none
Настройка ISA после роутера RRS feed

  • Вопрос

  • Требуется поставить роутер для раздачи инета от прова перед ISA, возможно ли для этого использовать Firewall Chaining чтобы иса сама пересылала все запросы на роутер в котором забиты настройки прова?

Все ответы

  • Firewall Chaining используется для переадресации запросов клиентов на вышестоящий (upstream, который, как правило, ближе к Интернету) сервер, в роли которого могут выступать серверы ISA Server 2004/2006 или Forefront TMG, т.е. поддерживающие FWC (Firewall Client - клиент брандмауэра), так как нижестоящий сервер, к которому непосредственно подключаются клиенты, сам выступает для вышестоящего сервера клиентом брандмауэра.

    Ваш роутер может обслуживать FWC? :)

    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Отвечающий
  • даже если б и имог - а какой в этом смысл? :))
    в таких схемах ису настраиваем так будто роутер не твой а провайдера, и от него тебе идет провод с инетом :))

    Отвечающий
  • ну естественно нет :)
    3 июня 2009 г. 10:32
  • а поподробнее нельзя ли?в данный момент в роутере для интерфейса WAN прописаны параметры прова IP,MASK,Gateway и пара DNS серверов,на интерфейсе роутера LAN установлен IP роутера по умолчанию и включён DHCP,если на исе прописывать на внешнем интерфейсе который раньше смотрел на прямую на прова параметры получения IP авто с роутера,то оно подключается но либо ограниченно либо отсутствует,если указывать руками,то подключение нормальное на инет не работает,в чем может быть проблема?
    3 июня 2009 г. 10:40
  • ну вообще тема к исе не имеет ровно никакого отношения, ибо у исы нет интерфейсов :) это банальная настройка винды (считай что роутер дома поставил и раздаешь инет на ноут и комп в квартире :))
    роутер настраиваешь будто ты провайдер и даешь инет клиентам - то есть на "LAN" интерфейсе делаешь какую то сетку с виртуальными ип (например 10.10.10.1/24), включаешь nat и все (шлюз на внутреннем интерфейсе не нужен ибо его там не может быть :))
    на исашном серваке настраиваешь так будто тебе пров дал инет с виртуальным ип, то есть на внешнем интерфейсе пишешь ип 10.10.10.2 маску 255.255.255.0 шлюз 10.10.10.1, отношение между internal и external можно ставить любое, обычно ставят nat, но если ставишь route то на самом роутере надо будет вписать маршрут до локалки через ису
    3 июня 2009 г. 10:57
    Отвечающий
  • Leonidik, а зачем Вам вообще роутер перед ISA по такой чудной схеме? Если хотите немного разгрузить/"упрочнить" ISA, то лучше сделать так.

    Попросите у провайдера подсеть адресов сети Интернет, а шлюзом в эту подсеть попросите назначить сущестующий у Вас IP-адрес сети Интернет. Существующий адрес назначите на интерфейс к провайдеру, а на интерфейс к ISA - из новой подсети. ISA на "внешний интерфейс" назначите также адрес из новой подсети. Настройте ISA. А на роутере - IP-фильтр, но не более. DHCP сети Вашего предприятия должны быть за ISA. DNS и прочие "публичные" службы можете разместить в подсети между ISA и роутером, но я бы и их за ISA разместил.



    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    3 июня 2009 г. 11:41
    Отвечающий
  • я подозреваю чт оему второй публичный пул и не нужен, так же как и публичные сервисы :)
    скорее всего хочет сделать параноидальную схему с двумя фаерами
    или бывают случаи когда хотят зарезервировать каналы разных провайдеров, иса с виндой тут сразу пасует :))
    3 июня 2009 г. 11:46
    Отвечающий
  • требуется временное подключение миную ISA напрямую в инет.
    3 июня 2009 г. 11:47
  • Тогда поставьте "рядом" с ISA, во внутренней сети, разумеется, шлюз с NAT, какие проблемы? Коммутатор на провод провайдера и второй адрес от него - не проблема.
     
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    3 июня 2009 г. 11:54
    Отвечающий
  • канал провайдера один,требуется просто разнести работающую внутреннюю сеть за исой с другой сетью
    3 июня 2009 г. 12:04
  • до этого у меня был прецендент,когда-то давно мигрировали с Eserv на ISA,решал с помощью роутера,вот тока счас затык непонятно почему?

    3 июня 2009 г. 12:15
  • ну ты сначала четко определись что тебе нужно
    у тебя один канал и один роутер, значит между роутером и исой делаешь промежуточную сетку, получается инет - роутер - промежуточная сеть - иса - локалка
    3 июня 2009 г. 12:32
    Отвечающий
  • да именно так и делаю,возможно сразу нечетко описал проблему
    3 июня 2009 г. 12:55
  • ну ты сначала четко определись что тебе нужно
    у тебя один канал и один роутер, значит между роутером и исой делаешь промежуточную сетку, получается инет - роутер - промежуточная сеть - иса - локалка

    ещё раз всё сделал по новой и всё сложилось,до сих пор не понимаю в чём был затык.Тема закрыта.