none
Исходящий IP-адрес пакетов с внешнего интерфейса RRS feed

  • Вопрос

  • Добрый день!

    Есть машина с ISA 2004 Standard Edition + SP2. В ней два интерфейса: один смотрит во внутреннюю сеть, второй - во внешнюю (в Интернет). Внешнему интерфейсу присвоено несколько IP-адресов (весь диапазон IP-адресов, выделенный провайдером). В данный момент любые запросы в Интернет от ISA-сервера и его клиентов осуществляются "от имени" IP-адреса по умолчанию внешнего интерфейса ISA-сервера. А требуется, чтобы можно было определённым клиентам ISA-сервера назначать ("подставлять") определённый  внешний IP-адрес из диапазона, выделенного провайдером. (Клиенты ISA-сервера - SecureNAT-клиенты.)

    Если в данной версии ISA-сервера это нельзя сделать, то подскажите, пожалуйста, в какой можно (если такая существует). А если ISA такое в принципе не умеет, то какие решения третьих сторон можно использовать для реализации вышеописанного (совместно с ISA-сервером)?

    Заранее спасибо!

    9 июня 2007 г. 15:38

Ответы

  • ISA использует от RRAS только VPN, а NAT делает сам. RRAS вообще выключен, если не используется VPN. Поэтому я полагаю, что этот вариант работать не будет. Можете протестировать, если есть возможность.

     

    С дополнительными картами тоже не получится. Я упустил, что вам нужна привязка для внутреннего адреса, а дополнительные сетевые карты позволят только отвечать с внешнего адреса, на который было обращение.

     

    Так что в рамках ISA вы не решите свою задачу.

     

    Хотя есть еще вариант с Firewall Client. У него есть параметры настройки, в том числе ProxyBindIP. Возможно это вам поможет.

    13 июня 2007 г. 4:10
    Модератор

Все ответы

  • ISA так не умеет. Собственно дело даже не в ISA: сам Windows 2003 всегда отвечает с основного ip адреса на интерфейсе, хотя может принимать пакеты и на дополнительные ip адреса, установленные на этом интерфейсе.

     

    Чтобы добиться нужного результата, вам необходимо поставить дополнительные сетевые карты. Либо, если оборудование позволяет, поднять vlan-ны на внешнем интерфейсе (сетевой карте).

    11 июня 2007 г. 11:48
    Модератор
  • Если настраивать доступ в Интернет через NAT, используя встроенную в Windows 2003 службу маршрутизации и удалённого доступа, то там так можно сделать: если зайти в свойства интерфейса (общего, подключенного к Интернет), то на вкладке Пул адресов есть кнопка Резервирование. Вот используя её, можно сделать так, чтобы все запросы в Интернет с определённого адреса частной сети шли от имени определённого внешнего IP, присвоенного общему интерфейсу. Такой детализации требуемой мне настройки достаточно. Зная это, всё равно нельзя ISA настроить соответствующим образом? Ведь NAT'ит она...

    Если нельзя, то можно тогда поподробнее про дополнительные сетевые карты. Как тогда завязать внутренний IP с определённым внешним? Ведь для ISA любое количество интерфейсов, смотрящих в Интернет, будут единой сетью External...

    12 июня 2007 г. 22:51
  • ISA использует от RRAS только VPN, а NAT делает сам. RRAS вообще выключен, если не используется VPN. Поэтому я полагаю, что этот вариант работать не будет. Можете протестировать, если есть возможность.

     

    С дополнительными картами тоже не получится. Я упустил, что вам нужна привязка для внутреннего адреса, а дополнительные сетевые карты позволят только отвечать с внешнего адреса, на который было обращение.

     

    Так что в рамках ISA вы не решите свою задачу.

     

    Хотя есть еще вариант с Firewall Client. У него есть параметры настройки, в том числе ProxyBindIP. Возможно это вам поможет.

    13 июня 2007 г. 4:10
    Модератор
  • Спасибо! Вариант с клиентом ISA, к сожалению, не поможет, т.к. сетевое устройство, по отношению к которому мне нужно совершить требуемые настройки, не является ПК с Windows.

     

    А есть какие-нибудь решения третьих сторон, работающие совместно с ISA-сервером, чтобы решить мою задачу?

    NAT из службы маршрутизации и удалённого доступа я потестирую в связке с ISA по возможности и отпишусь в этой ветке. Но есть основания полагать, что ничего хорошего из этого не выйдет, поэтому всё-таки задал вышенаписанный вопрос.

     

    Большое спасибо за оперативные информативные ответы!

    13 июня 2007 г. 8:53
  • Мне пока не известны решения третьих фирм для ISA, которые бы вам помогли. Могу только порекомендовать для начала поискать Add-ons для ISA. Возможно какой-либо мощный плагин делает такие вещи.

     

     

    Сейчас кстати обратил внимание, что ISA использует RRAS не только для VPN,но для NLB. Так что ваше предположение может сработать.

    13 июня 2007 г. 10:16
    Модератор
  • Потестировал. Как и следовало ожидать, настройки встроенной в Windows 2003 службы маршрутизации и удалённого доступа, касаемые NAT, менее приоритетны, чем у ISA. Следовательно, резервирование не срабатывает.
    15 июня 2007 г. 11:03
  • Вам остается использовать RRAS.

     

    Есть еще вариант: вместо IP использовать IPSec. Тогда можно сделать привязку к определенному ip на ISA. Но это будет соединение точка-точка: от вашего устройства к внешнему.

    15 июня 2007 г. 11:44
    Модератор