Здравствуйте господа. У меня к вам такая просьба. Помочь мне реконструировать сеть предприятия. На данный момент в сети около 100 компьютеров + где-то десяток ноутбуков и пара сетевых принтеров. Это все досталось мне в таком виде он предыдущего админа. Несколько компонентов добавил уже я (управляемый свич и VPN роутер). Active Directory введена частично, тоесть из всего парка компьютеров около 40% в нее входят остальные нет. DHCP нету.

Серверная часть состоит из следующего железа: 1) Сервер-2хIntel Xeon, 2GB, 2х70Gb HDD (в рейде) 2) Обычный компьютер Core2Duo E4400, 2GB, 250GB+500Gb 3)Обычный компьютер Core2Duo E4400, 1GB, 250Gb. 5свичей на 24 порта.

На первом собственно особо ничего и нет, работает практически в холостую. Там только прокси сервер, непонятно зачем поставленный и виртуальная машина на которой крутится 2003 винда и вторичный контроллер домена. Имеет 2 сетевых интерфейса задействован один, имподключен в локалку.
Второй загружен сильно, на нем основной контроллер домена, мало того на нем же еще обменник висит подключенный у всех как сетевой диск. Также еще несколько разных сетевых дисков. типа архива электронной почты. Также на нем папка обновлений касперского, у всех клиент сконфигурирован так, чтоб обновляться именно с нее. Имеет один сетевой интерфейс.
Третий это шлюз на нем установлен Kerio WinRoute. Имеет 3 сетевых интерфейса именуемые WAN, LAN и VPN. К VPN подключен роутер, который соединяется в офисом в другом городе.
На компьютерах, кроме шлюза стоит WIN2003.

Что посоветуете со всем этим барахлом делать?)) Как наиболее правильно реорганизовать сеть?
Что хотелось бы:
1. Внедрить DHCP.
2. Всех загнать в домен.(это понемногу делаю)
3. Разгрузить второй сервер, путем перемещения сервисов на первую машину. (тут есть много вопросов, как это все распределить, что лучше оставить, а что переместить.)
4. реорганизовать доступ в интернет. т.к сейчас половина пользователей сидит через прокси, а вторая половина напрямую и их ничего не ограничивает. Тобишь требуется урезать скорость и прикрыть доступ к левому контенту (музыка видео и т.д) Мне не жалко но канал небольшой.
Такая топология сети на сегодня.
http://i.piccy..info/i7/90949713887c7abf ... 66/set.jpg

ЗП на лапопам?

А как же бескорыстная помощь ближнему? Ну или не очень ближнему, судя по месту проживания.

sad_man2 как говорит наш админ "Работает не трогай!!!"
Вопрос по существу: 1 задачи реконструкции?

Сразу скажу, реконструкция затевается для того чтоб привести все в порядок, т.к этим всем хозяйством невозможно управлять, все приходится делать в ручную и весь день бегать по этажам. Невозможность нормально разграничить доступ к сетевым дискам и назначить права. И просто напросто хочется все сделать по уму. Бывают даже иногда конфликты IP адресов, т.к юзеры работают по админом и могут менять.

Ну и начните с 2 DC основной + резервный на которых будут подняты DHCP и DNS, WINS ... если поставщик интернета один то зачем вам столько шлюзов? заместо впн роутера не проще было киску поставить? зачем управляемый коммутатор если планируете юзать прокси сервера?

Dennis_D что делать я знаю, вроде бы что то соображаю, у меня вопросы как лучше это сделать. Вопросы в основном обще технического плана.

2 sad_man2

на шлюз ставьте бесплатный pfSense или платный (не слишком дорогой) MikroTik. Для ваших нужд 4-го уровня лицензии Тика будет вполне достаточно. Будет вам и резалка, и фильтрация.

northland Поставщик интернета один, шлюз тоже один. Управляемый свич делит канал. на него приходит кабель от провайдера, а с него выходят уже два с собственными статическими айпи. Один идет на шлюз (это интернет предприятия) второй идет на VPN роутер, который через этот канал соединяет нас с главным офисом в другом городе. Также через этот же свич мы соеденины с еще одним нашим офисом.(грубо говоря напрямую, развязка находится у нашего провайдера, они маршрутизируют траффик)

