Как соединить компьютеры из разных подсетей
Обновлено: 06.07.2024
Несколько офисов можно объединить в одну сеть – это позволяет обеспечить расширенный доступ к информационным ресурсам одной организации. Целью такого слияния обычно служит использование единой офисной АТС, обеспечение доступа к ресурсам компании из различных локаций, удаленный доступ к другим ПК и многое другое.
О том, как все это можно организовать через VDS, мы поговорим в сегодняшней статье.
Как происходит объединение сетей
Первое, что может прийти в голову перед связкой двух мест, – это приобрести персональную линию между двумя точками. Ранее такой способ мог пройти, но сейчас есть более выгодные решения.
Например, использование виртуальной частной сети, которая именуется VPN. Это набор технологий, которые позволяют провести несколько сетевых соединений. В зависимости от используемого протокола, VPN разрешает организовать объединение различных типов сетей. С помощью VPN осуществляется соединение нескольких сетей в офисах и прочих учреждениях.
Далее мы рассмотрим, как выполнить такую связь на VDS-сервере с использованием PPTP.
Объединяем локальные сети через VDS и PPTP
Мы выяснили, что при слиянии сетей в силу вступает технология VPN, но что же такое PPTP? Это один из первых протоколов, который использовался в VPN еще на ОС Windows 95. Он работает во многих организациях и по сей день. PPTP наиболее простой в настройке и быстрый протокол.
Нельзя не упомянуть и его минусы: PPTP уязвим. Его стандартные методы аутентификации небезопасны, в связи с чем часто взламываются злоумышленниками. Альтернативой этому протоколу могут выступать L2TP, IPSec или OpenVPN – они хорошо защищены и используются многими разработчиками. Однако в данной статье мы не будем на них останавливаться, а рассмотрим лишь подключение через PPTP.
Настройка и подключение PPTP
Для примера мы будем использовать VDS на хостинге Timeweb.
Подключение к консоли реализуем через программу PuTTY, которая предназначена для удаленного доступа к серверу. С помощью нее можно удобно копировать и вставлять команды в консоль. Давайте посмотрим, как с ней работать.
Переходим по ссылке и загружаем на рабочий стол PuTTY. Далее запускаем программу и в разделе «Session» вводим IP-адрес хостинга, указываем порт 22 и выбираем SSH-соединение. Последним действием кликаем по кнопке «Open».
В результате перед нами отобразится консольное окно – в нем пока что требуется только авторизоваться. Вводим логин и пароль от своего VDS и следуем далее.
Теперь все последующие команды, которые нам нужно использовать для объединения сетей, можно скопировать и вставить в консоль простым кликом правой кнопки мыши.
Можно переходить к установке протокола. Первым делом ставим PPTP на сервер, для этого вводим:
Эта и последующие команды актуальны для дистрибутивов Ubuntu.
В результате установки не должно возникнуть никаких ошибочных строчек. Если такое произойдет, то стоит использовать команду снова – после этого ошибки чаще всего исчезают.
Далее открываем файл для редактирования:
При открытии файла перед нами отобразится новое окно. В нем мы будем выполнять последующее редактирование строк.
Указываем диапазон выдаваемых IP-адресов, для этого изменяем строчки localip (IP-адрес вашего сервера) и remoteip (адреса клиентов). Для примера я использую значения:
После этого сохраняем внесенные изменения с помощью комбинации клавиш «CTRL+O» и выходим из файла «CTRL+X». Следующим шагом открываем chap-secrets и добавляем в него клиентов. Пример:
Первая буква – это наши сети, password – придуманный пароль, содержащий не более 63 символов, IP – адреса клиентов.
Сохраняем изменения и перезагружаемся:
Далее переходим в nano /etc/sysctl.conf и добавляем:
Завершаем действия строчкой:
На этом настройка завершена. Далее мы поговорим о подключении Микротика.
Установка MikroTik
Следующая инструкция будет приведена на примере последней версии роутера MikroTik, поэтому вы можете спокойно скачивать самую свежую прошивку.
