Как раздать Интернет в две подсети?
Вставка
- Опубліковано 21 гру 2016
- Три проверенных решения, показывающих принцип раздачи Интернета двум подсетям в ситуации, если на предприятии имеется только один канал для доступа к глобальной сети Интернет.
••••••••••••••••••••••••••••••••••••••••••••
0:30 Актуальная проблема
3:07 Задача «Раздача Интернета двум подсетям»
3:44 Решение с прокси-сервером
5:05 Решение с VLANами на коммутаторе
9:34 Решение со вторым дополнительным роутером
12:31 Вывод
••••••••••••••••••••••••••••••••••••••••••••
Оригинал статьи:
kurets.ru/administrirovanie-s...
••••••••••••••••••••••••••••••••••••••••••••
Подписывайтесь на мой канал:
/ denvorkuta
Также наблюдайте за мной в:
VK: den_vorkuta
INSTAGRAM: / den_vorkuta
ODNOKLASSNIKI: ok.ru/den.vorkuta
Как же у тебя классно получается преподносить информацию , еще и с юмором) спасибо 🙏🙌🏻
Всегда пожалуйста, Юлия)
Огромнейшее СПАСИБО!
В третьем варианте двойной NAT, я полагаю. А если так, то на пинг из сети бухгалтерии (192.168.123.0/24) должен отвечать 192.168.0.1 (при условии, что firewall не блочит ICMP на главном). Иначе никакого Яндекса не будет. Следовательно, 192.168.0.3 не ответил Вам по какой угодно другой причине, но не по Вашей задумке. Если же на дополнительном маршрутизаторе не NAT (что противоречит принятой терминологии WAN), то основной маршрутизатор должен знать, где находится 123я подсеть (бухгалтерия). Т.е. должен присутствовать маршрут типа 192.168.123.0/24 via 192.168.0.2 в таблице маршрутизации.
Но, тогда, сети будут отлично (как правило) "видеть" друг друга (при отсутствии firewall на всех маршрутизаторах).
P.S. На один интерфейс можно повесить несколько ip адресов из разных подсетей (модель OSI, TCP/IP стек). Второй роутер не нужен. Уверен, что telnet/ssh на данных маршрутизаторах это позволяет. Да и в винде у бухов достаточно прописать вторым адресом что нить из 192.168.0.0/24 и эта подсеть будет отлично "видна". Второй вариант самый грамотный. Trunk да, у циски. У остальных, это tagged/untagged 802.1Q vlan...
Хз, зачем я здесь все это написал. Ютуб мне накинул, посмотрел.
да да у меня при пинге в основную сеть все пингует. Как сделать что бы не пинговалось?
Благодарю! очень познавательно!
Спасибо за информацию
Пожалуйста расскажите как работает городской провайдер! Как ограничено скорость, настраивает торрент? Какими программами пользуются?
Нравятся такие видосики. Всё разжевано! + У меня к вам вопрос, не откажите пожалуйста в помощи... Увлёкся iot, решил внутри домашней сети сделать, отдельную сеть. Взял старый роутер, перешил его на openwrt, назначил адрес 192.168.10.1.
Основной с выходом в интернет на прошивке кинетик омни2, адрес 192.168.1.1. Вопрос в следующем, правильно ли я сделал)) И просьба, подскажите пожалуйста, как настроить возможность доступа из одной сети в другую (10.1 и 1.1) Чтобы они могли "общаться" между собой, то есть чтобы была видимость и доступ, а также, как сети 10.1, дать доступ в интернет.. Чтобы всё работало и было грамотно)) Очень надеюсь на вашу помощь.. И заранее благодарен за ответ.
Очень доступно. Лайк!
Благодарю. Приятно видеть фитбэк с вашей стороны!
Спасибо. А нельзя создать VLAN сразу же на первом роутере? (без управляемого коммутатора и второго роутера).
Денис. Спасибо. Очень доступно. Я новичок и все понятно. Было бы ещё нагляднее если одна сеть была бы например 10.0.0.х , а вторая например 192.168.0.х а интернет у них общий - так вообще возможно? Как настраиваются dhcp в третьем варианте? Ещё раз благодарен.
Общий инет между разными сетями - это уже маршрутизация. DHCP...да просто. На любом роутере сейчас настраивается на раз-два
Если по 3 варианту выход роутера воткнуть в свич к которому уже подцепленны компы из другой подсети чем это будет грозить. Так как нужно подключить sip телефоны и шлюзом стоит старенький ideco с ограничением пользователей и одним lan дальше, только неуправляемые свичи.
