Problema rete con Windows server 2003

[tlc-elmas]

Salve a tutti, mi chiamo Nicola sono un nuovo iscritto di questo forum...

Purtroppo ho un problema a cui non riesco a trovare una soluzione. Sto creando una rete con un server in cui è installato Windows Server 2003; e ho necessità di creare 8 sottoreti identificate con 8 gruppi di lavoro differenti. Vorrei fare in modo che ciascun gruppo (sottorete) non visualizzi gli altri gruppi (sottoreti)... praticamente vorrei che i computer di un gruppo non vedano in nessun modo i computer degli altri gruppi di lavoro, ma che vedano solo quelli della stessa sottorete... L' unica macchina in grado di vedere tutte le macchine di tutte le sottoreti deve essere il Server...

Spero possiate aiutarmi...
grazie mille per ora...

Saluti
Nicola

[lupotto]

Quote:

Originariamente inviato da tlc-elmas

Salve a tutti, mi chiamo Nicola sono un nuovo iscritto di questo forum...

Purtroppo ho un problema a cui non riesco a trovare una soluzione. Sto creando una rete con un server in cui è installato Windows Server 2003; e ho necessità di creare 8 sottoreti identificate con 8 gruppi di lavoro differenti. Vorrei fare in modo che ciascun gruppo (sottorete) non visualizzi gli altri gruppi (sottoreti)... praticamente vorrei che i computer di un gruppo non vedano in nessun modo i computer degli altri gruppi di lavoro, ma che vedano solo quelli della stessa sottorete... L' unica macchina in grado di vedere tutte le macchine di tutte le sottoreti deve essere il Server...

Spero possiate aiutarmi...
grazie mille per ora...

Saluti
Nicola

Non è mica tanto chiaro

[lupotto]

Quote:

Originariamente inviato da tlc-elmas

Salve a tutti, mi chiamo Nicola sono un nuovo iscritto di questo forum...

Purtroppo ho un problema a cui non riesco a trovare una soluzione. Sto creando una rete con un server in cui è installato Windows Server 2003; e ho necessità di creare 8 sottoreti identificate con 8 gruppi di lavoro differenti. Vorrei fare in modo che ciascun gruppo (sottorete) non visualizzi gli altri gruppi (sottoreti)... praticamente vorrei che i computer di un gruppo non vedano in nessun modo i computer degli altri gruppi di lavoro, ma che vedano solo quelli della stessa sottorete... L' unica macchina in grado di vedere tutte le macchine di tutte le sottoreti deve essere il Server...

Spero possiate aiutarmi...
grazie mille per ora...

Saluti
Nicola

Una divisione del genere la puoi fare secondo me a livello di router e firewall, dimensionando le subnet in base agli host per ogni sottorete (per esempio potresti usare una sottoclasse C con subnet /28 che ti permette di avere 14 host per sottorete.

Ma di fatto lo scopo che hai quale è? Potrebbero esistere soluzioni più semplici

[70Faramir]

Ciao, la soluzione più semplice al tuo problema è quella di dotarti di uno switch che sia in grado di gestire 8 VLAN separate, cioè 8 reti a tutti gli effetti separate..

Es.

Server su porta 1

Client WG 1 su porte 2,3,4
Client WG 2 su porte 5,6,7
Client WG 3 su porte 8,9,10 e così via

lo switch dovrà essere configurato per far sì che le porte dalla 2 in su possano "vedere" solo i client della propria VLAN mentre la porta 1 sia in grado di vederli tutti... così ottieni la separazione tra i gruppi mantenendo al possibilità di vedere il server..

L'unico problema temo sia quello di trovare uno switch che supporti 8 VLAN...

[sk8ne]

indicativamente, basterebbe mettere ai client di ogni sottorete un IP (ad esempio) della classe 192.168.s.x (con s che va da 1 a 8) con una subnet 255.255.255.0 mentre al server mettiamo una subnet 255.255.0.0.

A tutti i client poi si mette un IP fisso (192.168.9.1) e si disabilita qualsiasi DHCP. In questo modo il risultato è quello voluto, senza dover acquistare nulla.

Ah, il server non sarà visto da nessun client ma il server vedrà tutti i client

Ma magari ho un po' le idee confuse ...

[lupotto]

Quote:

Originariamente inviato da 70Faramir

Ciao, la soluzione più semplice al tuo problema è quella di dotarti di uno switch che sia in grado di gestire 8 VLAN separate, cioè 8 reti a tutti gli effetti separate..

Es.

