домен через интернет...
Правила форума
Пожалуйста, ознакомьтесь с правилами данного форума
Пожалуйста, ознакомьтесь с правилами данного форума
- папа Карло
- Шарманщик
- Сообщения: 8563
- Зарегистрирован: 17 фев 2003, 15:04
- Откуда: НН -> BC -> WA -> UT -> CA
домен через интернет...
скажем так.... есть две домашних сетки. закрытых снаружи хардварными роутерами. на одной стороне есть виндовозный сервак, на другой стороне есть фрибсд на которой запросто может быть поднята самба. реально объеденить эти две сетки в секурный домен через интерент? задача пока чисто академическая хочется послушать мнения. на вопрос а нахрена отвечу просто.... на обеих сторонох есть разный набор аппликейшенов, которые хотелось бы пользовать всем.
-
- Маньяк
- Сообщения: 2803
- Зарегистрирован: 29 май 2003, 22:29
- Откуда: Магадан - Миссиссага
Папа,
Ты задаёшь вопрос так, как "архитектор", или MBA, а не практик. Ты только не сердись. Ниже мои аргументы. Будет работать, или нет? Так это зависит от конткретных обстоятельств, о которых ты ничего не пропостил.
Так, что давай уточнимся
С доменами ещё б разобраться надоб. Домен безопасности W2k - это не инет-домен в принятой у юниксоидов терминологии.
Вопросы для начала:
1) про домены - см. выше
2) на какой платформе хосты юзверей в каждой из сеток.
3) как эти хосты рабочих станций соотносятся с доменом W2k (если таковой вообще существует, в чём я чё-то сомневаюсь ). Если винюковые по большей части рабочки - то какие? W98 и W2k по разному понимают CIFS. В одном случае достаточно (кроме того, что ещё надо ) только TCP 445 , вдругом случае начинается гимор с TCP 139. (если речь дальше пойдёт о гиморе с фалом).
4) Как хосты разрешают имена (и в одной и в другой сетке)
5) Из той же оперы . Если речь зайдёт дальше о AD, то как хосты в обоих сетках разрешают имена сервисов и служб (ресурсные записи global catalog, dc, .....). Только не путай ресурсные записи DNS bind и DNS на контроллерах домена W2k.
6) Кроме этой домашне-корпоративной сети должныли компы видеть инет?
ПС. Видишь как много вопросов и проблем может быть в общем случае, когда задача поставлена не точно. На домашних сетях можно зарабатывать бабки. Не спорю. Но только надо уходить от непонятных "секретных интернет доменов" в формулировках. По сути тоже - оставь байду с доменами безопасности W2k, AD ..... Это не так просто, как тебе может показаться. Поверь. А хочешь - не верь.
Ты задаёшь вопрос так, как "архитектор", или MBA, а не практик. Ты только не сердись. Ниже мои аргументы. Будет работать, или нет? Так это зависит от конткретных обстоятельств, о которых ты ничего не пропостил.
Так, что давай уточнимся
Совершенно по-барабану. Важно другое - можешь ли ты разрулить там ACL правильно. В зависимости от ответов на вопросы ниже - там надо не только уметь правильно писать permit/deny, но и знать какой трафик и как разрешать (разрешение только CIFS в общем случае будет недостаточно )закрытых снаружи хардварными роутерами
Сервер "отдельно" стоящий, или в составе домена безопасности W2k? Ну, т.е. там есть контроллер домена, держащий AD, ......?на одной стороне есть виндовозный сервак
У нас тут один неплохой провайдер под боком. Так и делают. Винюковые компы узают файло на FreeBSD. Но там нет "...доменов...".на другой стороне есть фрибсд на которой запросто может быть поднята самба.
С доменами ещё б разобраться надоб. Домен безопасности W2k - это не инет-домен в принятой у юниксоидов терминологии.
"... секурный домен... ". Что ты здесь имеешь ввиду? Домен безопасности W2k? О какой секурити ты говоришь?реально объеденить эти две сетки в секурный домен через интерент?
