Windows 2003 mint VLAN kliens

Hálózatok általános

Sziasztok,
Az alábbiakban kérném a segítségeteket. Egy eddigi helyi windows 2003 szerver átkerül egy másik telephelyre. A szervernek két lan csatlakozása volt/van, egy publikus, a külső partnereknek, és egy belső, amin keresztül a nekünk szükséges adatbázis elérhető volt a programok számára. Most, az új helyen csak a publikus IP lesz, arra gondoltam, hogy a belső hálozatot VLAN segítségével kellene csatlakoztatni, de még nem csináltam ilyet... Tehát a kérdésem az lenne, hogy Win2003 oldaláról milyen (lehetőleg ingyenes)kliens programmal lehet csatlakozni a belső hálózatunkhoz, illetve a belső hálózatra VLAN kiszolgálónak mit javasltok: szoftvert, vagy hardvert (openwrt?)
Mivel működő, éles rendszerről van szó, mindenképp szeretném a megvalósítás előtt valahogy lemodellezni a szóba jöhető megoldásokat.
Köszönöm előre is a javaslatokat!

  • 3149 megtekintés

( Vizibirka | 2014. 06. 10., k – 09:17 )

A vlan-hoz nem kell semmilyen kliensprogi, azt a hálókártya driverének kell tudnia.
Hint: a belépőszintű Realtek kártyák ezt nem tudják..

( zeller | 2014. 06. 10., k – 09:29 )

Tegyük tisztába a dolgokat. A vlan nem az, amit te keresel, több okból sem. Neked célszerűen valamilyen vpn megoldás kell a jelenlegi telephelyről az új helyre rakott szerverre, amin eléritek a szervernek a nem publikus szolgáltatásait.

A jelenlegi privát hálózatból hogyan láttok ki a "külvilág" felé? Milyen eszköz van lerakva (router, tűzfal?) Első blikkre a router/tűzfal eszköz és a w2k3 között lenne célszerű kihúzni egy vpn-t, olyat, amit mindkét oldal támogat.

A telephelyen jelenleg két dedikált IP van, az egyik (I.) szolgálja ki teljes egészében a win2003-at, és a hozzá kapcsolódó külső klienseket(RDP). A másik IP(II.) a telephely internetelérését és egyéb szolgáltatásokat tartalmaz. A szerver egyik kártyája a belső hálón lógott, így a nagy adatforgalmat igénylő lekérdezésekkel nem lassítottuk a kliensek forgalmát. A II. IP sima mezei (tplink) routerrel van szétosztva a belső hálón. (régebben debian proxy volt, de már csak pár gép üzemel, ezeknek elég ez is).
A win2k3 a szolgáltató szervertermébe kerülne, tehát oda, ahonnan most is kapjuk a netet.
Ezért gondoltam, hogy a II. IP segítségével megoldható a VLAN. A VPN is jó megoldás, de pont a nagy adatforgalmat szerettem volna elkerülni, a VPN meg azért növeli a forgalmat rendesen...

A szolgáltatói gépteremből egy darab kijárata lesz a w2k3 gépeteknek, amit a publikus internet felől (n+1 hálózati eszközön keresztül) fogtok látni. Azon az útvonalon nem fognak neked hagyományos vlan-t kihúzni, mert nem erre van kitalálva. A w2k3 egy darab publikus ip-t fog tudni használni, ezen kell megoldanod az összes forgalmát.
Persze megteheted azt is, hogy a gép mellé leraksz egy routert, ami kap egy plusz publikus ip-címet, összedugod a szerver másik fizikai kártyájával, és ezen a routeren keresztül csinálsz vpn-t a szerver felé, de ez plusz egy eszköz, plusz egy publikus ip-cím - és erőforrásban sem biztos, hogy lesz elegendő teljesítménye vpn-t végződtetni - bár attól is függ, hogy a jelenlegi telephelyre (a vpn másik végére) mit raksz le.

Hasonlóra gondoltam én is, de azért nem írtam le, hogy mindenki a saját javaslatát irja... Tehát az ISP-nél kezdődik az I. és a II. IP. A magam kis buta fejével arra gondoltam, hogy a WIN2K3 I.A hálókártyája marad publikus, ennek a 30-40 kliens miatt eddig is nagy forgalma volt. a Win2K3 I.B hálókártyája (a jelenlegi local) kezelné a VLAN-t, ez lenne visszaküldve a II. IP vonalán, ami szintén ott kezdődik. Ezt kellene valahogy összedrótozni, hardverrel, vagy szoftverrel, ez lenne a tényleges kérdés.

+1 zeller kolléga javaslatára... Keresni kell egy embert (sürgősen), aki képben van a dolgokkal, mert diego - ami nem feltétlen az ő hibája, feltéve hogy rálőcsölték a dolgot nesze fiam alapon - nem az az ember, aki képes megoldani a kialakult helyzetet...

A vlant nem kellene keverni a VPN-el...
-------------------------
Dropbox refer: https://db.tt/V3RtXWLl
neut @ présház

Van két helyszín, az egyik a szolgáltató gépterme, és azt kéne összelógatni privát kapcsolaton a jelenlegi telephelyükkel. Attól, hogy a szerver két lábát lógatja bele a szolgáltató fizikai hálózatába, attól még nem lesz előrébb a kolléga, mert valahogy a forgalomnak át kell csorognia A-ból B-be, célszerűen valamilyen védett formában. Ha a két helyszín között lehet találni csak az adott szolgáltató eszközeit érintő útvonalat, akkor elvi lehetőség megvan az összedrótozásra, de az nem lesz olcsó, ha egyáltalán vállal ilyet a szolgáltató. A másik lehetőség egy bérelt vonali kapcsolat a jelenlegi telephely meg a szolgáltató gépterme között, és yool beleroutolni a w2k3 második (privát) címének a forgalmát. Ennek meg kellőképp barátságtalan havi költsége lesz, ha normális sávszélességet szeretne.
Kéne tudni forgalmi adatokat, (kliensek száma, szükséges sávszélesség, etc.), hogy optimatyi megoldást lehessen keresni.

Már hogy ne lenne, ha a szolgáltató switch-ébe kötözöd be?! Rosszul értettem? Arról beszélünk hogy a szerver a szolgáltatónál fog ülni, két IP-t kap, két kapcsolaton.

:-) Arról beszéltem, hogy én még nem csináltam ilyet... És én arra gondoltam, hogy magán a szerveren oldom meg szoftveresen, ha lehet... Olvastam az OpenWRT-ről, OpenVPN-ről, azt hittem, mindenki azt fogja javasolni. Nem, nem keverem a fogalmakat, keresgélek a szóba jöhető megoldások között. Azt hittem, ez egyszerűbb lesz...
A szolgáltatót ki akartam ebből hagyni, mert abból fizetős szolgáltatás lesz, holott a rendelkezésünkre álló sávszél nem fog változni, sőt, csökkeni fog. A cél az egyszerű, olcsó megoldás lenne.

"Nem, nem keverem a fogalmakat" A VLAN nem VPN és viszont. Úgyhogy de :-P Neked, mivel nem sok pénzért szeretnéd megoldani, vpn kell, a szerverre pakolt openvpn is jó lehet akár, a kérdés az, hogy a jelenlegi telephelyre mit fogsz lepakolni, ami a -nem tudjuk, milyen forgalmi igényt- ki tudja szolgálni.

A dolog egyszerű, csak néhány dolgot tudni kell hozzá - első körben pl. azt, hogy "milyen vastag cső" az, amit bele kell szuszakolni, mert attól függ, hogy milyen eszközt kell a végére akasztani (a jelenlegi telephelyen), illetve hogy kell-e a másik végére is külön vpn kiszolgáló, vagy rárakható a w2k3 szerverre.

Tudtam, hogy bele fogtok kötni:-) Nincs zavar, tudom mi a különbség a VLAN és a VPN között, de jelenleg mindkettő szóba jöhet. Első körben az openwrt körül nézelődtem, de mivel nem tudom kipróbálni, elvi lehetőség maradt. A sávszél? Nehéz kalibrálni, mert 4GB méretű firebird alapú adatbázist kezel az ERP-nk. 30-40 kliens csatlakozik, de nem folyamatosan, hanem véletlenszerűen, RDP-n keresztül. A telephelyen "komolyabb" felhasználás van, itt vastag kliensek vannak, folyamatos csatlakozással, és kb. ugyanakkora forgalommal, mint a kliensek. A jelenlegi 2 IP-ink 100-as optikai kábelen lógnak, de érezhető a terheltség mindkettőn, épp ezért hanyagolnám a VPN-t, az még lassabb lesz... a VLAN viszont hardver függő, és ugyanott vagyok, ahonnan elindultam... :-(

A VLAN-t képzeld úgy el, mintha a switchből lenne több, a vpn-t meg úgy, hogy a két végpont között kihúzol egy külön drótot. Kapís? Az "openwrt körül nézelődtem" is tökéletesen irreleváns - mire akarod felrakni? A soho routerek, amikre feltolható, a te igényeidnek nem hiszem, hogy megfelelnek, mert pár megabit/s fölé nem nagyon mennek, ha megfeszülsz, akkor sem.
Amit javasolni tudok (ha mindenképp sz0pór0llerrezni szeretnél), az annyi, hogy fogj egy PC-t, Linux+OpenVPN rá, a w2k3-ra tegyél OpenVPN szervert, konfiguráld össze a kettőt, hogy a pécé becsattanjon a w2k3-ra (*) A w2k3-nak adj egy szimpatikus, de a jelenlegi telephelyen használt címtartományon kívül eső címet (**), a Linux-os pécéd ezt routolja bele a vpn-be (***), és öröm meg bódottá lesz.

*: A kapcsolat megszakadása esetén újra csatlakozást ne felejtsd el.
**: Valójában nem egy címre lesz szükséged
***: A routing infót el kell juttatni a telephelyi kliensekhez, de minimum a border routernek kell tudnia, hogy a vpn túloldalán lévő címtartomány a vpn-es linuxod lan felőli lába felé van.

Ja, a vlan nem hardverfüggő, access port esetén nem is veszed észre, trönk port esetén még nem találkoztam olyan értelems adapterrel, aminél nem lehetett felhúzni a vlan interfészeket.

Stimm. Én arra építettem hogy az I. és II. IP azonos hálózaton, azonos subneten vannak, ezért gondoltam, hogy kivitelezhető. Azért is kérdeztem, hogy hátha van olyan szoftver, amivel ez megoldható további hardver beiktatása nélkül. Ezek szerint nincs.
"openwrt körül nézelődtem" is tökéletesen irreleváns"
Igen, de innen indultam, és ugyanarra lyukadtam ki, mint amit írtál, viszont ezekhez is léteznek ingyenes "asztali szoftverek" ezért említettem meg, hátha valaki már járt hasonló cipőben, és létezik ezeknek pc-s verziója is
Ja, a vlan nem hardverfüggő,
rosszul fogalmaztam :-) arra értettem, hogy igényel valamilyen plusz hardvert, amit én szerettem volna elkerülni.
Köszönöm a segítséget, ezen fogok elindulni, jobb híján :-)