none
Маршрутизация на ISA 2006, сеть за сетью RRS feed

  • Вопрос

  • Есть машина с ISA 2006 [ISA] на win 2003, у нее три интерфейса - внешний, DMZ, и локальный (соединен с маршрутизатором - [R1] сеткой точка-точка).  За маршрутизатором R1 находится пачка сетей. Для простоты считаем, что например есть станция PC1, у которой шлюзом по умолчанию выступает R1 в своей сети.
    на R1 маршруты прописаны все нужные.

    Как сказать исе, что эти сети доступны через шлюз маршрутизатора R1, и пакеты на соответствующие надо гнать туда (на R1)

    Т.е. мне надо чтобы пакеты ходили от PC1 до ISA и обратно (и в DMZ в перспективе) безо всяких NAT`ов...



    Схема

       Internet     -   [ ISA 2006 ]  192.168.41.2    <=> 192.168.41.2  [ R1 ]  192.168.41.1   <=> [ PC1 ]  192.168.44.2

                                |
                             DMZ   192.168.42.1

                           
    т.е. надо на ISA`е что-то вроде route add 192.168.44.0 mask 255.255.255.0 192.168.41.1

    но это не работает, при создании всех разрешающих правил.. Пробовал запускать службу маршрутизации на серваке, но ISA его вырубает через небольшой промежуток времени... добавления в консоли винды маршрута, резльтата не дает...
    При трасировке с исы - получаю - узел недоступен, т.е. реально ISA не посылает пакеты при пинговании или трасировки PC1 к R1.
                                

    Как сделать маршрутизацию сетей через сети на ISA, и возможо ли вообще на ней?

    • Изменено Kiry 24 июня 2009 г. 2:20
    24 июня 2009 г. 1:43

Все ответы

  • Получилось добавлением сети 192.168.44.0/24 во ВНУТРЕННИЕ сети ISA`ы

    и прописыванинии маршрута
    route add 192.168.44.0 mask 255.255.255.0 192.168.41.1 -p

    Стало все пинговаться и бегать между сетками...


    плюс добавил маршрут для инета

    rute add 0.0.0.0 mask 0.0.0.0 <шлюз провайдера> -p


    Так это и должно быть? Все сети маршрутизаторов делать внутренними?
    ps. несколько непривычный метод, касаемо добавления всего во внутренние сети...

    • Изменено Kiry 24 июня 2009 г. 3:19
    24 июня 2009 г. 2:20
  • Да, так и должно быть.
    http://www.redline-software.com/rus/support/articles/isaserver/general/network_behind_a_network.php


    Абсолютно нормальный парень...© Товар сертифицирован
    24 июня 2009 г. 5:41
  • Так это и должно быть? Все сети маршрутизаторов делать внутренними?
    ps. несколько непривычный метод, касаемо добавления всего во внутренние сети...

    непривычно просто потому что некоторые прежде чем лезть в настройки не читают матчасть - в исе объект network это не совсем сеть в том смысле в котором ее понимают многие. для определения просто подсетки как одного сегмента в исе используется subnet. а networks служит для задания топологии
    и кстати если твоему pc1 кроме исы, инета и дмз понадобится еще ходить на хосты в 41й подсетке то придется маршрут писать на самих хостах тоже :)

    ps схему если честно не понял
    24 июня 2009 г. 5:55
    Отвечающий
  • в схеме ошибку сдлал в одном IP, должно быть так

    Схема

       Internet     -   [ ISA 2006 ]  192.168.41.2    <=> 192.168.41.2  [ R1 ]  192.168.44.1   <=> [ PC1 ]  192.168.44.2
                           -------------------------------             ---------------------------------------           -------------------------

                                |  192.168.42.1


                             DMZ   

                                |

                           [SRV1] 192.168.42.4



    на R1 нарисовал одну сетку справа, на самом деле у меня их там пачка разных...

