В общем, ситуация такова:Исходные данные: есть 15 публичных IP адресов и управляемый свич, к которому подключены 15 организаций, каждая в своем VLANе.
Надо: настроить каждой организации доступ в интеренет с одного из этих IP адресов.
Насколько я себе это представляю, на свиче надо будет настроить один порт общим для всех VLAN и подключить его к одной сетевой карте компюьтера, во вторую воткнуть публичную сеть, поднять на внешнем интерфейсе алиасами публичные IP, на внутреннем - алиасами приватные IP внутренних подсеток. Ну и видимо 15 натов с разными интерфейсам.
В общем покритикуйте чем можете или посоветуйте что почитать по настройке всего этого.
Поднимаешь на серваке VPN сервер, каждой организации -логин пароль + статический ИП + выход с таким логином - паролем только с определенного ИП-а.
Врезультате публичный ИП оказывается напрямую у клиента + доп защита ввиде логина - пароля.
>Поднимаешь на серваке VPN сервер, каждой организации -логин пароль + статический ИП
>+ выход с таким логином - паролем только с определенного ИП-а.
>
>Врезультате публичный ИП оказывается напрямую у клиента + доп защита ввиде логина
>- пароля.Т.е. один IP забрать на внешний интерфейс, а публичные статики отдавать клиенту как локальный конец его туннеля ?
А у клиентов какие требования к "выходу в Интерент"?
>А у клиентов какие требования к "выходу в Интерент"?Главное - чтоб работало.
Но вообще нат лучше свой поднимать, чтобы у них только днс и шлюз по умолчанию прописать.
Поэтому я вот и думаю больше насчет настройки всех IP на внешнем интерфейсе, 15 натах и соответствующей настройки firewall.
BTW: у кого-нибудь работает более одного natd на нескольких портах ?
интересует стабильность/скорость работы.
Или сразу ставить ipfilter/ipnat ?
>>А у клиентов какие требования к "выходу в Интерент"?
>
>Главное - чтоб работало.
>Но вообще нат лучше свой поднимать, чтобы у них только днс и
>шлюз по умолчанию прописать.
>Поэтому я вот и думаю больше насчет настройки всех IP на внешнем
>интерфейсе, 15 натах и соответствующей настройки firewall.
>BTW: у кого-нибудь работает более одного natd на нескольких портах ?
>интересует стабильность/скорость работы.
>Или сразу ставить ipfilter/ipnat ?А почему не принимать эти 15 виланов прямо на внутреней сетевухе?
Поднимаешь 15 интерфейсов на карточке (карточка виланы поддерживает) и все.Или поднять PPPOE (помойму самое простое и сердитое решение).
Если честно, nat и pptp это для домашних сетей.
Схема с 15-ю интерфейса наиболее работоспособна.
Но для такой реализации нужно 15*4 адресов.Если свитч позволяет можно сделать плоскую сеть, но заперетить
общение между портами, кроме порта маршрутизатора.Собственно какой там свитч?
>Если честно, nat и pptp это для домашних сетей.
>Схема с 15-ю интерфейса наиболее работоспособна.
>Но для такой реализации нужно 15*4 адресов.
>
>Если свитч позволяет можно сделать плоскую сеть, но заперетить
>общение между портами, кроме порта маршрутизатора.
>
>Собственно какой там свитч?D-Link DES-3550
http://www.dlink.ru/products/prodview.php?type=13&id=408
А зачем 15*4 адресов ?
А натить трафик все-равно придется или клиентам или за них, поскольку сетки там будут приватные.
если просто что бы работало, что тебе мешает использовать один адрес? а не 15?
>если просто что бы работало, что тебе мешает использовать один адрес? а
>не 15?Не хочется ставить сертифицированный биллинг.
Да и схему с один IP - один клиент мне в общем как бы навязали.
>D-Link DES-3550
>http://www.dlink.ru/products/prodview.php?type=13&id=408хороший свитч.
на нем можно сделать traffic_segmentation и трафик между клиентскими тачками не будет бегать :)
#config traffic_segmentation 2-16 forward_list 1>А зачем 15*4 адресов ?
адрес сети, броадкаст, адрес маршрутизатора, адрес клиента.>А натить трафик все-равно придется или клиентам или за них, поскольку сетки
>там будут приватные.
Пускай у клиентов голова болит на эту тему.По крайней мере мы раздаем реальные адреса и не жалеем об этом.