А если допустим поставить один шлюз с 16 маской на две разные подсети с 24, они видят роутер, а друг с другом взаимодействовать не смогут. Или я не прав?
Поставлю лайк за доступный язык. Это решение для малых сетей. Хотелось бы решение для средних сетей. Размер сети 2К. коммутаторы cisco, и т.д. Администратор Газпром.)
Благодарю за лайк. Несколько странно, что администритор Газпрома вообще смотрит подобные видео. Я стараюсь делать контент именно для начинающих ребят. По цискам и так давным-давно существует множество специализированных курсов. Те же 4 части CCNA. Рекомендую русскоязычные каналы netskills и learncisco. Из забугорных однозначно CBT Nuggets.
С netskills знаком, их видео часто использую, как обучающий материал для молодых спецов, так шпрагалку для своих нужд. Мне понравилось доступность доведения материала до слушателей. Поэтому видео решения для средних сетей всегда будет полезно. По поводу курсов, я имею доступ к материалам cisco academy, но даный материал не каждому доступен и понятен.
Будет полезно, но к сожалению не понятно широкой аудитории. Работа Ciscoвским оборудованием - это уже, как минимум, знание серьёзной базы в области сетей. А она есть далеко не у всех :(
ДА, ДА!!! НАШЕЛ , НОРМАЛЬНЫЙ МАНУАЛ! НА простолюдином РУССКОМ ЯЗЫКЕ. Сколько я времени убил, на просмотры и попытки сделать так - как на видео - итог был везде один "отборный-четкий русский мат" и пострадал один роутер. после этого видео - как будто иномарка - с пол оборота завелась сеть и РАБОТАЕТ! ДЕНИС дай бог тебе, твоим детям, твоим родителям, всем твоим близким здоровья и удачи. 😘 Обнял - поцеловал - заплакал.
Как эту задачу решить с помощью Debian?
Здравствуйте Денис! Очень полезное видео. Спасибо! Но возникла следующая ситуация: 2 здания, в обоих одна подсеть (главная) (одной витой парой проброшено). Во-втором здании возникла необходимость построить еще одну подсеть (вторичная) для видео. Как сделать по аналоги Вашего видео (вариант 3 ) чтобы из главной подсети можно было видеть устройства во вторичной?
Заранее благодарен!
Как решил?
3 варианта. Для начала зачем Вам тогда разделение? 1. Назначайте одинаковые айпишники, точнее из одной подсети. 2. На компах второй сети в настройках TCP ip пропишите ВТОРОЙ АДРЕС из другой подсети. Один адаптер может иметь два разных ip 3. С помощью ip tables, короче вручную можно прописать маршруты для пакетов на ваших пк
Допустим у тебя есть 20 кабелей в управляемом коммутаторе в серверном, которые идут на обеспечение интернетом малой организации. Но все эти кабели вшиты в стену и ты понятие не имеешь какой из них куда идет, в моём случае на 3 этажа раскидана. Которые еще раскиданы по рабочим местам по свичу. Могу ли я разбить vlan по ip адресам, а не по лан кабелям вставленный в коммутатор? Или нужно будет каждый кабель чекать "кабель тестером"?
Нужно каждый кабель чекнуть тестером. 20 тачек это вообще не о чём...работы до обеда максимум
VLAN это про L2, соответственно протокол ничего не знает про L3.
а что мешает VLAN настроить?
а как объединить две подсети в одну, главный роутер с интернетом, ip адрес 192.168.1.*/24 и подключен маршрутизатор на PfSense и он раздает 10.0.20.*/23 вот как эти подсети объединить?
Vismuth маршруты прописать
Есть нюансы на большой сети только 2 вариант рабочий. И то 802.1q vlan лучше настраивать на Mac, а не на порт... потому что с кабелем от рабочего компа бухгалтерии можно будет получить доступ к сети, что совсем не про безопасность.
В untag порты подключаются роутеры, компьютеры пользователей, серверы, работающие на прикладном уровне, и неуправляемые коммутаторы?
Только оконечные устройства. Современные неуправляемые коммутаторы пропускают через себя маркированные кадры.
Является ли роутер оконечным устройством?@@user-xu1xz5jx5i
А вообще у микротика есть роутеры от 1500р и уже можно работать с vlan!
Для маленьких компаний то что надо.
Купили 1 24х портовый микрот от него допустим 1 LAN пускаем транком , на 4 портовый микрот и можно 4х человек в этом кабинете рассадить в разные локалки.
Интернет для юриков дорог - в микроте приоритезация трафика по ip манго Телеком например настраивается за минуту.