Это понятнона обеих сторонох есть разный набор аппликейшенов, которые хотелось бы пользовать всем.
Вопросы для начала:
1) про домены - см. выше
2) на какой платформе хосты юзверей в каждой из сеток.
3) как эти хосты рабочих станций соотносятся с доменом W2k (если таковой вообще существует, в чём я чё-то сомневаюсь ). Если винюковые по большей части рабочки - то какие? W98 и W2k по разному понимают CIFS. В одном случае достаточно (кроме того, что ещё надо ) только TCP 445 , вдругом случае начинается гимор с TCP 139. (если речь дальше пойдёт о гиморе с фалом).
4) Как хосты разрешают имена (и в одной и в другой сетке)
5) Из той же оперы . Если речь зайдёт дальше о AD, то как хосты в обоих сетках разрешают имена сервисов и служб (ресурсные записи global catalog, dc, .....). Только не путай ресурсные записи DNS bind и DNS на контроллерах домена W2k.
6) Кроме этой домашне-корпоративной сети должныли компы видеть инет?
ПС. Видишь как много вопросов и проблем может быть в общем случае, когда задача поставлена не точно. На домашних сетях можно зарабатывать бабки. Не спорю. Но только надо уходить от непонятных "секретных интернет доменов" в формулировках. По сути тоже - оставь байду с доменами безопасности W2k, AD ..... Это не так просто, как тебе может показаться. Поверь. А хочешь - не верь.
-
- Маньяк
- Сообщения: 2803
- Зарегистрирован: 29 май 2003, 22:29
- Откуда: Магадан - Миссиссага
- ajkj3em
- Маньяк
- Сообщения: 2063
- Зарегистрирован: 12 ноя 2006, 06:53
Re: домен через интернет...
vpn, папа, ты хочешь vpn. можно непосредственно между "раутерами". если "раутеры" не поддерживают ike/ipsec, то на фрибсд - racoon + родной ipsec, на виндах - родной ipsec, и на соответствующем раутере - ipsec passthrough (он же ipsec forwarding). если в прайват сетках есть address collision, то одном из концов (проще на bsd) надо делать s-nat на выходящий из тунелля трафик ... ну и все такое .. короче какой вопрос - такой ответпапа Карло писал(а):скажем так.... есть две домашних сетки. закрытых снаружи хардварными роутерами. на одной стороне есть виндовозный сервак, на другой стороне есть фрибсд на которой запросто может быть поднята самба. реально объеденить эти две сетки в секурный домен через интерент? задача пока чисто академическая хочется послушать мнения. на вопрос а нахрена отвечу просто.... на обеих сторонох есть разный набор аппликейшенов, которые хотелось бы пользовать всем.
-
- Маньяк
- Сообщения: 2803
- Зарегистрирован: 29 май 2003, 22:29
- Откуда: Магадан - Миссиссага
drain bamage,
2) "...если "раутеры" не поддерживают ike/ipsec...". Наверное, это специальные канадцкие роутеры "...поддерживают ike/ipsec...". Во всем мире раутеры - это всего лишь уровень IP. Да-да. Всего лишь IP, если быть точным в терминологии. Ибо их задача - м а р ш р у т и з и р о в а т ь.
3) Как всё запущено с ipsec на виндах, особенно для W98 Где уж здесь чего форвардить. Хотя, ...ах-да.... у нас специальные канадские раутеры, которые не маршрутизируют, а шифруют и уж потом всё остальное. Ну, так Папа не пишет - крипто-маршрутизатор. Надеюсь, Папа до этого не дошёл.
ПС.
Всё гораздо проще. Ну а так, да весело.
