Если речь, например про пинг, то его нужно делать первым в списке, т.к. этот протокол не умеет авторизовываться на TMG, следовательно такой трафик просто не пойдёт. Делайте пинг первым разрешённым для всех (или по IP для некоторых), а дальше уже согласно вашей фантазии и тд.
Для репликации АД, если в неё углубится, нужно следующее:
1. Машины на уровне IP видят друг друга (находятся в одной сети или трафик смаршрутизирован)
2. Между машинами разрешён трафик для нужных протоколов (в идеале вообще нет фильтрации) technet.microsoft.com/en-us/library/cc961766.aspx
3. В ДНС есть зона домена, в зоне усть все нужные контейнеры, в контейнерах есть контролеры доменов и хозяины ролей, ДНС доступен с каждого контролера.
4. Оснастка управления Доменом способна подключится к любому контролеру (это в случае локальной сети) и видит его содержимое
5. Оснастка управления Сайтами видит подсети (они созданы) и сайты (они созданы и содержат подсети).
6. В оснастке управления Сайтами созданы реплик линки и они имеют правильную настройку.
@karpachew да, только убунту тогда подключаем в LAN порт, тем самым убунта и ПК будут в одной физической подсети, а Dlink будет просто свичём, это будет эффективнее работать и быстрее. Ну и порты наружу выставлять проще будет. =)
@karpachew выглядит всё верно. Но имхо, лучше убрать два NAT, выставить на интерфейсе адрес 192.168.1.254/24 и поднять DHCP на самой убунте, а на dir'е всё это отключить.
@edinorog не совсем понял вопрос. Если юзать чистый сервер - то хорошо бы (а иногда просто необходимо) иметь IPMI. Если юзать виртуализацию - необходимость ниже, но тоже иногда есть.
@farewell вообще проблем возникнуть не должно. Нат конечно себя в таком режиме вёл бы не ахти как, но у нас как раз для такого случая ната в срипте нет. Т.е. iptables просто маршрутизирует пакеты. Но для чистоты эксперимента можно выделить для отдельную подсеть, если есть возможность. Проверь =)
Да, судя по протоколу там в скрипте ошибки. Надо копать. Почитай пока про route rule и попробуй добавить их отдельно после запуска скрипта. Я пока погуглю)
@artembezrukov9 маршрутизатор прошей свежей прошивкой (если есть твоя ревизия на их dlink.com сайте, то лучше взять её, а не ту что на dlink.ru). Подключение к провайдеру какое? Если pptp или l2tp и есть возможность сменить на static, то лучше это сделать.
1. Без NAT через модем работать не будет
2. Маршрут нужен, иначе iptables не может к nexthop перейти
3. Можно пинговать шлюзы по умолчанию, если пинг до модемного шлюза пойдёт - значит пол дела сделано, дальше пинговать 8.8.8.8 интерфейс можно для начала не указывать
Да не за что. На Микротике за 10 минут бы такую схему реализовал (там всё много нагляднее)
@ZombieHamster чтобы не грузить точку - нужно создать дроп правило не не ней, а на уровне шлюза.
Но даже созданное дроп правило будет слабо нагружать проц, тем более если отключить трекинг соединений (правда без него не будут работать вот эти фичи wiki.mikrotik.com/wiki/Manual:IP/Firewall/Connecti... но если их не используете - то самое оно).
