راه حل برای این سناریو تانل میکروتیک
سلام به همه
یه سناریو داریم به این شکل :
تانل IPIP برقرار است و هر 2 سابنت یکدیگر را میبینند.pc پینگ 1.1.1.1 و 192.168.0.1 را دارد ولی پینگ DC و SQL را ندارد.و میخواهیم بدون اینکه DC و SQL را به اینترنت متصل کنیم PC بتواند از انها استفاده کند.
1-در این سناریو pc به اینترنت متصل هست باید جوین دامین بشه ولی مثل اینکه باید حتما DC به اینترنت وصل باشه تا جوین و لاگین کاربر صورت بگیره و ما نمیخوایم DC به اینترنت وصل باشه.همچنین dc فایل سرور هم هست و باید توسط pc در دسترس باشه.
2-PC باید توسط یک برنامه حسابداری به SQL وصل بشه و در این مورد هم باید SQL سرور به اینترنت وصل باشه تا اتصال صورت بگیره و باز هم ما نمیخواهیم به اینترنت وصل باشه.
در
ممنون میشم راهنمایی کنید.
8 پاسخ
باید به جای آی پی ولید هایی که اینجا زدی آی پی دو طرف تانل بزنی
1) روی روتر سمت دامین کنترل و SQLیه خط روت بنویس برای رنج 192.168.88.0/24که اگه کسی با این رنج کار داشت بره به سمت میکروتیک سمت دامین یعنیآی پی اون طرف تانل
2)روی روتر سمت PCیه خط روت بنویس برای رنج 192.168.0.0/24 که اگه کسی با این رنج کار داشت پکت هارو بفرسته به سمت آی پی تانل سمت دامین کنترل
برای دسترسی کاربر بهSQLو دامین کنترل توی فایروال فیلترینگ بزار که اگه آی پی کامپیوتر بود بزار بره به سمت این دوتاسرور بقیه اطلاعات نتونه رد بشه.
تمام
با سلام
فرض می کنیم که روترهای سمت PC و DC همدیگرو میبینن
حالا توی روتر سمت PC باید بدین ترتیب بنویسیم :
add dst-address=192.168.0.0/24 gateway= Tunnel Name
سمت روتر DC , SQL هم باید روت برگشت رو بنویسیم:
add dst-address=192.168.88.0/24 gateway= Tunnel Name
منظور از "Tunnel name " همون اسم تانل توی روتربردهاست .
در نهایت باید برای DC , SQL برای خروج و دیدن PC حتما Gateway = 192.168.0.1 رو بزاریم و از توی روتربرد اینترنتشون رو قطع کنیم و یا اگر قراره بدون Gateway باشند باید بر روی خود سرورهای مذکور روت سدتی زیر رو اضافه کنیم :
CMD/
route add -p 192.168.88.0 mask 255.255.255.0 192.168.0.1
با این کار PC میتونه سرورها رو ببینه و بالعکس .
دوست عزیز
اولاً - به نظر من توو این سناریو ارتباط با DC (پینگ یا جوین) به هییییچ عنوان ارتباطی به اینترنت داشتن این دو تا نداره.
دوماً - مطمئناً مشکل از تانل نمیونه باشه چون فرمودین پینگ Interface داخلی روتر مربوط به سمت DC رو دارین.
یعنی ترافیک به دست روتر DC میرسه ولی ...
مسائلی که ممکنه پیش بیاد تا اینجا:
1- Routing Table میکروتیک DC، بسته ها رو به DC نمیرسونه (که بعید اندر بعیده! - چون صد در صد داره ارتباطات داخلی خودشو با Dynamic Route انجام می ده)
3 - مسیر برگشت ترافیک دچار مشکل شده!
2- فایروال میکروتیک سمت DC داره جلوی این ترافیک ها رو به سمت DC میگیره - شاید یک Rule نوشته شده باشه جلوی ترافیک های ورودی رو به DC به غیر از شبکه داخلی خودش بگیره
3- فایروال DC جلوی بسته های پینگ رو میگیره!
تلاش کنید ببینید با UNC (البته با IP - چون احتملاً توو این شرایط DNS پی سی کار نمی کنه) میتونید به DC وصل بشید؟!!!
راستی DNS پی سی کار میکنه؟؟؟؟؟؟
تو فایروال باید رول بزنی که چه سورس ای پی هایی بتونن به سمت ای پی اکتیو و اس کیو ال بره بقیه بسته باشه.
بهتره چندتا رول توی فایروال بزنی که اگه آغاز گر ارتباط از سمت سرور بود بزاره ارتباط برقرار باشه یعنی از lanبه بیرون باز باشه مثلاdnsو پورت 80بقیه بسته باشه.
یه رول دیگه بزن اگه اغازگر رابطه از بیرون شبکه بود همه چیز بسته باشه
از همه دوستان ممنونم
با دادن گیتوی مشکل اصلی یعنی ارتباط pc با sql برقرار شد .ولی من مشکلم این بود که نمیخواستم به dc و sql گیتوی بدم که دوستان راهنمایی کردند و گفتند ست کردن گیتوی برای این 2 سرور مشکلی ایجاد نمیکنه.ولی من با ست کردن گیتوی در این 2 سرور میتونم از اینها به اینترنت دسترس داشته باشم.هم پینگ 8.8.8.8 و هم باز کردن پیج.
حالا چجوری توی فایروال dc رول بنویسم که این 2 سرور امن بشه و مورد اتک قرار نگیره؟
1.1.1.1 ای پی تانل طرف dc هست
1.1.1.2 ای پی تانل طرف pc هست
همین ها رو زدم توی روت
dest :192.168.88.0/24 GW:1.1.1.2 روی میکروتیک سمت dc
dest:192.168.0.0/24 GW:1.1.1.1 روی میکروتیک سمت PC
ممنونم
این 2 روت رو هنگام کانفیگ ipip دارم :اولی سمت pc دومی سمت dc ,sql
DST-ADDRESS PREF-SRC GATEWAY DISTANCE
A S 192.168.88.0/24 1.1.1.1 1
1 1.1.1.2 192.168.0.0/24