برقراری لینک بین 2 isa در 2 رنج مختلف

[kamidelon]

دوستان اگه کسی اطلاعات داره یا منبعی لطفا کمکم کنه
سناریو اینطوریه که ما 2 محل داریم یکی تهران یکی پرند که اینا رادییویی به هم لینک point to point هستند رنج ip private دفتر تهران 192.168.100.1\24 و رنج ip پرند 192.168.0.1/24 هست که اینا توسط دستور iptabels لینوکس به هم ارتباط دارن و همدیگر رو پینگ میکنند اما من میخوام با isa این کار رو کنم که رنج ip های private این دو جا همدیگر رو پینگ کنند من هم nat ساختم هم rule ساختم در همه حالت هایی که به فکرم رسید اما پینگ نمیدن لطفا اگه کسی اینکارو کرده یا منبعی ممنون میشم اگه راهنماییم کنه

[al1p0ur]

میتونید از vpn site-to-site هم استفاده کنید .
اول اینکه isa ها همدیگرو ping میکنن ؟
دوم اینکه تنظیمات isa رو واضح تر بگید مثلا کارت شبکه هاش به کجاها وصله و یا چه رول هایی دارید و ...

[kamidelon]

میتونید از vpn site-to-site هم استفاده کنید .
اول اینکه isa ها همدیگرو ping میکنن ؟
دوم اینکه تنظیمات isa رو واضح تر بگید مثلا کارت شبکه هاش به کجاها وصله و یا چه رول هایی دارید و ...

ببینید ما 2 تا شبکه مجزا داریم که 2 سرور isa تو این شبکه ها به عنوان firewall هست که دست اینترنال ip از dhcp میگیره در هردو فایروال و دست external هم به اینترنت وصل ،و لینک بین این 2 تا شرکت توسط 2 رادیو با پهنای باند 12mB truput هست یعنی اینکه برای اتصال دو شبکه نیازی به اینترنت نیست من ارتباط رو با لینوکس به راحتی برقرار کردم یعنی الان کاربری که در دفتر تهران هست و رنج ip 192.168.100.0/24 داره با گذاشتن gatewaye فایروال لینوکس سمت خودش ،داره کارخونه رو که تو پرند هست با رنج 192.168.0.0/24 رو همانند شیکه داخلی دستای اینترنالشون رو میبینه بدون استفاده از اینترنت با ping time 8 ml ، حالا من میخوام عین این کارو با isa کنم یعنی بدون اینترنت توسط لینک point to point دستای اینترنال همدیگر رو ببینن اما نمیشه ، به نظرم ارتباط که شما فرمودین منطقی نباشه در اینجا vpn site-to-site چون ping time بالا میره دوما امکان داره همزمان 50 نفر برای data intery مثلا نرم افزار فروش که سرورش کارخونه هست بخوان متصل بشن که عملا با این روش ممکن نیست , ودر جواب سوال شما isa ها دست external هم رو که ip اینترنتی داره رو ping میکنن اما دست اینترنال خیر، من همه کار کردم و همه جور rule ساختم یعنی هم تو فیلد های مختلف network object ها رنج ip شرکت دیگرو دادم و rule رو از internal و localhost به network object مورد نظر به صورت فول allow کردم نشد بعد گفتم شاید باید route یا nat بنویسم که اون کارم کردم در هر دو سمت اما بازم unreachable میزنه موقع پینگ خداییش دیگه کم اوردم ممنون میشم اگه کمکم کنید

[al1p0ur]

یعنی آیزای شما 3 کارت داره ؟ که یکیش به لوکال یکیش به اینترنت و اون یکی به لینک رادیوئی ؟

[kamidelon]

نه 2 کارت داره یکی به رادیو که بهش ip public یا همون اینترنت رو دادم و یکی به lan داخلی

[al1p0ur]

