Как сделать два шлюза на одном компьютере

Добавил пользователь Дмитрий К.
Обновлено: 04.10.2024

Доброго Вам Дня!
Будьте добры, подскажите как получить доступ из корпоративной сети к интернету?
Windows 7 Ultimate лицензионная.
Выход в интернет:
через Ethernet-маршрутизатор DSL-2500U ADSL2+
Ip 192.168.1.3
Маска 255.255.255.0
Шлюз 192.168.1.1
Работает отлично.

Корпоративная сеть:
Ip 172.127.110. от 2 до 250
Маска 255.255.255.0
Шлюз 172.127.110.1
Все работает отлично.

Ставлю на одной машине 2 сетевые карты и при конфигурировании выдает предупреждение :
Предупреждение.

Конфигурация с несколькими основными шлюзами предназначена для обеспечения избыточности в пределах одной сети (такой, как интрасеть или интернет). Они не смогут нормально работать, если находятся в двух различных, непересекающихся сетях (например один шлюз в интрасети и один в интернете).

Сохранить эту конфигурацию?

Сохраняю но видит одну из двух - что делать?
На всякий случай выкладываю лог Ipconfig:

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : KPFU_Proxi
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет

Ethernet adapter Подключение по локальной сети 2:

DNS-серверы. . . . . . . . . . . : 192.168.1.1
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : 90-2B-34-C0-E9-58
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::a8:3cbd:7e42:ce03%11(Основной)
IPv4-адрес. . . . . . . . . . . . : 172.127.110.250(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 172.127.110.1
IAID DHCPv6 . . . . . . . . . . . : 244329268
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-1B-1D-C6-F6-90-2B-34-C0-E9-58

DNS-серверы. . . . . . . . . . . : 172.127.110.1
NetBios через TCP/IP. . . . . . . . : Включен

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Как раздать Интернет в две подсети?

Доброго дня, ребят. Нынче тема нашего выпуска будет ориентирована на ту немногочисленную категорию подписчиков, которая уже работает на предприятиях. Ибо связана она с насущной практической проблемой, с которой за этот год, мне пришлось столкнуться уже дважды. Чтобы там не говорили по телевизору, но финансирование многих государственных учреждений каждый год понемножку урезают. Делается это в разных сферах. В том числе и в компьютерно-информационной области. Поэтому если раньше многие зажиточные предприятия могли позволить иметь в своём распоряжении основной канал доступа в Интернет, резервный канал, отдельную линию для начальства, чтобы не загружать основной и из соображений безопасности. То сейчас ситуация постепенно меняется.

Задачка с подсетями

Сюжет будет полезен всем без исключения начинающим и более-менее опытным сисадминам. Ну а для тех, кто ещё не занимает почётную должность старшего системного администратора или техника в филиале Газпрома, но прикладывает все свои силы, чтобы в будущем попасть в высшую лигу, я предлагаю вмести с нами, разобрать по полочкам интересную ситуационную задачку и посмотреть варианты решения.

В небольшом офисе есть 2 локальные сети, не объединенные друг с другом (общая сеть и сеть для бухгалтеров). Две этих сети разделены в целях безопасности, чтобы никто из общей сети не мог попасть в сеть бухгалтерии. После сокращения финансирования на предприятии было решено оставить один канал, для доступа к Интернету. Данный канал с недавнего времени используется в качестве основного для всех пользователей общей сети. Бухгалтерская сеть после отключения собственного отдельного канала осталась без Интернета.

Найти:

Решение 1. Прокси-сервер

Решение с прокси-сервером

Решение 2. VLANы на коммутаторе

Второй способ подойдёт тем, кто изначально грамотно спроектировал свою сеть или уже попал на предприятие с правильным расположением объектов сетевой инфраструктуры. Что лично я подразумеваю под правильным расположением? Это наличие серверной комнаты с ограниченным для посторонних лиц доступом. И расположение в этой комнате центральных узлов сети: контроллера домена, роутера и центрального коммутатора. Именно связка, в которой возможно подключение роутера в центральный управляемый коммутатор и будет являться основой для следующего решения. Ибо в нём мы будем создавать VLANы (виртуальные локальные сети) на свитче. О том к чему это приведёт, и какие недостатки имеет подобный подход, сейчас разберёмся.

Решение с VLANами

Для демонстрации я буду использовать роутер ASUS DSL-N12U и коммутатор D-LINK DGS-1224T. Ничего особенного. Вполне посредственный роутер и устаревший управляемый свитч с минимумом настроек. Подключаем кабель от роутера в 23 порт, кабель от компьютера из общей сети в 1, а кабель от одного из ПК выделенной подсети в порт №9. Все настройки я буду выполнять с ещё одного дополнительного компьютера, который подключу в 24 порт, чтоб не запутаться.

Порты на свитче

Шаг 1. Как только вся возня с проводами окончена, можем заходить на свитч. По умолчанию веб-интерфейс срабатывает по адресу 192.168.0.1 и положительно реагирует на пароль admin.

