none
Tmg2010 + 2 провайдера RRS feed

  • Вопрос

  • Есть 2 cisco asa 5505

    192.168.240.1

    192.168.241.1

    Есть TMG2010 ВМ, добавлено 3 сетевых карты

    192.168.16.1 внутр

    192.168.240.254

    192.168.241.254

    Почему не пингуется 241.1?

    C:\Windows\system32>route print
    ===========================================================================
    Список интерфейсов
     15...00 0c 29 9b 94 60 ......vmxnet3 Ethernet Adapter #5
     14...00 0c 29 9b 94 56 ......vmxnet3 Ethernet Adapter #4
     13...00 0c 29 9b 94 4c ......vmxnet3 Ethernet Adapter #3
     28...........................RAS (Dial In) Interface
      1...........................Software Loopback Interface 1
    ===========================================================================

    IPv4 таблица маршрута
    ===========================================================================
    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0          0.0.0.0    192.168.240.1  192.168.240.254      2
              0.0.0.0          0.0.0.0    192.168.241.1  192.168.241.254      4
            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
          192.168.8.0    255.255.248.0   192.168.16.254     192.168.16.1      6
         192.168.16.0    255.255.255.0         On-link      192.168.16.1    261
         192.168.16.1  255.255.255.255         On-link      192.168.16.1    261
       192.168.16.255  255.255.255.255         On-link      192.168.16.1    261
       192.168.19.100  255.255.255.255         On-link    192.168.19.100    286
       192.168.19.109  255.255.255.255   192.168.19.109   192.168.19.100     31
        192.168.240.0    255.255.255.0         On-link   192.168.240.254    257
      192.168.240.254  255.255.255.255         On-link   192.168.240.254    257
      192.168.240.255  255.255.255.255         On-link   192.168.240.254    257
        192.168.241.0    255.255.255.0         On-link   192.168.241.254    258
      192.168.241.254  255.255.255.255         On-link   192.168.241.254    258
      192.168.241.255  255.255.255.255         On-link   192.168.241.254    258
            224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
            224.0.0.0        240.0.0.0         On-link      192.168.16.1    261
            224.0.0.0        240.0.0.0         On-link   192.168.241.254    258
            224.0.0.0        240.0.0.0         On-link    192.168.19.100    286
            224.0.0.0        240.0.0.0         On-link   192.168.240.254    257
      255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      255.255.255.255  255.255.255.255         On-link      192.168.16.1    261
      255.255.255.255  255.255.255.255         On-link   192.168.241.254    258
      255.255.255.255  255.255.255.255         On-link    192.168.19.100    286
      255.255.255.255  255.255.255.255         On-link   192.168.240.254    257
    ===========================================================================
    Постоянные маршруты:
      Сетевой адрес            Маска    Адрес шлюза      Метрика
          192.168.8.0    255.255.248.0   192.168.16.254       1
              0.0.0.0          0.0.0.0    192.168.240.1       1
              0.0.0.0          0.0.0.0    192.168.241.1       2
    ===========================================================================

    IPv6 таблица маршрута
    ===========================================================================
    Активные маршруты:
     Метрика   Сетевой адрес            Шлюз
      1    306 ::1/128                  On-link
     14    261 fe80::/64                On-link
     15    261 fe80::/64                On-link
     13    261 fe80::/64                On-link
     15    261 fe80::34d9:7bc7:79e1:aa6a/128
                                        On-link
     13    261 fe80::4d6d:a739:a2b3:8501/128
                                        On-link
     14    261 fe80::e50a:7d5b:dc83:d7f7/128
                                        On-link
      1    306 ff00::/8                 On-link
     14    261 ff00::/8                 On-link
     15    261 ff00::/8                 On-link
     13    261 ff00::/8                 On-link
    ===========================================================================
    Постоянные маршруты:
      Отсутствует


    13 февраля 2015 г. 8:31

Ответы

  • Итог таков:

    Если у вас стоит cisco5505 к которой подключён провайдер по pppoe и за ней TMG2010, то получится настроить только резервирование канала по SLA на cisco5505, на TMG не получится.