شما تو سرورای آیزا شبکه تعریف کردی ؟ چون unreachable رو زمانی میده که یه شبکه تو آیزا تعریف کرده باشی ولی اون شبکه به طور فیزیکی به آیزا وصل نباشه. مثلا تعریف کنی 192.168.0.0 ولی روی کارت شبکه های آیزات چنین رنجی نداشته باشی .
اگر تعریف نکرده باشید ، شبکه داخلی مثلا 192.168.0.0 وقتی درخواستی برای 192.168.100.0 میفرسته ، آیزا این درخواست رو جز شبکه external حساب میکنه و میفرستتش روی کارتی که به external وصله .(یعنی لینک رادیوئی ) . من از تنظیمات رادیوئی چیز زیادی نمیدونم (اصلا نمیدونم چه جوری لینک هات اینترنت رو گرفتن و چه جوری ارتباط point to point با هم برقرار کردن. اگه بگی بهتر میتونم کمکت کنم). برای همین فرض میکنم بین دو سرورتون ارتباط کابلی برقراره .(ارتباط ptpش با شما) .
وقتی درخواست از روی این کارت external خارج میشه و در طرف دیگه به کارت external دیگه میرسه یعنی یه درخواست تو اون سرور ایجاد شده از external به internal با source ip : 192.168.0.1 و destination ip : 192.168.100.1 . شما باید یه رول داشته باشید که این ترافیک رو allow کنه . دارید ؟

[kamidelon]

من اول از شما تشکر میکنم به خاطر اینکه پیگیر سوال من هستید
ببینید در مورد ارتباط رادیویی همونطوری که بهتر از من میدونید فرق چندانی با کابلی نداره یعنی اینکه 1 رادیو اینور گذاشتم رو دکل 1 رادیو اون ور گذاشتم رو دکل و لینک برقراره حالا 1 رادیو هم روی دکل isp هست که لینک با رادیو ی روی دکل دفتر تهرانه که داره اینترنتو از طریق رادیو وارد میکنه یعنی در حقیقت این رادیو ها 2 کار دارن میکنن هم لینک point to point بین دو سازمان برقرار میکنن و هم دارن اینترنت رو میارن حالا کارت external من 1 ip اینترنتیه که از isp گرفتم روشه،چون اینترنت هم میخواستم وارد سازمان کنم و چون رنج داخلی ما متفاوت هست و شما درست میفرمایید یعنی وقتی data میخواد خارج شه باید از دست اینترنال شرکت تهران مثلا 192.168.100.0 وارد دست external خودش بشه مثلا 78.110.118.26 و از طریق رادیو وارد دست external طرف مقابل بشه مثلا 78.110.118.25 و بعد بیاد دست اینترنال طرف مقابل، اما مشکل یا اشتباه من همینجاست که روی کارت external من داره اینترنت میگیره یعنی ip public یا همون valid روشه و فکر کنم باید کارت external دو طرف من مثلا رنج 10.1.1.1 در دوطرف باشه(یعنی تو 1 رنج باشن) که اونا اول هم رو بشناسن یعنی invalid باشن بعد بدن دست اینترنال خودشون بدون اینکه لینک از طریق اینترنت باشه حالا سوال اینجاست که من اگه رنج اینترنتی رو بردارم از external و روی externalدو طرف رنج invalid بگذارم لینک برقرار میشه اما چطور اینترنت وارد سازمان کنم ؟ اگه نخوام به دست external رنج ip اینترنتی ندم ؟ پس باید یه رنج ip مجازی بسازم که هم اینترنت بیاد داخل و هم دو طرف از طریق لینک همدیگر رو ببینن نه از طریق اینترنت مثلا تو دو دست external رنج 10.1.1.1 و در سمت دیگر 10.1.1.2 بدم بعد بیام rule رو بنویسم، اما در اون صورت اینترنت وارد نمیشه حالا چطور بگم همونطوری که لینک برقراره از ip 78.110.118.25 اینترنت هم بگیر یعنی این ip کجا باید بزنم و چطور؟ در حقیقت ما اینجا 2 کارت شبکه داریم اما 3 رنج ip نمی دونم منظورم رو متوجه میشید یا نه امیدوارم درست توضیح داده باشم