Запускаем программу Микротик и переходим в Interface -> + PPTP Client. В разделе «General» указываем имя и переходим в окно «Dial Out».
Далее в строчке «Connect To» прописываем адрес для соединения, указываем имя и пароль, в завершение кликаем по кнопке «Apply».
После этого произойдет подключение по адресу 17.255.0.1, который мы указали ранее.
Аналогичным образом подключаем MikroTik к другой сети, он будет соединяться с 17.255.0.15 и другими IP.
Iptables
С Микротиком мы разобрались, но подключиться к нему по VPN мы пока не можем.
Прописываем строчки кода:
Перезапускаем сервер, чтобы изменения вступили в силу:
Сохраняем установленные выше настройки, чтобы они не сбросились при следующем запуске (актуально для Ubuntu, на других дистрибутивах пути могут отличаться):
Внесем их в автозагрузку:
Теперь подключение должно работать корректно. При необходимости можно перезагрузить сервер с помощью команды reboot.
Следующим этапом нам нужно настроить mtu, для этого открываем nano /etc/ppp/pptpd-options и прописываем:
Также указываем маршруты для пользователей:
Чтобы они не исчезли после повторного запуска, открываем файл nano /etc/ppp/ip-up и прописываем в него следующее:
Осталось перезагрузить сервер, после чего при повторном подключении под определенного пользователя будет автоматически добавляться новый маршрут.
MikroTik Routes
Последним этапом нам нужно сделать так, чтобы две сети были видимы друг для друга.
Переходим в раздел IP -> Routes. В отобразившемся окне кликаем по кнопке в виде плюса и добавляем то, что будет идти на выбранный IP.
Для адресанта A:
- Dst. Adress: 172.128.0.0/32
- Gateway: используем point-to-point
- Distance: 30
Для адресанта B:
- Dst. Adress: 17.0.0.0/32
- Gateway: используем point-to-point
- Distance: 30
После этого будет осуществлено объединение двух сетей. Рекомендуем провести тестирование скорости соединения, чтобы убедиться в том, что все настройки были проведены корректно.
На этом статья заканчивается. Надеюсь, что у вас не осталось никаких вопросов. Спасибо за внимание!
Если вам надо всеголишь объединить сети то достаточно оба линка из разных сетей соединить хоть хабом и на всех узлах сети выставить маску 255.255.0.0, если же вам надо сохранить сегменты тогда вам неообхдим роутер, это может быть как железка так и комьютер с двумя сетевыми картами. В любом из вариантов возможно подключить сеть 192.168.30.0 разница лишь в том что в первом случае надо поменять на всех узлах маску а во втором добавить третью сетевую карту в компьютер или настроить третий порт на роутере.
P.S. Прежде чем заниматься подобным было бы неплохо почитать основы TCP/IP
| Цитата |
|---|
| Kalashmat пишет: комьютер с двумя сетевыми картами |
| Цитата |
|---|
| Kalashmat пишет: добавить третью сетевую карту |
| Цитата |
|---|
| Michael пишет: ну вообще-то, одной сетевой карты вполне достаточно. просто нужно прописать ее в несколько подсетей |
ИМХО так совершенно не секьюрно, предположим стоит свичи в него воткнуты два компа "A" 192.168.1.2 и "B" 192.168.2.2 и туда же воткнут софтверный роутер "C" с интерфейсом 192.168.1.1 и алиасом 192.168.2.1, так вот сидя на компе "A" и поменяв ip адрес на 192.168.2.3 я увижу компьютер "B" напрямую, а также если я поставлю его ip адрес то начну мешать ему нормально работать. В чем тогда логика? Есть программный вариант . Установить где либо VPN сервер и настроить маршрутизацию между сетями и все. В дальнейшем при наращивании сети, как это часто происходит вы с легкостью сможете адаптироваться под новую топологию.