    • Изменено Kiry 24 июня 2009 г. 7:05
    24 июня 2009 г. 7:00
  • Расскажите, как у вас определены сети и отношения между ними.
    Покажите IP-конфигурацию R1, PC1, SRV1.


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    24 июня 2009 г. 7:04
    Отвечающий
  • У PC дефолтный гейтвей - 192.168.44.1 (интерфейс на R1)
    у SRV1 дефольный гейтвей - 192.168.42.1 (интерфейс на ISA)

    R1 знает о всех сетях которые к нему подключены напрямую, и прописан статикой маршрут на сеть DMZ 192.168.42.0  через гейт 192.168.41.2 (ISA)

    На ISA:
       - соотвественно прописан маршрут на 192.168.44.0 через гейт 192168.41.1 (виндвым route add ..... -p)
       - 192.168.44.0 добавлена диапазоном в _локальные_ сети вместе с 192.168.41.0
       - созданы разрешающие правила

    Сейчас все работает, маршрутизируется и бегает как задумывалось...

    • Изменено Kiry 24 июня 2009 г. 10:26
    24 июня 2009 г. 7:10
  • если у тебя 42я сетка на отдельной сетевухе то для этой подсетки как раз нужен отдельный network
    24 июня 2009 г. 8:56
    Отвечающий
  • да именно так, для 42-сетки сделан отдельный network
    и сделан в правилах роутинг между ней и 41-й сеткой

    ps. Если я еще добавлю интерфейсы на отдельных сетевухах, как мне надо будет делать правила на рутинг между ними всеми? Попарно, или еще каким то образом... Без этих правил, я так понял, т.н. "интервилан" роутинг или роутинг между собственными внутренними интерфесами не работает на исе?
    • Изменено Kiry 24 июня 2009 г. 10:45
    24 июня 2009 г. 10:25
  • у исы нет интерфейсов и нет роутинга, а что ты имел ввиду под "интервилан" я вообще не понял
    у исы есть объекты типа network, и между ними можно задавать только отношения типа route, nat или никакого (на сам роутинг и маршруты это никак не влияет). причем route всегда двунаправленное (то есть не надо делать симметричное правило для трафика в обратную сторону).

    24 июня 2009 г. 10:49
    Отвечающий

  • хорошо, если у меня будет несколько объектов типа network, будет между ними работать рутинг, если я _не создам_ отношения вручную в виде сетевых правил типа route?
    Если не будет, то какого вида это отношение надо делать, или делать кучу отношений попарно? насчет двунаправлености понятно, интересует случай когда много network`ов


    например на маршрутизаторе циска сразу рабоатет роутинг между всеми ее интерфейсами....

    • Изменено Kiry 24 июня 2009 г. 11:00
    24 июня 2009 г. 10:57
  • у винды тоже все работает между интерфейсами, но исе нужно указать между какими обьектами делать отношения и какие. если отношение не указано то иса применяет deny
    вообще открой книгу да почитай, это все азбучные истины, которые следует знать до того как качаешь ису с сайта, и не являются проблемой или задачей для освещения на форуме :)
    24 июня 2009 г. 11:17
    Отвечающий

  • вообще открой книгу да почитай, это все азбучные истины, которые следует знать до того как качаешь ису с сайта, и не являются проблемой или задачей для освещения на форуме :)