2 sad_man2

Я бы тоже посоветовал бесплатный pfsense в кач-ве шлюза+ DHCP (резервного?) + фаера + шейпера (работает у меня 2-й год - красота!) . Тем более есть отличное русскоязычное комьюнити.
Теперь по серверам . На 1-ом я б добавил ОЗУ + винтов (в рейд 1+0, 5) (хоть и ЦЕНЫ сейчас ) и поднял на нем БЕСПЛАТНЫЙ гипервизор (Citrix Xenserver 6.0 или VmWare Vsphere 5.0). Далее перенес бы на него DC + BDC с ЕЖЕДНЕВНЫМИ бэкапами ночью с сохранением копий да хоть за неделю. Плюс на самих DC ежедневные бэкапы с помощью ntbackup состояния системы (system state) и копирования их по сети. Если поднимите гипер на VmWare Vsphere ,то на него же можно поставить pfsense . Просто с Ксеном от Цитрикса были ньюансы с сеткой. Хотя в 6-ой версии допилили , наконец-то, vSwitch

Еще можно на одном из серверов поднять FreeNAS с raid-z (можно и 2-го или даже 3-его уровня) в кач-ве сетевого хранилища. Но тут опять нужны винты .

В кач-ве же универсального решения на Линухе (есть отличная веб-морда!) рекомендую Zentyal. Может работать как PDC, BDC, mail , ftp ,smb, proxy и т.д. и т.п. Активно развивается, понятен в настройках.

Всё выше описанное в той или иной мере работает у меня уже 2-ой год. Не жалуюсь. Настраивал по мануалам из инета, форумам.

151078 тогда такой вопрос: сможет ли pfsense выполнять следующие функции:

прокси, тоесть делить юзеров на группы и назначать этим группам разные права и скоростя доступа в интернет, фильтрация нежелательных сайтов и контента.

соединяться по IPSec вместо моего D-Link DL-804HV с таким же D-Link на другой стороне, чтоб я мог исключить из сети этот роутер, работает он все равно не стабильно. и есть ли у него веб интерфейс?

2 sad_man2
Можно не лениться и сходить сюда - http://pfsense.org/ .В пакетах к нему увидеть squid . Зарегиться на форуме , порыскать по всему и найти статьи по настройке.

Плюс, гугл никто не отменял - http://www.youtube.com/watch?v=j04w0Rjf ... re=related (pfSense IPsec Tunnel) , http://diskatel.narod.ru/pkgman_squidguard.htm - squidGuard , http://forum.pfsense.org/index.php/topic,42340.0.html - блокировка по mime types, http://forum.pfsense.org/index.php/topic,34110.0.html - блокирование кириллических символов и т.д.

Это для версии 1.2.3 ! Во 2-ой МНОГОЕ добавилось и поменялось!

151078

В скринах ответы на вопросы ТС про морду IPSec и навеску правил по группам

Эту штуку как-то на виртуальную машину поставить можно? посмотреть что из себя представляет. я скачал дистрибутив, но ничего не могу с ним сделать его толком не видят никакие программы. Называется pfSense-2.0-RELEASE-1g-i386-nanobsd.img.gz Распаковал там файл .img. что с ним делать дальше ума не приложу неро его пишет но грузиться с него ничего не грузится. Image burn видит но виснет при попытке открыть...

Скриншоты я видел, но это же надо в живую глянуть.

Скачайте ISO если не получается, там по моему выбор велик*) http://pfsense.bol2riz.com/downloads/

Добавлено спустя 1 минуту 40 секунд:
Ну и http://ru.doc.pfsense.org/index.php/%D0 ... 1%86%D0%B0

Народ ну выручайте, не могу установить и все тут. установка постоянно застряет в разных местах, на виртуалке, а на железной машине в самом начале в одном и том же месте. железную машину взял простую дюрон 950, 256мб озу, 20гб жесткий.

виртуалка
http://i.piccy..info/i7/de8bc1f22851ee43 ... 212121.jpg

железо.
http://i.piccy..info/i7/90df93737fa05a2b ... 112011.jpg

Примерно так - http://www.seczone.ru/index.php/pfsense.html , http://www.youtube.com/results?search_q ... ense++virt

P.s. Ммм-да... Какие там домены-роутеры-впн-ны и т.д. , если уж установить готовый продукт не можем