И у продажников не икает связь. И канала 10-30 мегабит хватает всем и резервирование 4g- легко.
10:18 я так сделал у нас в школе в кабинете инфы, тк основной коммутатор микротик сопротивлялся, когда я хотел задать айпишники на компах, а к нему у меня не было ни логина ни пароля
Я поставил роутер tenda, врубил dhcp и через роутер уже (мне так было удобнее и быстрее) задал айпишники для всех 12ти компов + файлового сервера на omv 9. Я так сделал не только из за айпишников, а ещё из за того что у половины в школе включена общая сетевая папка и если подключить всё в одну сеть, то мУченики будут путаться и не туда сохранять работы + не хотелось, чтоб из вне (например из другого кабинета инфы) получить доступ к серверу и например перегрузить его запросами ping, что парализовало бы его работу
Причём основная сеть у нас в лицее имеет формат 10.0.0.1, когда мне было проще и понятнее использовать вид 192.168.0.1
Чтот тумаете по поводу игдросиль?
ну а если в подсетях два разных DHCP раздали одинаковые ip, на выходе с коммутатор с кадра снимается тег, что дальше будет ? как роутер будет общаться с ip у которого два MAC адреса ?
Во-первых, какой даун будет выставлять в подсетках адреса из одного пула? Если уж так, то нужно масками рулить, чтоб не пересекались.
Во-вторых, каким образом на одном ip два mac адреса? Ты что несешь, дядя...
Так нельзя. Но если очень хочется, то протокол MPLS в помощь.
09:10 Что за бред, если там управляемые коммутаторы настраиваешь транк порты, указываешь для каких вланов, и не важно где они стоят и сколько их
я говорю про большое количество НЕУПРАВЛЯЕМЫХ коммутаторов... С управляхами вообще никаких проблем
Привет. А вот такая задачка, вообще выполнима или нет?
Есть ПК со своим ВЛАНом (допустим адрес 192.168.34.10) и есть другое устройство, но уже с другим ВЛАНом ну и соответсвенно другой подсетью, у которого адрес должен быть 192.168.35.10. Но загвоздка в том, что это устройство некуда воткнуть (физически не приходит ни одного кабеля, и Wi-fi не обслуживает данное место), так вот, если я на этот ПК с адресом 192.168.35.10 воткну wi-fi свисток и раздам сеть, и подключу данное устройство к этому Wi-fi (от ПК), смогу ли я как-то настроить нужный Влан на этом wi-fi (или на порту коммутатора в который подключен ПК), или такие магические действия не выполнимы?) Надеюсь описал понятно.
признаться не совсем понял схему, но в любом случае это какой то дроч. Проведи кабель, не создавай сам себе проблем.
@@kurets да это понятно, но кабеля нет, как и нет свободных портов в коммутаторе и вообще возможности провести в данное место этот кабель, ну да ладно, спасибо за ответ
Dendrafecal Construction inc!
У меня небольшая сеть но разделять доступы нужно, в сети было 2 микротика.....
Взял ещё 2 24портрвых с vlan по 13тр.
Тихие! (Ну нет у меня отдельного помещения )
Цыски жрут от 100 вас, эти до 10. L3
Микротик - BDSM сначала больно а потом норм.
Здравствуйте, у моего товарища по команде 2 сети wi-fi,с одной он играет со стабильным пингом, а с другой просто в интернете лазит. Если что на телефоне. Не знаете как такое сделать?
PubgM Chef масса вариантов) как один из-докупить точку доступа
@@kurets а если без докупов, он говорит ,что ничего дополнительно не докупал, и чуть ли не с магазина у него сразу было две сети.
PubgM Chef хз. Может особенность роутера. Я на своём опыте таких не встречал
Речь наверное о 2х диапазонном вайфай роутере
Как узнать адрес роутера. Проверял через консоль ipconfig. Не показывает. перепробывал 192.168.0.1,192.168.1.1, 192.168.1.108 и так далее не нашел. Я думаю админ отключил DHCP в настройках роутера пожалуйста ответь. Помошник сис админа)).
Посмотрите в настройках сетевой карты адрес шлюза по умолчанию. Если в сети не поднят отдельный прокси-сервер, то это и будет адрес роутера
09:25 не понял, почему лишние коммуматоры и это не сработает? а если транк прокинуть между ними?
Trunk? Братишк, это тебе не циски
@@kurets а на длинке как?
@@w1tcherj на тех, что в примере-никак)
@@kurets ну я все равно не понял почему схема свитч-свитч-свитч-роутер не сработает?