    Опубликовать внутренние веб сервера по https для разных доменных имён (домен1.com , домен2.com) тоже не получится, для этих целей придётся использовать WILDcard сертификат *.домен.com

    • Помечено в качестве ответа Babinov Dmitry 26 марта 2015 г. 8:39
    26 марта 2015 г. 8:39

Все ответы

  • Поскольку вы не указали, настроена ли в вашем tmg избыточность ISP, то принимается, что она не настроена. Поэтому сетевые адаптеры настроены неверно, а именно на обоих указан шлюз по умолчанию.

    13 февраля 2015 г. 9:24
  • т е если через интерфейсе 241.1 будет доступ в интернет и будет настроена избыточность на TMG, то он будет пинговаться?
    13 февраля 2015 г. 10:07
  • При избыточности с обработкой отказа - да совершенно точно будет, т.к. один из адаптеров будет неактивен.

    При настройке избыточности с балансировкой+отказ - работать тоже должно но такую конфигу я не проверял.

    13 февраля 2015 г. 10:25
  • бду пробовать вариант с балансировкой, но что то я не уверен что будет пинговаться

    параллельный вопрос, подключение к провайдером со статическими ip, получится ли опубликовать два внутренних веб сервера по этим разным статическим IP, на данный момент один веб сервер уже опубликован. И если да то каким образом допустим если появится ещё веб сервер? ваять ещё tmg сервера?

    такая необходимость из за того что внешние статические  ip, будут привязываться к различным доменным именам 

    13 февраля 2015 г. 11:22
  • Получится. Более того, можно публиковать разные веб-серверы на разных IP одного и того же интерфейса: IP-адрес указывается в свойствах прослушивателя (Listener) При его создании или изменении.

    Слава России!

    13 февраля 2015 г. 11:26
  • Вы меня наверно не правильно поняли

    у меня внешний статическиий IP адрес получает cisco asa по pppoe , на ней же прописан dmz

    192.168.240.1

    внутри сети публикуется почтовый сайт эксчейндж и внутренний сайт на tomcat+java по httpsвыписан официальный WILDCARD сертификат *.111.ru от geotrust, который импортирован на TMG, Java, и IIS

    на dns хостера доменного имени прописаны соответствующие mx и a записи

    а на листенере у меня указан IP адрес внутреннего tomcat сервера и его имя

    всё это сделано для одного доменного имени *.111.ru

    вот теперь встала задача опубликовать второй такой сайт на TOMCAT+java но для другого доменного имени *.222.ru

    Соответственно понадобится ещё один внешний IP адрес

    Но может ещё встать задача например опубликовать ещё один веб сервер с другим доменным именем например *.333.ru и что тогда делать, на тмг я смогу включить избыточность только для 2 провайдеров

    13 февраля 2015 г. 12:21
  • Т.е. по факту у вас провайдер один?
    13 февраля 2015 г. 12:40
  • на данный момент да , второй в процессе подключения, и решили подключать второго провайдера другого, чтобы заодно и балансировка была и на отказ
    13 февраля 2015 г. 12:57
  • Вы меня наверно не правильно поняли

    у меня внешний статическиий IP адрес получает cisco asa по pppoe , на ней же прописан dmz

    192.168.240.1

    внутри сети публикуется почтовый сайт эксчейндж и внутренний сайт на tomcat+java по httpsвыписан официальный WILDCARD сертификат *.111.ru от geotrust, который импортирован на TMG, Java, и IIS

    на dns хостера доменного имени прописаны соответствующие mx и a записи

    а на листенере у меня указан IP адрес внутреннего tomcat сервера и его имя

    всё это сделано для одного доменного имени *.111.ru

    вот теперь встала задача опубликовать второй такой сайт на TOMCAT+java но для другого доменного имени *.222.ru

    Соответственно понадобится ещё один внешний IP адрес

    Совершенно не обязательно. В правиле публикации можно указать имя веб-сервера (значение заголовка Host запроса HTTP), к которому относится правило. К прослушивателю можно привязать несколько правил публикации, каждое со своим значением имени веб-сервера, и каждое из которых будет перенаправлять запросы на свой внутренний сервер.

    Слава России!