| Цитата |
|---|
| Если вам надо всеголишь объединить сети то достаточно оба линка из разных сетей соединить хоть хабом и на всех узлах сети выставить маску 255.255.0.0, если же вам надо сохранить сегменты тогда вам неообхдим роутер, это может быть как железка так и комьютер с двумя сетевыми картами. В любом из вариантов возможно подключить сеть 192.168.30.0 разница лишь в том что в первом случае надо поменять на всех узлах маску а во втором добавить третью сетевую карту в компьютер или настроить третий порт на роутере. |
Простите, конечно, за ламмерство, но что в данном случае вы понимаете под узлами? Все сетевые устройства?
| Цитата |
|---|
| BillyG пишет: Простите, конечно, за ламмерство, но что в данном случае вы понимаете под узлами? Все сетевые устройства? |
| Цитата |
|---|
| Kalashmat пишет: ИМХО так совершенно не секьюрно, предположим стоит свичи в него воткнуты два компа "A" 192.168.1.2 и "B" 192.168.2.2 и туда же воткнут софтверный роутер "C" с интерфейсом 192.168.1.1 и алиасом 192.168.2.1, так вот сидя на компе "A" и поменяв ip адрес на 192.168.2.3 я увижу компьютер "B" напрямую, а также если я поставлю его ip адрес то начну мешать ему нормально работать. В чем тогда логика? |
мне показалось, вопрошающему нужно было наиболее простое решение, а дляэтого достаточно 1й сетевой карточки
| Цитата |
|---|
| Michael пишет: с тем же успехом ты можешь мешать кому-нибудь работать из своей подсети вне зависимости от кол-ва сетевых адаптеров на роутере. |
Это интересно как? Ну возьмешь ты IP из другого сегмента один черт тебя роутер не пропустит ибо на его интерфейсе совершенно другая подсеть, а хост с оригинальным IP в пределах своей сети будет прекрасно работать.
| Цитата |
|---|
| Michael пишет: мне показалось, вопрошающему нужно было наиболее простое решение, а дляэтого достаточно 1й сетевой карточки |
Ну если говорить о простоте тогда вообще проще сдвинуть маску до 16-ти бит и поставить хаб/свич между сетями. вот еще свединия из сети, эти две сети разных подуровней имеют выход в интернет, и притом каждая сеть имеет по adsl модему и подключены к одинаковому прову. у прова vpn сеть с в нутренними ресурсами. каждая сеть хочет оставить у себя свой модем. если мы соеденяем обе сети просто тупо в хаб, тол сети ложаться и пров имеет глюки. то есть создаеться кольцо . как выйти из такого положения?? и третья сеть тоже имеет того же прова. вот по этому и проблемс. если мы меняем маску подсети , то мы выйдем из положения , или нет.
:help: :help: :help: и если можно, то попроще, я не крутой сетевик, только учусь!
Самый простой (дешевенький и эффективный) имхо способ - седлать софтверный шлюз (на слабом железе - от 100 MHz, оперативки бы побольше - 128М, но и 64 сойдет) под *nix. Убиваешь сразу много зайцев - и сети объединяешь, и файер, и петлю разрываешь.
Разрываешь с помощью Iptables - запрещаешь хождение пакетов между нужными сетевыми одного шлюза.
а если млнл на этом варианте поподробнее. мне это понравилось!! и подходит!| Цитата |
|---|
| Joni-lover пишет: если мы меняем маску подсети , то мы выйдем из положения , или нет. |
| Цитата |
|---|
| Jul_i пишет: Самый простой (дешевенький и эффективный). |
Не проще ли "железку" поставить? Места меньше занимать будет, эл. питание, шум. Да и в настройке, наверное, по-проще?
P.S. Просто сам недавно настраивал софтверный шлюз. Теперь мне до конца месяца секса не надо
Причем, сразу за ним стоит аппаратный adsl-роутер. Софтверный шлюз ставил для подсчета трафика.
Угу. Насколько я понимаю, компы каждой сети с и т.д. воткунты в свой хаб/свитч. Чтобы их соединить, бери еще один компьютер-роутер под линукс с тремя сетевыми, каждая смотрит в свою подсеть.
