locked
NATирование в TMG по разным интернет каналам. RRS feed

  • Вопрос

  • Добрый день!

    Чтобы не нарушать правила форума, создаю новый топик.

    Итак ситуация следующая.
    Есть MS Forefront TMG с тремя сетевыми интерфейсами, к двум из которых подходит интернет канал:
    1. Безлимитный с "серым" IP адресом (назовем ISP1)
    2. Лимитированный с "белым" IP адресом (назовем ISP2)

    Задача такова: пустить всех пользователей через безлимитный канал, почту отправлять через лимитированный со статическим IP.
    Руководствуясь статьей Артема Синицына создал новое сетевое правило, в котором указал, что весь трафик, исходящий с IP адреса почтового сервера будет натироваться через ISP2.
    Правило, созданное автоматичеки (Internet Access) я не трогал. И тут заметил, что и пользователи ходят через ISP2.
    Проверил метрики: ISP1 - 1, ISP2 -10.
    Решил в правиле Internet Access изменить IP адрес, через который будет происзодить натирование. Изменил и интернет пропал. Как только перевожу натирование на использование Default IP, интернет появляется, но упорно ходит через ISP2.

    Насколько я понимаю, адрес по умолчанию выбирается исходя из метрики шлюза. Проверил метрики: действительно у ISP2 метрика была явно указана 1, а у ISP1 стояло автоматическое определение метрики. Поменял с точность до наоборот. Начал проверять. Пользователи в интрнет попадают, а вот почтовый сервер перестал получать доступ.
    Решил помониторить. Пишет неудачная попытка соединения (также заметил обилие UDP пакетов на порт 3071)
    Трасировка обрывается на IP адресе TMG. Пингуются только внешний IP адрес (интерфейс ISP2 на TMG) и его шлюз.

    В чем невенрна настройка? Может в том, что выбор IP адреса для натирования работает лишь тогда, когда именно на одном сетевом интерфейсе (повторюсь, в моем случае их два) прописаны несолько IP адресов?
    Александр Щербаков
    25 декабря 2009 г. 4:00

Ответы

  • Александр, по умолчанию Forefront TMG может использовать только ОДИН интернет-канал, который будет выбран на основе информации сетевой подсистемы ОС (шлюз по умолчанию, метрики интерфейсов, таблица маршрутизации). Вы можете задействвать механизм ENAT для назначения конкретного IP-адреса для NAT, но только на ОДНОМ сетевом интерфейсе.

    В Вашем же случае требуется "натировать" сетевой трафик внутренней сети через ДВА сетевых интерфейса. Следовательно, для реализации данного сценария необходимо включить и корректно настроить механизм ISP Redundancy (ISP-R) для подержки работы сразу с двумя интернет-каналами. Обращаю Ваше внимание, что ISP-R должен быть задействован в режиме Load Balancing для поддержки одновременной работы с двумя каналами (режим Failovering поддерживает работу только одного канала с автоматическим переключении на резервный при падении основного). Подробные инструкции по настройке сетевой подсистемы серверной ОС и включения механизма ISP-R Вы можете найти во второй части вебкаста "Forefront Ninjutsu Sono San – Работа Forefront TMG с двумя интернет-каналами".

    Нужно отметить, что в этом сценарии трафик почтового сервера будет ЖЕСТКО привязан ко второму интернет-каналу и при его падении обрабатываться не будет. Вам придется либо дожаться поднятия данного интернет-канала, либо временно переключить почтовый сервер на использование активного канала (благо это делается за пару кликов мышкой и возможно автоматизировать с помощью скриптов). Подробности о жестких привязках ресурсов к интернет-каналам Вы сможете получить также из записи вебкаста "Forefront Ninjutsu Sono San – Работа Forefront TMG с двумя интернет-каналами".
    SINITSYN.ORG /{Бинарный} Форпост/ - Блог с фокусом на ISA Server, Forefront TMG, RMS и Windows Security
    29 декабря 2009 г. 5:42

Все ответы

  • Попробуйте создать второе правило, где указать подсеть с Вашими пользователями, которая будет заворачиваться на ISP1
    Поможем друг другу стать лучше! Отметим правильные ответы и полезные сообщения!
    28 декабря 2009 г. 8:20
    Модератор
  • Да, Никита, Вы не перестаёте меня поражать своими блистательными ответами :)
    Этот однозначно достоин помещения на первые страницы учебника "Занимательная логика", Самиздат, 1987 г.


    SINITSYN.ORG /{Бинарный} Форпост/ - Блог с фокусом на ISA Server, Forefront TMG, RMS и Windows Security
    29 декабря 2009 г. 5:28
  • Александр, по умолчанию Forefront TMG может использовать только ОДИН интернет-канал, который будет выбран на основе информации сетевой подсистемы ОС (шлюз по умолчанию, метрики интерфейсов, таблица маршрутизации). Вы можете задействвать механизм ENAT для назначения конкретного IP-адреса для NAT, но только на ОДНОМ сетевом интерфейсе.

    В Вашем же случае требуется "натировать" сетевой трафик внутренней сети через ДВА сетевых интерфейса. Следовательно, для реализации данного сценария необходимо включить и корректно настроить механизм ISP Redundancy (ISP-R) для подержки работы сразу с двумя интернет-каналами. Обращаю Ваше внимание, что ISP-R должен быть задействован в режиме Load Balancing для поддержки одновременной работы с двумя каналами (режим Failovering поддерживает работу только одного канала с автоматическим переключении на резервный при падении основного). Подробные инструкции по настройке сетевой подсистемы серверной ОС и включения механизма ISP-R Вы можете найти во второй части вебкаста "Forefront Ninjutsu Sono San – Работа Forefront TMG с двумя интернет-каналами".

    Нужно отметить, что в этом сценарии трафик почтового сервера будет ЖЕСТКО привязан ко второму интернет-каналу и при его падении обрабатываться не будет. Вам придется либо дожаться поднятия данного интернет-канала, либо временно переключить почтовый сервер на использование активного канала (благо это делается за пару кликов мышкой и возможно автоматизировать с помощью скриптов). Подробности о жестких привязках ресурсов к интернет-каналам Вы сможете получить также из записи вебкаста "Forefront Ninjutsu Sono San – Работа Forefront TMG с двумя интернет-каналами".
    SINITSYN.ORG /{Бинарный} Форпост/ - Блог с фокусом на ISA Server, Forefront TMG, RMS и Windows Security
    29 декабря 2009 г. 5:42
  • Артем, спасибо за наводку!

    Я сделал следующим образом и все работает:

    1. Включил ISP-R в режиме Failover
    2. На ISP2 со статическим IP сделал настройку: "Отключено, подключение не работает"
    3. В сетевых правилах прописал почтовому серверу ходить через него

    Собственно и все. При падении канала ISP1 (серый) пользователи просто сидят без интернета, но почта исправно отправляется.
    Александр Щербаков
    29 декабря 2009 г. 8:15
  • Искренне рад, что у Вас получилось!!!


    SINITSYN.ORG /{Бинарный} Форпост/ - Блог с фокусом на ISA Server, Forefront TMG, RMS и Windows Security
    29 декабря 2009 г. 13:11