    Дмитрий, если вам не хочется писать азбучные истины, то это не повод посылать человека куда подальше - просто промолчите. Посетители форума имеют право задавать любые вопросы, любой сложности в рамках тематики раздела.
    Сазонов Илья http://www.itcommunity.ru/blogs/sie/
    24 июня 2009 г. 12:38
    Модератор
  • я послал не куда подальше, а в книгу, намекнув что есть переведенные на русский язык книги, где все написано, там гораздо проще и быстрее найти инфу, чем переспрашивать по 10 раз и отрывками получать в ответ практически цитаты из книги :) особенно когда речь идет о самых начальных основах по работе с продуктом вообще.
    а посетители форума также имеют право давать любые ответы в рамках темы треда, если они не оскорбляют других участников.
    24 июня 2009 г. 14:50
    Отвечающий
  • KIRY
    Я немного не понял как организовал доступ из 41 и 44 сетки к 42, просто у меня подобная ситуация шас стоит,  также сервер с тремя интерфеисами, также есть маршрутизатор (R1) так же прописывал на исе route add -p 192.168.2.0 mask 255.255.255.0 192.168.1.3,  и на маршрутезаторе тоже маршрут добовлял, вобщем во внутреней сети все ходит отлично, из 1 подсетки в которой и стоит иса и из 2 тоже, а вот к дмз никак не получается, и правела создавал и роут и нат для них ставил но эфект нулевой. В книге Майкла Ноэла "Microsoft isa server 2006 полное руководство" данная проблема вобще не как не затронута. Если можно более подробно опиши свои действия по настроике.
    • Изменено daswer 28 июня 2009 г. 17:09
    28 июня 2009 г. 17:07
  • опаньки, у меня наверна пиратская копия книжки оказалась и добрые пираты целую подглаву про DMZ дорписали :) (часть 2 глава 5) кстати в той же главе дано определение что такое network у исы и как его настраивать. зная только это определение можно запросто понять как настраивается такой банальный случай как сеть за сетью :)

    29 июня 2009 г. 6:04
    Отвечающий
  • Вот как острить все горазды, так вот "Сеть в ISA Server 2006 представляет собой связанные между собой сети, маршрутизируемые с одной из сетевых карт ISA Server." я вроде ничего не путаю дословно из книги, ну вот и объясните мне пожалуйста почему я немогу тупа пингануть серваки в дмз, не говоря о том что у меня там почтовый сервак который должен форвардить на сервак во внутреней сети, я понимаю что следушем будет высказывание что типо его надо опубликовать, я опубликовал, в инет он ходит как домой, а на внутреней пересылать тупо не хочет, и правело доступа создал но всеравно фиг. Помогите кому не трудно, я не спорю может чего я не понимаю.

    Конфигурация сети

    Internet     -   [ ISA 2006 ]  192.168.1.1 <=>[mail2]192.168.1.10   <=> 192.168.1.254  [ R1 ]  192.168.2.254   <=> [ mail3 ]  192.168.2.2

                           10.0.1.1

                                |

                             DMZ   

                                |

                        [mail1] 10.0.1.10 

    • Изменено daswer 29 июня 2009 г. 7:22
    29 июня 2009 г. 7:17
  • ну собственно в шиндеровской статье что выше приводили с редлайна все достаточно просто и написано

    1. сетки 192.168.1.0 и 192.168.2.0 должны быть в internal
    2. 10.0.1.0 - в отдельном network (например DMZ)
    3. на всех компах 10.0.1.0 и 192.168.1.0 шлюзом стоит иса (10.0.1.1 и 192.168.1.1 соотвественно)
    4. на исе и всех хостах из сетки 192.168.1.0, которые должны быть доступны из 192.168.2.0, надо написать route add -p 192.168.2.0 mask 255.255.255.0 192.168.1.254
    5. между intenal и dmz создать правила с нужными протоколами
    6. между internal и dmz поставить сетевое правило nat или route, в звисимости от задачи. с route проблем меньше
    7. если у сетки 192.168.2.0 шлюзом стоит 192.168.2.254 и у роутера шлюзом стоит иса, то больше ничего не надо.
        если же шлюзом у хостов стоит что то другое то на хостах нужен маршрут в 192.168.1.0 и 10.0.1.0 через роутер.
        если у роутера шлюзом стоит не иса, то на роутере маршрут в 10.0.1.0 через ису

    собственно 3,4,7 к исе вообще отношения никакого не имеют - это банальная статическая маршрутизация

    29 июня 2009 г. 7:49
    Отвечающий