none
Criar NAT no ISA 2004 RRS feed

  • Pergunta

  • Pessoal

    Boa tarde !

    Preciso criar um NAT no ISA 2004 que converta toda a minha rede interna para um outro IP interno. Exemplo: (Rede interna: 10.1.0.0 Nat para 10.244.0.0)
    Apos isso preciso dizer que todo esse trafego (10.244.0.0) deverá sair por uma VPN siste-to-site para chegar ao seu destino.

    Isso é possivel? Se sim como devo proceder?


    Obrigado


    Nefi Paulo Machado
    • Movido Hengzhe Li quarta-feira, 28 de março de 2012 01:25 (De:ISA Server 2004)
    quarta-feira, 8 de julho de 2009 16:32

Respostas

  • Ola, cara ainda ta meio confuso isso ae viu.

    Vamos Lá...

    O isa está no Dominio, e faz parte da Rede 10.14.X.X e outra placa na net.

    Dai vc precisa de acesso a uma rede 10.244.0.0 somente com um IP. (O Acesso é Fisico?? Link direto ou VPN contratado? ou vc que fazer uma vpn pelo ISA??

    Vc realmente precisa de um NAT??? ou pode ser um ROute?? há diferença entre as duas, e como as duas são redes privadas da pra fazer route. Esssa parte "quando o destino for essa vpn..."  a vpn foi feita pelo isa??

    Se eu entendi, acho que o que vc quer é que os clientes que estão configurados como securenat do ISA quando for fazer pedido para rede 10.244.x.x o ISA encaminhe para a vpn.

    Bom faça o seguinte.

    No isa vc vai criar uma rota persistente para rede 10.244.0.0 (verifique a masca correta que essa rede está usando), dizendo que o gateway para essa rede (o proximo salto) é router que faz essa vpn que esta na mesma rede do isa.


    Depois depois vc vai criar uma adress range com o range do cliente que vc quer chegar, depois criar um regra no isa que libera os protocolos desejados, da rede interna para range criado para todos usuarios.



    Tenta ae depois posta pra gente.


    Se foi util não se esqueça de marcar como reposta.


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 13 de julho de 2009 03:27
  • Felipe,

    Na verdade eu precisava fazer traduzir todas os pacotes que chegassem no ISA como 10.14 para 10.244 e fazer o ISA jogar esses pacotes na VPN site-to-site criada neste mesmo ISA para que assim os pacotes chegassem em seu destino. (ficou mais claro?)

    Eu resolvi colocando uma nova interface de rede no ISA e fiz a topologia de uma rede perimetral deste modo eu fiquei com o seguinte:

    1 Placa LAN 10.14.0.x
    1Placa WAN - 200.x.x.x
    1 Placa PERIMETRAL -10.244.0.x

    O default gateway das estacoes ficaram a placa perimetral ex: 10.244.0.1

    Assim ficou muito facil pois não foi mais necessário fazer NAT.

    Nos desktops clientes eu coloquei 2 ips estaticos (1virtual com a rede 10.14)

    e pronto, problema solucionado.

    Muito obrigado a todos





    Nefi Paulo Machado
    quarta-feira, 15 de julho de 2009 13:25

Todas as Respostas

  • Explica seu ambiente real pq ficou dificil de entender o que vc que.


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quarta-feira, 8 de julho de 2009 18:15
  • Missão hein amigo....

    Como esta criada sua topologia?
    Luiz Fernando Dias - MVP
    quarta-feira, 8 de julho de 2009 18:19
    Moderador
  • Ola amigos,

    Tenho um DC com Win2003 que é o meu AD, DHCP e DNS.
    O ISA 2004 faz parte do dominio e tem 2 placas, 1 LAN e 1 WAN que é meu link com IP fixo.
    A placa LAN é (ex.) 10.14.0.0/255.255.0.0
    A WAN é (ex.) 200.176.3.233

    Eu preciso acesso a um ambiente que possui mais de 3.000 redes e pois isso só posso chegar lá com o IP que eles me designaram, no caso o (ex.) 10.244.0.0

    Não posso mudar a minha rede atual (ex. 10.14.0.0) e preciso que as 2 redes compartilhem informações.