Требования к роутеру. К быстродействию не требователен. 100 или 133 МГц хватит. Памяти желательно бы побольше, но и 64М сойдет. Винчестер 10Га мин, если логи почаще чистить. На сетевых можно экономить (если сеть небольшая), но без фанатизма - лучше на каждую подсеть отдельную.
Прописываешь на каждой из трех сетевых IP из соответствующих подсетей - например 192.168.10.1, 192.168.20.1 и т.д. включаешь IP-forwarding. И все, если бы не было петли.
(s – источник, d – назначение, ! – «не»). Скрипт разрешает общение между подсетями и запрещает попадание пакетов из одной подсети через роутер и другую подсеть к провайдеру по петле (политика по умолчанию – «разрешить все» – файер нам не нужен – это – забота шлюзов, который смотрят во внешнюю сеть).
И все. Вроде никто не забыт, ничто не забыто
| Цитата |
|---|
| LcL пишет: Теперь мне до конца месяца секса не надо |
Упс! Таки забыто. Самое главное - маскарадинг. Без него никто никого не увидит
Когда возникает необходимость соединить две локальные сети в одну, не стоит придумывать принципиально новую схему. В некоторых случаях достаточно соединить между собой всего лишь пару устройств. Это позволит вам сэкономить немного времени и сил.
- Как соединить две подсети
- Как объединить две локальные сети
- Как соединить две сетевые карты
Для объединения двух локальных сетей в одну вам понадобится сетевой кабель или концентратор. Правильный выбор целиком зависит от степени занятости обоих сетей.
Для начала рассмотрим ситуацию, в которой мы имеем две локальные сети, построенные с использованием концентраторов. Для того чтобы технически объединить их в единую сеть, соедините между собой два концентратора из соседних сетей. Используйте для этой цели сетевой кабель.
Чтобы облегчить дальнейший обмен информацией между компьютерами общей сети, измените IP-адреса компьютеров одной из подсетей. После этой операции все устройства должны иметь IP-адреса формата 111.111.111.Х.
Теперь рассмотрим ситуацию, в которой одна из подсетей построена с использованием маршрутизатора, с которого раздавался интернет. Аналогично способу, описанному во втором шаге, соедините обе сети в единое целое.
Обратите внимание на следующий нюанс: ни в одном сетевом концентраторе может не оказаться свободных портов LAN. Казалось бы, соединить их между собой невозможно. Приобретите дополнительный концентратор. Отключите по одному компьютеру от каждого сетевого концентратора из каждой подсети.
Подключите эти компьютеры к новому устройству. Соедините приобретенный концентратор с каждым из освобожденных портов LAN.
Вероятнее всего, все компьютеры подсети, построенной без машрутизатора, имеют статические (постоянные) IP-адреса. А компьютеры второй подсети – динамические.
Откройте настройки сетевого подключения любого компьютера первой подсети. Выберите пункт «Протокол интернета TCP/IP». Сделайте пункт «Получить IP-адрес автоматически» активным.
Повторите действия, описанные в предыдущем шаге, на всех компьютерах первой подсети. Это маршрутизатору выдавать им новые IP-адреса, необходимые для доступа в интернет.
Функция VLAN (Virtual Local Area Network) позволяет создать несколько виртуальных интерфейсов на одном физическом сетевом интерфейсе. С помощью VLAN можно разделять или объединять сегменты локальной сети, независимо от ее физической топологии. О том, что такое виртуальная локальная сеть, доступно написано в статье что такое VLAN.
В этой статье мы рассмотрим пример разделения гостевой Wi-Fi сети и Wi-Fi сети предприятия с помощью VLAN. Будет подробно описана настройка VLAN в роутере MikroTik и Wi-Fi точке доступа EnGenius.
Описание задачи: Есть локальная сеть предприятия, к которой подключены компьютеры по кабелю и ноутбуки по Wi-Fi. В комнате для совещаний нужно предоставить свободный доступ (HotSpot) к интернету по Wi-Fi, но в целях безопасности требуется изолировать гостей от сети предприятия.
