Серж Маслов, что это шлюз у сервера -- я понял. А какому устройству этот IP принадлежит? Вы утверждали, что интернет раздаёт микротик, но у него, согласно вашей схеме, IP другой. Так у кого тогда адрес 156.1, что это за устройство?
Понятно. То есть, маршрутизацией у вас занимается микротик. Это упрощает.
Вам нужно на всех компах 0-ой сети прописать шлюзом по умолчанию IP того интерфейса ближайшего к ним сервера, который смотрит в нулевую сеть. Согласно вашему рисунку -- это будет IP 192.168.0.3.
Затем на сервере "контроллер домена 1", в свою очередь, прописать шлюзом по умолчанию IP микротика: 192.168.156.9. Так как у сервера есть интерфейс, смотрящий в сеть 156 (156.88, согласно рисунку), то микротик будет ему доступен.
На всех компах, включая "контроллер домена 2", шлюзом по умолчанию должен быть установлен также микротик.
И последний финт ушами: на САМОМ МИКРОТИКЕ (192.168.156.9) нужно прописать статический маршрут в 0-ю сеть через "контроллер домена 1". В командной строке микротика это будет выглядеть так:
Также учтите, что на компах и тем более контроллерах нельзя указывать никакие посторонние DNS. У вас домен AD, в нём DNS-серверами могут выступать только контроллеры доменов (на самом деле, есть и другие варианты, но до этого вашей сети ещё далеко, так что примите как факт -- в качестве DNS должны быть указаны контроллеры. Если это разные домены, то в 0-ой сети DNS-ом должен быть 192.168.0.3, а в 156-ой -- 192.168.156.3. Если один домен -- то в обоих сетях можно указать оба контроллера как DNS-сервера.
А вот уже на контроллерах нужно настроить DNS-сервера так, чтобы они по всем неизвестным им именам запрашивали DNS-сервера провайдера (или гугла, или OpenDNS -- без разницы).
Вот тогда всё будет работать. Компы из двух подсетей будут видеть друг друга, и всем им будет доступен интернет.
То, что вы называете bridge -- это, на самом деле, коммутатор. Bridge, если по науке -- это устройство, которое конвертирует между разными технологиями передачи данных или протоколами. Например, между протоколами TCP/IP и IPX/SPX. Последний уже давно почил в бозе, поэтому вряд ли вы найдёте такие мосты сейчас :-)
То есть, у вас там чистый switch, он же коммутатор, если по-русски.
Из рисунка не следует, куда приходит интернет. Куда он физически воткнут? В "контроллер домена 2" или микротик в правом нижнем углу рисунка?
Статическая маршрутизация у вас прописана криво. Вы указываете два разных шлюза в одну и ту же сеть. Это не будет работать, нужно удалить.
Чтобы получить интернет, вам нужно будет правильно настроить маршрутизацию между сегментами, а ещё нужно будет настроить NAT, чтобы маскировать трафик из 0-ой сети. Так как шлюз в интернет, я уверен, ничего про 0-ую сеть не знает, и будет дропать трафик из неё. Поэтому для пакетов в интернет, идущих из 0-ой сети, нужно будет подменять SRC IP на IP из 156-ой сети, и обратно, при прохождении пакетов в обратном направлении. Этим и занимается NAT.
Сергей, не в курсе, что такое "мониторчик на атоме" (моноблок?), но неттоп стоит от 4500 рублей, если новый: www.dont.ru/Gigabyte-GB-TCD-Atom-D2550-1xSODIMM-DD...
Отдельно к нему монитор, самый обычный, с D-SUB разъёмом, клаву и мышь -- и вуаля, у тебя тонкий клиент на атоме.
test2235, я вот не уверен, что это особенность. Ни один роутер, с которым я сталкивался, так себя не вёл. А за два года работы в интернет-провайдере, как вы понимаете, повидать пришлось.
Так что это вряд ли легитимное поведение. Это либо какой-то баг, либо злонамеренная активность. Учитывая, что вы отключали кабель интернета, а поведение осталось, то остаются только вот эти два варианта. Нет никаких причин, чтобы роутер вёл себя подобным образом. Есть определённые сценарии для высокой ARP-активности (петля в сети, например), но там будут фигурировать запросы по 1-2-3 IP-адресам, но не перебираться в цикле все IP подсети.
hitakiri, если вы WebDAV по HTTPS будете гонять, то разницы не будет по части безопасности. Я бы выбрал WebDAV -- его винда искаропки умеет, а SSHFS -- только с помощью посторонних утилит.
virtual storage applience почил в бозе лет 6 назад. С 2011-го года о нём практически никаких упоминаний. Да, наверное ещё можно найти шаблон для его развёртывания, но юзать его в текущих исторических реалиях я бы не стал.
o4kapumo, ну там больше половины проголосовало за то, что оправдан :-) И это действительно так -- эта простая мера убирает ваш SSH от тупых автоматических сканеров, и снижает внимание к вашей системе. От таргетированных атак это не поможет, но скрипт-киддис пройдут мимо и не будут ломиться в SSH, пытаясь перебирать пароли. Так что я за то, чтобы на любых сервисах (кроме собственно продакш -- веб, почта и пр.) менять порты на нестандартные.
На практике, как только я стал менять порт на на своих серверах нестандартный, количество попыток подбора пароля с именами типа root/admin и т. п. упали с сотен в день до НУЛЯ. Делайте выводы, как говорится.
