• Есть ли ошибки в маршрутизации?

    Aleksei-Shelepov
    @Aleksei-Shelepov
    Иван, если не предполагается использование сети 10.1.1.0/24 на площадке организации, и если нельзя нормально vlan пробросить...

    Самый простой и нормальный вариант, по-моему:
    1) Cоздать SW3
    2) Подключить к нему все хосты из 10.1.1.0/24 и один новый интерфейс (eth2) от ClearOS2
    3) На eth2 задать адрес 10.1.1.1, на eth1 - 192.168.1.254
    4) На ClearOS1 добавить маршрут 10.1.1.0/24 nexthop 192.168.1.254
    5) Удалить старые маршруты через интерфейсы

    Если хочется чего-то повеселее, то есть такой костыльный вариант (немного получше следующего):
    1) На SW2 создаёте новый vlan, допустим, номер 219.
    2) Порты с хостами из сети 10.1.1.0/24 добавляете в 219 влан.
    3) Создаёте на ClearOS2 влан интерфейс eth2.219
    4) На интерфейсе eth2.219 указываете адрес 10.1.1.1
    5) На интерфейсе eth1 указываете адрес 192.168.1.254
    6) Для всех хостов из сети 10.1.1.0/24 маршрут по умолчанию указываете на 10.1.1.1
    7) Добавляете на ClearOS1 маршрут вида
    10.1.1.0/24 nexthop 192.168.1.254
    8) Удаляете старые маршруты через интерфейсы

    Или другой костыльный вариант (если есть техническая возможность):
    1) Добавляете на ClearOS2 secondary IP на интерфейс eth1
    2) На этот интерфейс eth1:2 указываете адрес 192.168.1.254
    3) Добавляете на ClearOS1 маршрут вида
    10.1.1.0/24 nexthop 192.168.1.254
    4) Удаляете старые маршруты через интерфейсы

    В любом из этих костыльных случаев предвижу ругань нового админа. От первого варианта проще перейти к правильному в дальнейшем. Но вообще лучше делать хороший вариант сразу, чтобы потом не исправлять исторически сложившееся легаси долго и мучительно.
  • Создание сети в Cisco Packet Tracer, недоступность шлюза?

    Aleksei-Shelepov
    @Aleksei-Shelepov
    Подсети поделили правильно.
    https://netcalc.ru/index.php

    Предлагаю пока заменить "Hellow my lord!" на "Greetings my lord!"
  • Значение в поле MAC destination при использовании ненумерованного интерфейса?

    Aleksei-Shelepov
    @Aleksei-Shelepov
    Казыбек Касиенов, собственно, механизм выяснения MAC адреса будет такой же, как и в случае, когда указан IP адрес в качестве nexthop. Только будет в запросе не адрес nexthop, а, как отметил Mystray, конечный адрес, то есть destination.
    Думаю, как ARP работает понятно.

    Изначально роутеры не знают MAC адреса друг друга, но как только пойдёт первый трафик на destination адрес, отправляющий роутер разошлёт широковещательный ARP request.
    То есть отправляющий роутер направит ARP запрос с IP адресом destination с указанного интерфейса, даже если это не та сеть, которая реально настроена на этом интерфейсе. Нужно чтобы какое-то устройство ответило, что все пакеты на такой-то destination адрес нужно отправлять на его собственный MAC адрес, опять же, даже если это не его реальный IP адрес.
    Для этого и нужен proxy arp в данном случае - говорить, что за твоим MAC адресом скрывается ещё и чужой IP адрес, к которому у тебя есть маршрут.
  • Как сделать шлюз в другую подсеть через OpenVPN?

    Aleksei-Shelepov
    @Aleksei-Shelepov
    Falseclock, подозреваю, нужно ещё добавить обратное правило NAT - из сети 192.168.10.0/24 в 192.168.1.0/24.
  • Как правильно разворачивать сетевую инфраструктуру с dhcp? С использованием отдельного оборудования или все на одном сервере?

    Aleksei-Shelepov
    @Aleksei-Shelepov
    Саша, вот один из вариантов небольшого офиса, как примерно я бы сделал с учётом некоторой безопасности и с заделом на будущее. Можно как раз в лаборатории построить подобное, а потом увеличивать офис и добавлять новые сервисы

    Логическая схема:
    59d294485c5dc735570788.png
    Физическая схема:
    59d294544c008528319392.png
  • Как правильно разворачивать сетевую инфраструктуру с dhcp? С использованием отдельного оборудования или все на одном сервере?

    Aleksei-Shelepov
    @Aleksei-Shelepov
    Саша,
    Файрвол - лучше в разрыв и физически, и логически. Но не обязательно, можно просто правильно настроить vlan на коммутаторе, тогда будет только логически в разрыв:
    Роутер - vlanX - файрвол - vlanY1, vlanY2.
    Прокси - в DMZ.

    Вы реальную сеть что ли по этим советам собираете?