Для решения задачи понадобится оборудование с поддержкой функции VLAN. В примере будет использоваться следующее оборудование:
Рассмотрим упрощенную схему локальной сети предприятия.Кабель провайдера с интернетом подключается к роутеру. К роутеру по сетевому кабелю подключены компьютеры предприятия . Также к маршрутизатору подключена физически одна Wi-Fi точка доступа. На ней созданы две виртуальные Wi-Fi точки с названиями Office и HotSpot. К Office будут подключаться по Wi-Fi ноутбуки предприятия, а к HotSpot — гостевые ноутбуки для выхода в интернет.
Wi-Fi точка HotSpot изолирована в отдельную виртуальную сеть с названием VLAN2. Сеть предприятия не будем выносить в отдельный VLAN, чтобы не усложнять схему и настройку.
1. Настройка MikroTik VLAN
Приступим к настройке оборудования. В первую очередь настроим роутер MikroTik RB750.
1.1 Сброс настроек роутера
Настройку роутера MikroTik будем выполнять с чистой конфигурации. Поэтому полностью сбросим конфигурацию роутера через программу Winbox:
После перезагрузки роутера откройте Winbox, и в появившемся окне нажмите кнопку Remove Configuration для очистки конфигурации.
1.2 Настройка WAN порта
Настроим WAN порт роутера, к которому подключен кабель провайдера. Как выполнить статические настройки или PPPoE можете посмотреть в статье настройка роутера MikroTik. В нашем случае маршрутизатор получает настройки от провайдера автоматически по DHCP, поэтому делаем динамическую настройку:
После этого в столбце IP Adress появится IP адрес WAN порта, полученный от провайдера.
Проверяем наличие соединения с интернетом:
Пошли пинги по 20ms, значит есть соединение с интернетом. Завершаем выполнение ping нажатием клавиш Ctrl+C.
1.3 Объединение LAN портов в Br >Чтобы компьютеры офисной сети, подключенные по кабелю к разным LAN портам роутера, могли связываться друг с другом, объединим порты роутера в мост Bridge.
Добавляем интерфейс Bridge:
Добавляем LAN порты в Bridge:
Добавьте аналогичным образом в bridge_main порты ether3, ether4 и ether5. В итоге у вас должен появиться список портов, как на рисунке ниже.
1.4 Добавление VLAN интерфейса
Создадим на интерфейсе bridge_main виртуальный интерфейс с названием vlan2, который позволит изолировать Wi-Fi точку HotSpot от сети предприятия.
Назначение IP адресов локальным сетям
Компьютеры сети предприятия и гостевой будут находиться в разных подсетях. Сеть предприятия будет использовать подсеть 192.168.88.1/24, а гостевая сеть 192.168.10.1/24. Настроим IP адреса локальных сетей.
Настройка IP адреса сети предприятия:
Настройка IP адреса гостевой сети:
1.5 Настройка пула адресов
Компьютерам сети предприятия и гостевой сети будем по DHCP присваивать IP адреса из разных подсетей. Сеть предприятия будет использовать диапазон 192.168.88.2–192.168.88.254, а гостевая сеть 192.168.10.2–192.168.10.254. Зададим с помощью пула диапазоны IP адресов.
Добавляем диапазон IP адресов предприятия:
Добавляем диапазон IP адресов гостевой сети аналогичным образом:
- Нажмите "красный плюсик";
- В появившемся окне в поле Name указываем название dhcp_pool_vlan2;
- В поле Addresses прописываем диапазон 192.168.10.2–192.168.10.254 ;
- Нажимаем кнопку OK для сохранения пула адресов.
1.6 Настройка DHCP серверов
Чтобы компьютеры получали сетевые настройки автоматически, необходимо настроить DHCP сервера. Поскольку у нас будут две сети, то нужно настроить два DHCP сервера.
Настраиваем DHCP сервер внутренней сети предприятия:
Настраиваем DHCP сервер гостевой сети аналогичным образом:
Теперь переходим на вкладку Networks и добавляем наши сети:
Добавляем сеть предприятия:
Добавляем гостевую сеть:
1.7 Настройка DNS сервера
1.8 Включение NAT
Чтобы компьютеры имели выход в интернет, нужно настроить NAT для двух сетей.