Server su porta 1

Client WG 1 su porte 2,3,4
Client WG 2 su porte 5,6,7
Client WG 3 su porte 8,9,10 e così via

lo switch dovrà essere configurato per far sì che le porte dalla 2 in su possano "vedere" solo i client della propria VLAN mentre la porta 1 sia in grado di vederli tutti... così ottieni la separazione tra i gruppi mantenendo al possibilità di vedere il server..

L'unico problema temo sia quello di trovare uno switch che supporti 8 VLAN...

Per lo switch che supporti 8 vlan può farlo con il "vyatta ofr", che è un router firewall basato su debiam e rilasciato sotto gpl, la versione community è gratuita e la documentazione ufficiale è molto buona, gli serve solo un pc anche vecchiotto e due schede di rete e un hd anche solo da 4 giga per installarlo, il resto è solo un pò di studio e prove

[sk8ne]

Strafico sto "vyatta ofr", se fa davvero tutto quello che promette è una vera svolta!!

Solo che non riesco a trovare documentazione completa, mi sono perso qualche link del sito principale?

[lupotto]

Quote:

Originariamente inviato da sk8ne

Strafico sto "vyatta ofr", se fa davvero tutto quello che promette è una vera svolta!!

Solo che non riesco a trovare documentazione completa, mi sono perso qualche link del sito principale?

Fidati che lo fa e anche molto ma molto bene, io con due pc di recupero ho messo su un router in vrrp che riceve dati via connessione in MPLS, sono 9 mesi che gira come un orologio oltre ad un bel server openvpn per accesso alla rete aziendale che funge da proxy e firewall + ips e webfilter, e anche in questo caso si comporta ottimamente, ovviamente va configurato per bene

Quanto alla documentazione devi andare sul sito www.vyatta.org sezione documentazione, e lì registrarti per prendere i singoli manuali, la documentazione è ovviamente libera.

[MadMax of Nine]

a livello teorico potrebbe anche andare bene ma se guardi la banda e l'affidabilità di quel sistema stai fresco... dovresti far passare tutta la rete in un pc "vecchio" con magari 1gb di banda passante... dovresti usare un server serio con un paio di quadport gb e a questo punto con un 500€ di prendi uno switch gestito e vai di vlan

[sk8ne]

beh, che l'HW debba essere proporzionato alla mole di dati e di banca che passa è quantomeno scontato

Cmq mi registro ... può essere una soluzione mooolto interessante per quelle piccole aziende che magari hanno solo bisogno di un firewall e un accesso vpn

[lupotto]

Quote:

Originariamente inviato da MadMax of Nine

a livello teorico potrebbe anche andare bene ma se guardi la banda e l'affidabilità di quel sistema stai fresco... dovresti far passare tutta la rete in un pc "vecchio" con magari 1gb di banda passante... dovresti usare un server serio con un paio di quadport gb e a questo punto con un 500€ di prendi uno switch gestito e vai di vlan

A livello pratico è un discorso di quel che devono fare loro....ossia se l'utente si trova in un'azienda dove avanzano un paio di macchine anche un pò vecchiotte ma in buono stato ha un router/firewall/switch e quel che ci vuoi metter te dentro a costo 0, senza contare che magari non fanno chissà quale traffico di rete, e quindi 2 schede ad 1 Gigabit con su 8 vlan configurate gli va più che bene, senza contare che magari non hanno un ambiente di produzione in cui necessitano di tempi di uptime particolarmente elevati tipo 99,99% e quindi un crash hardware di alcune ore di un hardware vecchio per assurdo può essere tollerabile.

Se poi non hanno un pc decente da riutilizzare allora convengo con te che vale la pena comprare uno switch dedicato e risolve così.

Però lo switch solo quello fa, vyatta fa di tutto e se poi dovsse aver bisogno di una soluzione "seria" esistono le appliance hardware della vyatta che sono comunque meno costose rispetto a Cisco, e compatibili con tutti i protocolli Cisco.

Se vai sul loro sito vedrai che organizzazioni di tutto rispetto, fra cui l'Homeland security office statunintense (il dipartimento di sicurezza interno), utilizzano le loro soluzioni, e mia opinione personale, oggi che è necessario risparmiare il più possibile è bene guardarsi intorno e non puntare solo sui nomi noti tipo per l'appunto Cisco o F5 network o Fortinet o Checkpoint per le appliance di rete e sicurezza.

......e poi a me vyatta piace come prodotto tanto che in azienda mi hanno soprannominato vyatta-man

[sk8ne]

Quote:

Originariamente inviato da lupotto

......e poi a me vyatta piace come prodotto tanto che in azienda mi hanno soprannominato vyatta-man