    • Изменено M.V.V. _ 13 февраля 2015 г. 14:15
    • Помечено в качестве ответа Elina LebedevaModerator 16 февраля 2015 г. 9:30
    • Снята пометка об ответе Babinov Dmitry 26 марта 2015 г. 8:40
    13 февраля 2015 г. 14:14
  • Подскажите а как быть с сертификатами для HTTPS ? можно ли по одному внешнему IP заходить на 2 опубликованных веб сервера по HTTPS? Или необходимы 2 интернет соединения?
    12 марта 2015 г. 8:19
  • Сертификат в прослушивателе может быть только один. Чтобы можно было публиковать через него несколько сайтов, этот сертификат должен содержать в себе имена всех этих сайтов - в качестве альтернативных (SAN) либо через wildcard-имя.

    Слава России!

    12 марта 2015 г. 10:18
  • мне надо через 2 сертификата

    в настройках же есть для каждого ip сертификат

    12 марта 2015 г. 12:30
  • Тогда на каждый сертификат нужен свой IP, и, соответственно, свой прослушиватель, привязанный к этому IP. А сертификат, в которое включены оба имени, выписать нельзя?


    Слава России!


    • Изменено M.V.V. _ 12 марта 2015 г. 12:51
    12 марта 2015 г. 12:49
  • в том то и дело 2 разные компании но в одной сети и обращение к сайтам по разным именам типа firma1.by и firma2.by, и чё делать?
     у меня TMG в DMZ , и внешний IP получает ASA, блин неужели нельзя 2 сайта опубликовать по HTTPS на одном внешнем IP?

    для чего тогда в настройках прослушивателя: Назначить сертификат для каждого IP адреса и закладка сеть где надо указать IP адреса, я так понимаю что речь идёт об ip адресах внутренних веб серверов?

    https://technet.microsoft.com/ru-ru/library/cc441449.aspx

    блин у меня уже заказаны сертификаты от thawt

    похоже я понял придётся подключать ещё одного провайдера и получу внешний IP и тогда у меня будет два адреса DMZ и я их выберу и к каждому из них привяжется сертификат, както так

    12 марта 2015 г. 13:40
  • Нет, эти адреса - внешние. Один сертификат для каждой комбинации IP-адрес:порт - это фундаментальное ограничение протокола HTTPS (если не используется SNI, но её поддержки в TMG нет): установка защищённого соединения, при которой происходит проверка сертификата клиентом, производится до передачи серверу заголовков HTTP - и, в частности, заголовка Host, в которому указано имя сайта, а потому веб-сервер (в данном случае - обратный прокси) не имеет возможности передавать разные сертификаты для разных имён веб-сайтов.

    Слава России!


    • Изменено M.V.V. _ 12 марта 2015 г. 14:38
    12 марта 2015 г. 14:37
  • похоже я понял придётся подключать ещё одного провайдера или интернет соединение и получу внешний IP и тогда у меня будет два адреса в DMZ и я их выберу и к каждому из них привяжется сертификат, както так, ну и балансировку заодно можно запилить если второго прова подключить
    12 марта 2015 г. 14:47
  • Сетевые ISP-подключения,  должны   существовать  только  в стандартной внешней
    сети (default external network);

    и никак иначе?

    т е если ISP настроены на CiscoASA , то избыточность настроить не получится?

    19 марта 2015 г. 8:31
  • похоже я понял придётся подключать ещё одного провайдера или интернет соединение и получу внешний IP и тогда у меня будет два адреса в DMZ и я их выберу и к каждому из них привяжется сертификат, както так, ну и балансировку заодно можно запилить если второго прова подключить
    Можно попросить дополнительные адреса IP у своего провайдера и настроить несколько адресов на внешнем интерфейсе.

    Слава России!

    19 марта 2015 г. 8:45
  • у меня провайдер подключает только по pppoe
    19 марта 2015 г. 9:08
  • Итог таков:

    Если у вас стоит cisco5505 к которой подключён провайдер по pppoe и за ней TMG2010, то получится настроить только резервирование канала по SLA на cisco5505, на TMG не получится.

    Опубликовать внутренние веб сервера по https для разных доменных имён (домен1.com , домен2.com) тоже не получится, для этих целей придётся использовать WILDcard сертификат *.домен.com

    • Помечено в качестве ответа Babinov Dmitry 26 марта 2015 г. 8:39
    26 марта 2015 г. 8:39