@@kurets братишь, транк - терминология cisco, тэгированный порт - в терминологии дэлинка. Я на дэлинках транки виланов между собой настраивал.
У нас по городу 3 объекта, чтобы создать VPN (объеденить их в одну сеть) нужен статический ip адрес?
Как минимум один нужен. Можно конечно попробовать поизвращаться с DDNS, но это костыли. Статика в случае с VPN однозначно маст хэв
Денис Курец понятно, спасибо) а желательно на всех 3 объектах чтобы стат. ip был??
@@maxat1338 если есть такая возможность - то да. В будущем будет меньше проблем с обслуживанием.
Денис Курец а если 4-ый объект только на 3G/4G, его в VPN не удастся подключить?
@@maxat1338 можно
В чём рисовать компьютерные сети?
Paint
100%
В какой порт управляемого коммутатора вставлять сетевой кабель от провайдера?
Может маршрутизатора/роутера?, а не коммута?
Любой LAN порт роутера соединяется с 23 портом управляемого коммутатора?
ADSL Интернет использовали?
Лет дцать тому назад
Какой из LAN портов роутера соединяли с 23 портом управляемого коммутатора?@@kurets
А теперь тоже самое только с одним роутером и двумя ПК, к примеру один ПК подключен к роутеру, а второй ПК через второй ethernet port первого ПК
И разные OS Linux>Win10 и Win10>Linux
могет пацан
Зачем ещё нужен VLAN,кроме как для защиты от подмены MAC адреса?
Супер 10 лайков
Спасибо бро
И еще есть вопрос как в подсети 192.168.1.108 определенным(только некоторым) ip(статическим) адресам админ дал доступ к интернету. Но другие компы со стачиским ip в этой же подсети не имеют доступ к интернету
Обычный прокси-сервер с авторизацией по IP и MACу
Или микротик роутеи он почти все умеет в паре с упр свичом
На маршрутизаторе настроены ACL.
А, почему в серверных творится бардак? Да и почему мастера никак не могут научиться добротно, эргономично, эстетично укладывать кабели? Почему запутаная лапша встречается так часто?
риторический вопрос. Почему асфальт плохой. Почему рушатся дома. Почему пенсии маленькие. От человека всегда зависит. Есть хорошие мастера качественно укладывающие всё (но их работа и стоит дороже). У многих в серверной порядок. Но не у всех. Если по жизни неряха, то и на работе во всё неряха
Есть монтаж, а есть эксплуатация. Монтажник, а потом эксплуатация доделает. Потом эксплуатация идёт к шефу, а денег нет. Тут и получается один доделает, поэтому что любит порядок, а другой денег нет, на то на это да и зачем что-то делать когда и так работает. Вывод человеческий фактор убрать из жизни нельзя.
3 способом делал когда-то давно, но влан-ы круче как не крути
VLANы наше всё
@@kurets vlanы это когда контора понимает ,что такое безопасность и выделяет деньги и изначально построенная правильно сеть , то куда не придешь везде звезда и разбери куда что воткнуто
А если в конторке стоят циски 2950, 2960 ? тогда Vlan мимо тазика
Интересно, к 2020му году автор освоил iptables+squid или mikrotik/casco? :-)
П.С. Интересно, он всё еще использует глупые роутеры для раздачи Интернет? :-)
Освоил. И даже успел стать инструктором академии Cisco по всей ветке CCNA :-)
@@kurets Лайк тогда :-)
На гражданке в мирное время интернет быстро развился.
ггг! вот поэтому в высшую лигу таких админов и не берут. ну банально накатить на виртуалку тот же ipfire(если уж так нужен gui для настройки), разделить сети интерфейсами(можно виртуальными), wifi роутер в dmz и маршрутизацию/файерволл настроить - 2 правила. работы на 30 минут вместе с инсталляцией
Ну в принципе по схеме нет серверов, так то 2 пула на сервере и всё, НО как по мне 3 вариани в предлогаемом случае оптимальный, настройка 5 мин, если сгорит что, восстановление ограничено временем нахождения нового роутера, а к примеру тотже микротик и один справиться, и будет дешевле всех остальных вариантов тут тебе и qos, fw, vpn...за смешные деньги
К чему все эти извращения, когда можно просто назначить 2 разных IP-адреса интерфейсу роутера?
Александр Соловьев а по вашему все роутеры позволяют это сделать?
@@kurets те, которые не позволяют, не имеют право на существование в Enterprise
@@alexandergreat6192 в этот момент сотня бухов с моей работы сидящих по сей день под XPшкой поперхнулись от смеха) Друг мой, всё имеет право на существование.