    Preciso que aconteca um NAT de 10.14.0.0 para 10.244.0.0 quando o destino for uma VPN site-to-site que está fechada com o cliente em, questão.

    esse é o primeiro problema. Não estou conseguindo estabelecer esse nat atraves do ISA 2004.

    Após o NAT ser estabelecido preciso criar uma regra dizendo que todo o trafego que chega com 10.244.0.0, seja encaminhado para o tunel dessa VPN Ipsec site-to-site. ou seja, não da pra "natear" tudo pois a finalidade do NAT é apenas para essa VPN e não para todo o ISA entende?

    Tentei ser o mais claro possivel... por favor me avisem se não entenderam q eu tento explicar de outra forma... 

    Obrigado a todos 




    Nefi Paulo Machado
    quinta-feira, 9 de julho de 2009 21:06
  • Bah cara nem me fala... Eu expliquei um pouco da topologia na mensagem acima, quando puder por favor de uma olhada...

    Apos verificar isso eu pergunto. Se eu colocar mais 1 interface de rede no ISA, eu resolveria esse problema?

    abs e obrigado


    Nefi Paulo Machado
    quinta-feira, 9 de julho de 2009 21:08
  • Ola, cara ainda ta meio confuso isso ae viu.

    Vamos Lá...

    O isa está no Dominio, e faz parte da Rede 10.14.X.X e outra placa na net.

    Dai vc precisa de acesso a uma rede 10.244.0.0 somente com um IP. (O Acesso é Fisico?? Link direto ou VPN contratado? ou vc que fazer uma vpn pelo ISA??

    Vc realmente precisa de um NAT??? ou pode ser um ROute?? há diferença entre as duas, e como as duas são redes privadas da pra fazer route. Esssa parte "quando o destino for essa vpn..."  a vpn foi feita pelo isa??

    Se eu entendi, acho que o que vc quer é que os clientes que estão configurados como securenat do ISA quando for fazer pedido para rede 10.244.x.x o ISA encaminhe para a vpn.

    Bom faça o seguinte.

    No isa vc vai criar uma rota persistente para rede 10.244.0.0 (verifique a masca correta que essa rede está usando), dizendo que o gateway para essa rede (o proximo salto) é router que faz essa vpn que esta na mesma rede do isa.


    Depois depois vc vai criar uma adress range com o range do cliente que vc quer chegar, depois criar um regra no isa que libera os protocolos desejados, da rede interna para range criado para todos usuarios.



    Tenta ae depois posta pra gente.


    Se foi util não se esqueça de marcar como reposta.


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    segunda-feira, 13 de julho de 2009 03:27
  • Felipe,

    Na verdade eu precisava fazer traduzir todas os pacotes que chegassem no ISA como 10.14 para 10.244 e fazer o ISA jogar esses pacotes na VPN site-to-site criada neste mesmo ISA para que assim os pacotes chegassem em seu destino. (ficou mais claro?)

    Eu resolvi colocando uma nova interface de rede no ISA e fiz a topologia de uma rede perimetral deste modo eu fiquei com o seguinte:

    1 Placa LAN 10.14.0.x
    1Placa WAN - 200.x.x.x
    1 Placa PERIMETRAL -10.244.0.x

    O default gateway das estacoes ficaram a placa perimetral ex: 10.244.0.1

    Assim ficou muito facil pois não foi mais necessário fazer NAT.

    Nos desktops clientes eu coloquei 2 ips estaticos (1virtual com a rede 10.14)

    e pronto, problema solucionado.

    Muito obrigado a todos





    Nefi Paulo Machado
    quarta-feira, 15 de julho de 2009 13:25

  • Que bom que resolveu.


    Qualquer coisa posta ae pra gente
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quinta-feira, 16 de julho de 2009 15:52