NAT то вам зачем в сети где вы полностью контролируете маршрутизацию?
=====
Выбираейте какой вариант вам больше нравится и реализуйте или подождите немного, может кто-то подскажет более достойное решение. Как нарисуете окончательный вариант с подсетями и адресами интерфейсов, то можно будет уже говорить о параметрах настройки.

[snorlov]

Я тоже считаю, что в первой комнате надо поставить хаб(свитч), куда завести оптику и сервера, на D-Link'е просто прокинуть порты на фрю, если уж надо по безопасности, то прикрутить ipsec между сервером 1с и терминальными клиентами...

[oboroten]

Я тоже считаю, что в первой комнате надо поставить хаб(свитч), куда завести оптику и сервера, на D-Link'е просто прокинуть порты на фрю, если уж надо по безопасности, то прикрутить ipsec между сервером 1с и терминальными клиентами...

Ok. Пока что так и сделано, планируется сеть перекроить вообще (добавить еще "комнат")
Вопрос:
Нужно чтобы весь входящий из вне поток шел на ФриБСД сервер, кроме пакетов на порты 4899 и 3389 которые нужно направить на Вин2003.
Консультация с провайдером (установившим и настроившим D-Link) привела к резолюции что нужен другой роутер (MikroTic RB-750). Без замены ето не решаемо? А если средствами FreeBSD перекинуть? Win2003 и FreeBSD сервера воткнуты в один свич и имеют адреса 192.168.1.110 и 192.168.1.115 соответственно. Решение есть?
И еще просьба - направте на толковое описание настройки етого роутера (D-Link DI-804HV), бо надоело по граблям ходить.

Спасибо.

[BlackCat]

Нужно чтобы весь входящий из вне поток шел на ФриБСД сервер, кроме пакетов на порты 4899 и 3389 которые нужно направить на Вин2003.
Консультация с провайдером (установившим и настроившим D-Link) привела к резолюции что нужен другой роутер (MikroTic RB-750). Без замены ето не решаемо?

Чем провайдер мотивирует такое заключение (отсутствие необходимого функционала/отсутствие знаний/низкая производительность)? Поищите сами в интерфейсе железки раздел "Port forwarding".

А если средствами FreeBSD перекинуть?

FreeBDS порты пробросить на др. узел сможет, но их сначала надо на FreeBSD пробросить с маршрутизатора.

И еще просьба - направте на толковое описание настройки етого роутера (D-Link DI-804HV), бо надоело по граблям ходить.

Гугл достаточно быстро нашёл вот этот мануал по настройке пробоса портов для вашей железки http://www.axis.com/de/techsup/de/pdf/c ... nk_eng.pdf