Настройка NAT для внутренней сети предприятия:
Настройка NAT для гостевой сети выполняется аналогичным образом, только используется другой диапазон IP адресов и порт vlan2:
1.9 Изоляция подсетей
Чтобы компьютеры из офисной сети и сети хотспота не видели друг друга, нужно изолировать подсети. Это можно сделать двумя способами: через Firewall или правила маршрутизации Route Rules. Мы опишем, как изолировать подсети в MikroTik с помощью Route Rules.
Добавляем второе правило аналогичным образом, только меняем местами подсети.
Настройка роутера MikroTik для использования VLAN выполнена. Теперь приступим к настройке точки доступа EnGenius EAP150 с поддержкой VLAN.
2 Настройка EnGenius VLAN
Подробная инструкция по настройке точки доступа EnGenius EAP150 описана в статье настройка точки доступа EnGenius EAP150. Мы остановимся на основных моментах настройки устройства.
Подключаем точку доступа к компьютеру, заходим в ее Web-интерфейс по IP адресу 192.168.1.1. Вводим Username: admin, Password: admin и приступаем к настройке.
2.1 Создание двух виртуальных Wi-Fi точек
2.2 Настройка безопасности
На Wi-Fi точку Office нужно установить пароль для подключения к внутренней сети предприятия.
Ко второй Wi-Fi точке HotSpot будем предоставлять доступ без пароля.
2.3 Настройка VLAN виртуальной точки HotSpot
Как вы помните, в роутере MikroTik создан виртуальный интерфейс vlan2 с идентификатором 2. Чтобы связать Wi-Fi точку HotSpot с интерфейсом роутера vlan2 , нужно точке HotSpot также присвоить идентификатор 2.
2.4 Настройка LAN
Можно использовать статические или динамические сетевые настройки LAN порта. Мы введем статические настройки сети, чтобы сразу знать, на каком IP адресе будет находиться точка.
Теперь можно отключить Wi-Fi точку доступа EnGenius от компьютера и подключить в любой порт роутера MikroTik.
Подключитесь по очереди к Wi-Fi точкам Office и HotSpot, проверьте работу интернета и какие IP адреса присваиваются клиентам.
Описанная задача и процесс настройки разделенной гостевой сети и сети организации часто применяется в кафе, ресторанах, торговых центрах и гостиницах. Надеемся, данная инструкция поможет вам в решении аналогичных задач.
Одной из довольно распространенных задач, встающих перед администраторами сетей, например на предприятиях, является задача по объединению двух различных сетей, с полноценной маршрутизацией.
Если в качестве маршрутизаторов для этих сетей, используются оборудование компании Mikrotik, то реализация этой задачи, не займет много времени.
Предположим, что у нас есть две локальные сети. 192.168.0.0/24 и 192.168.2.0/24, частью которых, являются роутеры под управлением Mikrotik RouterOS level 6, с IP адресами 192.168.0.1 и 192.168.2.1 соответственно. Для объединения их в одну маршрутизируемую сеть, в качестве передающей среды, мы будем использовать виртуальную сеть VLAN, где в качестве шлюза для соседней сети, будет использоваться соответствующий интерфейс имеющий адрес с сетевой маской /32. Топологически, это будет выглядеть так:
Предположим, что мы соединили оба роутера RouterBoard Mikrotik через порты ether5.
Начнем настройку с Router A, который работает в сети 192.168.0.0/24, и имеет IP адрес 192.168.0.1.
Последнее, что нам надо сделать, это добавить новый маршрут в разделе IP Routes.
На этом настройку Router A, можно считать законченной. Переходим к настройке второго роутера Router B. В принципе, нам надо сделать точно такие же операции, только с другими IP адресами.
Теперь наши две сети объединены и мы можем иметь доступ с одной сети к ресурсам другой.
Читайте также: