BM. Нужно два PUBLIC интерфейса, точнее IP по схеме (+)

[Lab]

Господа. Если остались еще гуру которые на вопрос могут ответить "это ж просто как мычание" прошу вашего совета и участия.

Есть BM 3.7 .. на nw6.0 sp 5, один Private и один Public Интерфейс. Один Public IP адрес и один Private Ip адрес. За Public интерфейсом сеть, в этой сети Почтовой сервер, + Шлюз в интернет и др. сервисы. (Public IP, почтовик, и др, шлюз - в одной сети)

Конкурренция между провайдерами дает возможность получить более дешевый интернет (для пользователей) через другого провайдера; текущий провайдер при этом сохраняется в "урезанном" виде.

Нужно, обеспечить выход пользователей в интернет через новую, вторую сеть при этом обепечить доступ к почтовику и другим сервисам текущей Public сети.

Если добавить новый IP адрес (нового провайдера) Public интерфейсу, установить Default Route на новый шлюз, + прописать маршруты к почтовику , заработает ли такая схема ? Если да, то как прописать маршруты к старой сети ?

БМ будет еще жить год точно..

Заранее благодарен за любой ответ/рекомендацию.

[Мещеряков Андрей]

Совсем непонятно, зачем посвящать проксю в такие тонкости. Ставите каналу дешевого провайдера более предпочтительную метрику, чем дорогому - и все (как мне кажется).

[Lab]

Мещеряков Андрей
при этом как настроить интерфейсы ? (после запуска БМ пять лет назад уже забыл все напрочm )

[Мещеряков Андрей]

Бордюр вообще в этом деле участвовать не нуже. Его НЕ Трогаем. Трогаем маршрутизатор вашей внешней сети.

[Lab]

Мещеряков Андрей
Задача стоит такая, что через бордюр (!) нужно выпускать пользователей в интернет и сам бордюр (сервер) должен иметь выход в старую сеть.

наверное я не так об"яснил.. в начале..

[Ковалев Артем]

Как понял я:
Бордюр у вас разделяет ваши сети и инет. За бордюром (внутри) стоит почта и т.д. Там же сидят люди. Надо, чтобы люди шли в одну сторону, а почта и т.д. - в другую? Верно?
Если да, то вам понядобится ещё один роутер (меж инетом и бордюром).
На бордюре делаете нат для почтового сервера и прочих в ip старого провайдера, сам бордюр по умолчанию натите в ip нового провайдера. А дополнительный шлюз уже делает source routing, то есть в зависимости от ip отправителей направляет их в тот или иной канал. Циски это умеют точно.
Либо вы вообще избавляете бордюр от роли бордюра, оставляете на нём только прокси (оставляете только один внутренний интерфейс), а нат и source routing делаете на том самом рутере.

[Сергей.М.]

Еще раз! Бордюр здесь не причем. Считайте его firewall м.у. защищаемой сетью и DMZ. За взаимодействие всей вашей инфраструктуры с провайдерами и вообще сетью Интернет должен отвечать Edge Router/Routers. А бордюр должен знать о маршрутах к сетям DMZ, default маршруте (ваши Edge Roter/Routers), правилах и фильтрах.

[Dimerson]

Ну если только надо обеспечить через другой аплинк доступ к почтовику и _другим_ (легко пересчитываемым) сервисам (конкретным) то надо прописать на них статическе машруты (на хост или на сеть).

то есть default смторит в сторону основного PUBLIC а в сторону вспомогательного маршруты до нужных сервисов.

Фильтры глянуть какие на паблике серва и на втором паблике сделать запрещающие типа DENY all incoming DENY all outoing и добавить по вкусу ексепшенов.

при этом выбирая правильный интерфейс в FROM и TO в св-вах эксепшена.

Хотя тут правильно пишут что на рутере это делается проще и надежнее. У вас же есть рутер на прова ?

[Lab]

Спасибо за отклики, очень рад.. Давайте доб"ем тему и найдем более оптимальное решение.
чтоб не было разночтений в понимании (что то я стал плохо объяснять, старею ) вот примерная схема сети.

К настройке участка "предоставленно и обслуживается проайдером" доступа нет.



Появляется второй провайдер. Нужно пользователей выпускать в интернет через СУЩЕСТВУЮЩИЙ БОРДЕР. При этом этом "старая" сеть то же остается, пользователям локальной сети нужно оставить доступ с сервисам расположенным в существующей DMZ.

Что скажете, как все таки, это лучше сделать ?

[Сулейменов Олжас]

в идеале наверное было бы лучше воткнуть свой шлюз и ДМЗ организовывать своими силами, чем сваливать на провайдера, тем более, что доступа, а соотв. гибкости в настройках нет.

Шлюз (роутер) воткнуть как раз в стык подключения зоны ДМЗ.
Таким макаром, все бразды правления в ваших руках окажутся.

Если буит хоть три провайдера, то например, Каталистой можно построить виртуальный шлюз, который будет отслеживать все каналы наружу и управлять ими как жонглер. При этом получится 1 роутер для всех хостов.

[Lab]

Сулейменов Олжас
Думаю, что так и сделают новые собственники предприятия
Пока же, нужно поставить новый Бордер или использовать существующий (предпочтительнее)

Что скажете?

[Сулейменов Олжас]

Сулейменов Олжас
Думаю, что так и сделают новые собственники предприятия
Пока же, нужно поставить новый Бордер или использовать существующий (предпочтительнее)

Что скажете?

Тогда использовать боевой, тока воткнуть интерфейс для ДМЗ и перенести ее (ДМЗ) в его (сервер БМ) ответственность.

В настоящее время ДМЗ обслуживается как я понимаю из схемы провайдером. Отстроить роутер на сервере с БМ и пусть она (ОС) рулит маршрутами в ДМЗ, вернее маршрутом, потому как одного интерфейса для хаба с ДМЗ на сервере вполне достаточно

[Ковалев Артем]

Спасибо за отклики, очень рад.. Давайте доб"ем тему и найдем более оптимальное решение.
чтоб не было разночтений в понимании (что то я стал плохо объяснять, старею ) вот примерная схема сети.

К настройке участка "предоставленно и обслуживается проайдером" доступа нет.



Появляется второй провайдер. Нужно пользователей выпускать в интернет через СУЩЕСТВУЮЩИЙ БОРДЕР. При этом этом "старая" сеть то же остается, пользователям локальной сети нужно оставить доступ с сервисам расположенным в существующей DMZ.

Что скажете, как все таки, это лучше сделать ?

О, теперь понятно.
В бордюр добавляете ещё сетевуху, её включаете во второго провайдера, дефолт роутер - туда же (на второго провайдера). Если бордюр выполняет нат - то перенатсраиваете нат на адреса второго провайдера. Первая сеть (4.3.2... на вашем рисунке) останется доступна через BM.

[Lab]

Ковалев Артем
.. так и сделаем..(попробуем)

Ок, джентльмены, спасибо огромное за советы, предложения, критику и поддержку..