1) А Вы уверены, уважаемый, что Папа хочет VPN? Сомневаюсь. Папа-то слово из трёх букв (ВПН) знает. Так и написал бы - хочу виртуал приват нетворк.vpn, папа, ты хочешь vpn. можно непосредственно между "раутерами". если "раутеры" не поддерживают ike/ipsec, то на фрибсд - racoon + родной ipsec, на виндах - родной ipsec, и на соответствующем раутере - ipsec passthrough (он же ipsec forwarding). если в прайват сетках есть address collision, то одном из концов (проще на bsd) надо делать s-nat на выходящий из тунелля трафик ... ну и все такое .. короче какой вопрос - такой ответ
2) "...если "раутеры" не поддерживают ike/ipsec...". Наверное, это специальные канадцкие роутеры "...поддерживают ike/ipsec...". Во всем мире раутеры - это всего лишь уровень IP. Да-да. Всего лишь IP, если быть точным в терминологии. Ибо их задача - м а р ш р у т и з и р о в а т ь.
3) Как всё запущено с ipsec на виндах, особенно для W98 Где уж здесь чего форвардить. Хотя, ...ах-да.... у нас специальные канадские раутеры, которые не маршрутизируют, а шифруют и уж потом всё остальное. Ну, так Папа не пишет - крипто-маршрутизатор. Надеюсь, Папа до этого не дошёл.
ПС.
Всё гораздо проще. Ну а так, да весело.
- папа Карло
- Шарманщик
- Сообщения: 8563
- Зарегистрирован: 17 фев 2003, 15:04
- Откуда: НН -> BC -> WA -> UT -> CA
Re: домен через интернет...
тунель сделанный vpnэом это первое что пришло мне в голову.... рутеры умеют только впн пропускать.drain bamage писал(а):vpn, папа, ты хочешь vpn. можно непосредственно между "раутерами". если "раутеры" не поддерживают ike/ipsec, то на фрибсд - racoon + родной ipsec, на виндах - родной ipsec, и на соответствующем раутере - ipsec passthrough (он же ipsec forwarding). если в прайват сетках есть address collision, то одном из концов (проще на bsd) надо делать s-nat на выходящий из тунелля трафик ... ну и все такое .. короче какой вопрос - такой ответпапа Карло писал(а):скажем так.... есть две домашних сетки. закрытых снаружи хардварными роутерами. на одной стороне есть виндовозный сервак, на другой стороне есть фрибсд на которой запросто может быть поднята самба. реально объеденить эти две сетки в секурный домен через интерент? задача пока чисто академическая хочется послушать мнения. на вопрос а нахрена отвечу просто.... на обеих сторонох есть разный набор аппликейшенов, которые хотелось бы пользовать всем.
- ajkj3em
- Маньяк
- Сообщения: 2063
- Зарегистрирован: 12 ноя 2006, 06:53
Re: домен через интернет...
я не в курсе, что твои "хардварные роутеры, закрывающие домашнюю сетку" умеют. часть nat box'ov типа linksys'a могут таки терминировать ipsec. я ж тебе сказал - какой вопрос - такой ответпапа Карло писал(а):тунель сделанный vpnэом это первое что пришло мне в голову.... рутеры умеют только впн пропускать.drain bamage писал(а):vpn, папа, ты хочешь vpn. можно непосредственно между "раутерами". если "раутеры" не поддерживают ike/ipsec, то на фрибсд - racoon + родной ipsec, на виндах - родной ipsec, и на соответствующем раутере - ipsec passthrough (он же ipsec forwarding). если в прайват сетках есть address collision, то одном из концов (проще на bsd) надо делать s-nat на выходящий из тунелля трафик ... ну и все такое .. короче какой вопрос - такой ответпапа Карло писал(а):скажем так.... есть две домашних сетки. закрытых снаружи хардварными роутерами. на одной стороне есть виндовозный сервак, на другой стороне есть фрибсд на которой запросто может быть поднята самба. реально объеденить эти две сетки в секурный домен через интерент? задача пока чисто академическая хочется послушать мнения. на вопрос а нахрена отвечу просто.... на обеих сторонох есть разный набор аппликейшенов, которые хотелось бы пользовать всем.
- папа Карло
- Шарманщик
- Сообщения: 8563
- Зарегистрирован: 17 фев 2003, 15:04
- Откуда: НН -> BC -> WA -> UT -> CA