3-й способ не работает, из подсети пинг проходит в соседнею сеть (
это каким-таким образом? Может вы маршрут ещё зачем-то настроили
да, по 3-ему способу бухгалетрия видит всех из подсети 192.168.0.0\24, а сама сидит за NAT своего роутера. Какая маршрутизация у SOHO Асусов сложно сказать, но чисто в теории компам в бухгалтерии ничего не помешает видеть промежуточную локальную сеть.
Надо файервол просто на 2 роутере настроить
Лайк!
благодарствую
А нельзя маской разбить на подсети?
Алексей Кирьяков можно. Но я тогда был малой и не знал про сабнетинг
Hacking in Russian просто пушка. И эти люди снимают "образовательные" видео.
можно взять циску и сделать роутер на палочке.
а нужно ли?)
@@kurets правильно ли я понимаю, что более граммотно было бы просто взять циску 2960, убрать роутеры и в циске уже настроить vlan, а по кабинетам уже покидать простые свитчи?
Да. Ещё грамотнее было бы не кидать свитчи по кабинетам, а вести нужное количество проводов до серверной стойки. Но на момент снятия ролика бюджет крайне скромный)
@@kurets спасибо за ответ, с меня подписка. сам работаю начинающим эникеем, поизучаю ваши ролики.
раньше до войны наша организация покупала б.у. циски с гарантией магазинной, но после войны цена на б.у. выросла в 4 раза за них.
У меня 5 г и 4 это мои сети на одном роутере
Блин, вроде классно объяснили, но я ничего не понял, к сожалению.(
James Kardenos бывает. Значит еще рановато
Поставить Микротик и будет счастье всем.
Андрій Овдійчук ага. А лучше циску. И не одну. Не в этом счастье, дядя...
@@kurets микротики за копейки бывают
Balamutick в том далёком году, когда было снято видео, про микротики и речи не шло
Эх ещё бы рассказал как на одном роутере перенастроить порт для отдельной подсети... Цены бы этому видео не было)
Зависит от железки которая должна поддерживать сабинтерфейсы.
решения с микротик тут нет по тому, что на его фоне эти три варианта просто смешные ) думаю этот парнишка за 6 лет уже разобрался, какими роутерами надо пользоваться на предприятиях )) просто один порт убираем из бриджа, создаём на нем вторую сеть и закрываем роутинг между подсетками - ноль денег, 3 минуты времени. без вложений можно хоть 5 независимых сетей наплести.
Дажн спустя 6 лет парнишка считает, что в ценовом сегменте доступном в госухе - любой из этих вариантов тупо экономически выгоднее) хотя сам я уже давно работаю в организации где всё на цискачах, да элтексах. Но тем не менее. Бюджет совсем разный
Жаль не показали виртуальный способ
Да виртуальный бы...
Третий вариант полный колхоз, решается Вланами .
А если в сетке нет управляемых коммутаторов?
@@kurets Менять структуру и приводить к людской, тем более это в нынешних реалиях дешево . Ну самое простое два здания в одном и во втором по кабинету бухгалтеров они между собой должны видится но все остальные не должны видить сеть бухгалтеров. Этло корочь я к чему в ядро л2 железку, а потом разбиваем на вланы и гоним к примеру 5влан тегом через цепочку тупариков, а там где нужно ставим к примеру дир 100 в режиме свичаи и растегирум 5влан.
У меня одного дома такая фигня?
gachi cat какая?
(пишу со 2 акка ) надобность в нескольких подсетях [дело в том что брат любит игры с торрента качать, а вирусная и мой комп заражает. Уже 3 раза из-за этого винду переустанавливал ]
И кст спасибо за решение
Df Fh всегда рад помочь!
Конечно управляем ого коммутатора не нашлось, но старый роутер с этим вполне справился, но портов конечно не хватило. Поставил обычный коммутатор после 2го роутер и вроде все норм. Все работает компы вне моей сети меня не видят и наоборот тоже.
поп переобулся
юмор за 300
@@kurets зачем ты ответил? ) обиделся от наитупейшего коммента? для меня всегда ржачно когда мужики бороду или усы отпускают, они же их подбривают, ухаживают. у мужика или гладкое лицо быть или просто небритое до следующего братия. Остальное - это тема для обсуждения пдрстии, латентного пздлизания и дальше выше.
@@kurets если ты считаешь, что это солидно и тебе так лучше ) то тогда сорри
@@DmitryGvozduk1987 я отвечаю на все комменты. Не из обиды, а потому что работа такая. Ржачно, когда мужик - безбородое женоликое создание. Вот это действительно латентно.