Смена IP

Добавить новый VID

Шаг 4. В появившемся окне присваиваем правилу номер (например 2) и выделяем какие порты будут видеть друг друга в случае работы по второму правилу. Допустим с 1 по 8 и 23 (порт роутера). Должны же они как то инет получать. Первые восемь портов для компьютеров в нашем случае это общая сеть.

Порты общей сети

Шаг 5. По аналогии создаём третье правило. В котором портам с 9 по 16 открываем доступ к друг дружке и роутеру. Это будет наша подсеть. Она ни в коем случае не будет пересекаться с общей сетью, но при этом будет иметь доступ к Интернету. Сохраняемся.

Порты бухгалтерской подсети

Port VID setting

Шаг 7. Со свитчом всё. Полезли на роутер. По умолчанию он тоже имеет IP адрес 192.168.0.1. Меняем его на уникальный. Делается это во вкладке ЛВС. Такс. Раз уж он подключён в 23 порт, то пусть и IP имеет 192.168.0.23.

Смена IP на роутере

Шаг 8. Осталось настроить компьютеры. На первом компьютере (из общей сети) прописываем IPшник (192.168.0.1), стандартную маску (255.255.255.0) и в качестве основного шлюза и DNS - адрес роутера, который мы изменили шагом выше (192.168.0.23).

Настройка компьютера из общей сети

Шаг 9. Аналогичным образом поступаем с компьютером подключённым в 9 порт. Не волнуйтесь о том, что третий блок в их IP адресе совпадает. В сети они всё равно друг друга не увидят.

Настройка компьютера из подсети

Шаг 10. Или увидят? Давайте убедимся в этом. Но сначала проверим интернет. Для этого пошлём PING с первого компьютера на роутер. Уф. Прошёл. А теперь проверим пинганёт ли он своего собрата из другой подсети. Тааак. Кажись не пинганёт. Значит со стороны компьютера общей сети всё отлично.

PING с общего

Шаг 11. Убеждаемся в правоте наших доводов со стороны бухгалтерского компьютера. Инет работает, общую сеть не видит. PROFIT!

Проверка интернета

PING с компьютера подсети

Однако не всё так безоблачно. Работоспособность данного способа возможна лишь в ситуации, когда компьютеры сети и роутер подключены в один управляемый свитч. В случае же, если между рабочими станциями и связкой роутер-свитч натыкано ещё Nое количество коммутаторов или хабов, такой вариант не сработает. Поэтому такой метод решения подойдёт лишь в той ситуации, когда сеть маленькая и её можно чуточку модернизировать, заведя всех в один свитч. Или в случае, если вы проводите большую сеть с нуля и подключаете все провода от компьютеров в серверной комнате.

Решение 3. Второй дополнительный роутер

Ну, хорошо. А что же делать тем, кто имеет в своём распоряжении относительно крупную сеть, щупальцы которой охватывают несколько зданий? Ведь и ежу понятно, что перепроводка всех участков этого монстра опасна для нервной системы всех работников предприятия. Всюду беспорядочно натыканы свитчи, не о какой серверной комнате и речи не идёт, а роутер находится вообще в курилке под потолком. Страшно представить? Да такое случается сплошь и рядом. И дабы не ударить в грязь лицом и показать себя как специалиста, нам нужно суметь решить поставленную задачу даже в подобных условиях.

Решение со вторым роутером

Для начала нам понадобится второй роутер. Я возьму роутер той же модели, что и в прошлом случае. Подключаем к простеньким свитчам все компьютеры. Один будет играть роль ПК из общей сети, другой роль компьютера из подсети. В один из свитчей подключаем роутер имеющий подключение к Интернету по оптоволокну (или ADSL). А второй, дополнительный роутер ставим поближе к подсети и подключаем его WANом в общую сеть, а LANом в подсеть. После того, как все работы по коммутации произведены, переходим к настройке оборудования.

Настройка WAN

Настройка IP для подсети

Шаг 3. В принципе можно уже проверять. Давайте пропишем все настройки для одного из компьютеров подсети. Пусть IP адрес будет 192.168.123.1, маска стандартная, шлюз и DNS как мы уже обговаривали ранее 192.168.123.45.

Настройка ПК в бухгалтерии

Шаг 4. Сохраняем и пробуем пропинговать сначала новоиспечённый роутер, а затем один из компьютеров, который находится в общей сети. В первом случае результат, как видим положительный. А вот во втором, никак. Значит и со стороны общей сети в сетевом окружении нас не видно.

Проверка связи

Шаг 5. Для полной гарантии того, что всё получилось, запустим браузер и удостоверимся в наличии Интернет-соединения. Всё работает. Отлично.

Проверка интернета

Вывод:

Таким образом, мы разобрали три реально работающих решения для конкретной ситуационной задачи, с которой может столкнуться каждый начинающий и более-менее опытный системный администратор. Можно ли ответить какой из способов самый лучший? Наверное, нет. Тут всё зависит от дополнительных условий, поставленных перед вами. А также ресурсов, которыми вы на момент постановки задачи располагаете.