[al1p0ur]

ممنون از توضیحاتتون .
شما ارتباط بین دو لینکتون رو چه جوری تست میکنید (غیر از ipvalid) ؟!
حتما باید یه ip invalid روشون ست کرده باشید که همدیگرو ping کنند مگه نه ؟

اگه اینجور باشه با یه route مشکل شما حل میشه .

[kamidelon]

من هنوز کانفیگ تغییر ندادم یعنی فعلا ipvalid رو external هست اما تصمیم دارم در 2 طرف دست external رنج ip invalid بدم تو 1 رنج که همدیگر رو به صورت point to point پینگ کنند بعد rule بنویسم بگم بفرست رو دست اینترنال اما میشه لطفا کامل تر بگین کجا و چطور ip اینترنتی رو بنویسم یا بگیم هرکی از internal خواست بره به اینترنت وصل شه به این ip مثلا 78.110.118.26 بره و اینترنت بگیره در حالی که این ip هیچ کجا ست نشده احتمالا باید route همان طور که شما فرمودین نوشت اما نمیدونم چطوری ؟ ممنون میشم توضیح بیشتری بدین که چطور امکان داره چون اینطور که پیداست کسی یا اینکارو انجام نداده (که احتمالش کمه) یا این که استفاده های معمولی از isa کردن یعنی یه اینترنال ست کردن یه external هم اینترنت گذاشتن 4 تا port هم باز کردن دارن اینترنت میدن به user ها یا نهایتن فیلتر میکنن اما تا الان که کسی نبوده بگه من با 2 کارت هم اینترنت میدم و هم point to point دو محل رو به هم وصل کردم

[al1p0ur]

من هنوز کانفیگ تغییر ندادم یعنی فعلا ipvalid رو external هست اما تصمیم دارم در 2 طرف دست external رنج ip invalid بدم تو 1 رنج که همدیگر رو به صورت point to point پینگ کنند بعد rule بنویسم بگم بفرست رو دست اینترنال اما میشه لطفا کامل تر بگین کجا و چطور ip اینترنتی رو بنویسم یا بگیم هرکی از internal خواست بره به اینترنت وصل شه به این ip مثلا 78.110.118.26 بره و اینترنت بگیره در حالی که این ip هیچ کجا ست نشده احتمالا باید route همان طور که شما فرمودین نوشت اما نمیدونم چطوری ؟ ممنون میشم توضیح بیشتری بدین که چطور امکان داره چون اینطور که پیداست کسی یا اینکارو انجام نداده (که احتمالش کمه) یا این که استفاده های معمولی از isa کردن یعنی یه اینترنال ست کردن یه external هم اینترنت گذاشتن 4 تا port هم باز کردن دارن اینترنت میدن به user ها یا نهایتن فیلتر میکنن اما تا الان که کسی نبوده بگه من با 2 کارت هم اینترنت میدم و هم point to point دو محل رو به هم وصل کردم

دوست من شما تو تنظیمات دستگاهت احتمالا قسمتی برای route داری .
وقتی برای ptp آدرس ip تعریف کردی و ping گرفتی ، تو قسمت روتش باید تنظیم کنی که هر کی با شبکه شما مثلا 192.168.100.0 کار داره به جای رفتن به gateway اینترنتیتون باید از ip که رو ptp ست کردید استفاده کنه .

اگر رو دستگاهتون route نداشت باید روی سرور آیزا دستی روت بنویسید مثلا :

route -p add 192.168.100.0 mask 255.255.255.0 10.10.10.1

[kamidelon]

ممنون از لطفتون تست میکنم ببینم جواب میده یا نه