Если вы крутой админ прочитавший все возможные учебники, побывавший на десятках семинаров по циске и имеющий за плечами огромный опыт администрирования сетей, то…зачем вы вообще читаете эту статью? Ну а серьёзно, если бюджет позволяет раскошелиться на прокси-сервер и аппаратный фаервол, то делайте это. Настроив всё один раз, вы получите хорошо защищённый и полностью подконтрольный инструмент управления выходом в глобальную сеть. Первый способ он самый трушный.

Второй подойдёт тем, кто имеет в своём распоряжении более-менее приличную серверную с коммутационным центром. Или тем, у кого просто в шкафу завалялся старенький управляемый свитч, а сеть которую вы обслуживаете очень маленькая.

Третий же вариант подойдёт абсолютно всем. Он применим в любой ситуации. Однако требует дополнительных расходов на роутер. Либо, если уж берёте из того же дряхлого шкафа, старый, то обязательно убедитесь, что в нём есть минимум 2 порта RJ-45 и его прошивка поддерживает возможность назначения одного из них в качестве WAN-интерфейса.

Всё друзья. Я как всегда затянул выпуск. Хотя прекрасно понимаю, что ваше время это самый ценный ресурс. Но ребят. По опыту знаю, что лучше 1 раз потратить 15-20 минут и получить ценную информацию. Чем неделями сидеть на форумах и по чайной ложке вычерпывать из разных постов крупицы полезной инфы. Так, что не серчайте. До встречи через недельку. Всем добра и хорошего новогоднего настроения!

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"IPEnableRouter"=dword:00000001 - этот параметр необходимо установить в единицу (по умолчанию он равен нулю)

  1. В рабочей станции может быть два и более физичесикх сетевых адаптера и в скрипте придётся это учитывать!
  2. Эту групповую политику необходимо запусать не под правами пользователя, так как пользователь не сможет изменить данную ветвь реестра и сетевые настройки, имея самую простую доменную учётку!

Желаю удачи! Надеюсь, что шарики с роликами закрутились в голове с новыми идеями и мыслями!

Две сетевые карты с разными сетями одновременно на одном ПК.

У меня в системнике две сетевые карты работающие по разным шлюзам. Один шлюз для связи с некорого рода приборами(10.0.254… ), второй для инета (192.168.1.1.). Основной первый. Как заставить работать интернет.

Вот пример, как это реализовать на практике.

К примеру, наша сетевая карта №1, которая смотрит в интернет через маршрутизатор\модем имеет следующие настройки TCP\IP (привожу настройки, которые встречаются почти во всех случаях при использования SOHO (small office home office) маршрутизаторов.

IP адрес 192.168.1.2

Всё у Вас функционирует нормально, интернет работает.

Но вот так же имеется вторая сетевая карта №2, которая смотрит в корпоративную (любую другую локальную) сеть со своим корпоративным шлюзом(отличным от модема\маршрутизатора раздающим интернет) следующие настройки TCP\IP

IP адрес 10.47.10.23

!!Шлюз тут ничего не указываем, так как MS Windows по умолчанию не умеет работать с двумя шлюзами по умолчанию, помним, что у нас шлюз по умолчанию указан уже в сетевой карте №1 от которой мы получаем Интернет. Допустим в нашем случае адрес корпоративного шлюза будет 10.47.10.2, чтобы выходить в другие корпоративные подсети.

В настройках второй сетевой карты №2 выставляем только IP адрес и маску подсети, а дополнительный маршрут пропишем в командной строке.

Из известных составляющих:

1. Адрес компьютера внутри корпоративной сети - 10.47.10.23

2. Адрес корпоративного шлюза - 10.47.10.2

3. Адрес другой корпоративной подсети, куда нам нужно также попадать при одновременной работе в Интернете - 10.47.20.*

Пуск\выполнить\cmd нажать enter, либо win+r\cmd

Выполнить следующую команду

10.47.20.0 - подсеть в которую нужно ходить через корпоративный шлюз

10.47.10.2 - адрес корпоративного шлюза, чтобы все пакеты направляемые в подсеть 10.47.20.0 направлялись на этот адрес.

-P - ключ, чтобы дополнительно прописанный маршрут встал, как постоянный, то есть не пропал после перезагрузки компьютера.

После того, как команда будет выполнена успешно, Ваш дополнительно прописанный маршрут можете посмотреть через команду

сделай: telnet 10.40.36.16 110
Если приконнектишся, то мучай авторизацию, в ней трабл.

У этих некоторых компьютеров надо вручную прописать их ip-адреса, DNS, WINS (если есть), а в качестве основного шлюза вписать ip-адрес ADSL-модема. А затем прописать постоянные маршруты в корпоративные сети компании через адрес циски:

route -p add mask ip-адрес циски
route -p add mask ip-адрес циски

А можно ли сделать наоборот, что бы шлюз по умолчанию был модем, а для корпоративных адресов прописать шлюз на уиску ? Учитывая что изначально все параметры ип протокола получаютсчя через dhcp

спс, мне тоже такая идея пришлав голову, осталось только теперь выяснить все адреса которые нужны для работы и прописать все в маршруты

Читайте также: