none
TMG в 3 -leg perimeter - Настройка DMZ зоны RRS feed

  • Вопрос

  • Добрый день!

    Возникла следующая проблема: 

    1. Установлен сервер TMG не включен в домен

    2. На TMG применен шаблон 3 - leg Perimeter, настроены следующие сети

    ISP 197.54.174.99 mask 255.255.248.0

    local 192.168.0.10/24

    DMZ 197.54.174.101 mask 255.255.224.0

     

    Провайдер выдал пул адресов 197.54.174.101 - 197.54.174.110

     

    Проблема заключается в том, что TMG не дает настроить сеть Perimeter, ссылаясь что она в той же сети что и Extranet.

     

    Как выйте из сложившийся ситуации.

    Возможности создания b2b нет. Расширение сети не предусмотренно.

    Цель - сделать Route из DMZ во внешнею среду.

     

    • Изменен тип Yuriy Lenchenkov 24 декабря 2010 г. 10:19 пользователь покинул тему
    • Изменен тип Yuriy Lenchenkov 24 декабря 2010 г. 10:20
    • Изменен тип Yuriy Lenchenkov 24 декабря 2010 г. 10:20
    13 декабря 2010 г. 5:57

Ответы

Все ответы

  • а как это провайдер выдал такой пул с такой то маской? мне почему то кажеться что dmz у тебя не отдельная сеть и вообще с внешними ип полная каша. напиши ка какие конкретно сети (адрес сети, маска, шлюз) тебе провайдер выдал.

    13 декабря 2010 г. 8:22
    Отвечающий
  • IP1 197.54.174.99 mask 255.255.248.0

    IP2 197.54.174.101 mask 255.255.224.0

    IP2  ...........

    ............

    IP10 197.54.174.110 mask 255.255.224.0

     

    Я тоже думаю что с адресами каша. но по бумагам именно так.

    Возможно стоит попробовать поставить на внешнею IP2, на DMZ IP3, а всем остальным серверам в периметре раздать IP3 - IP10

    Сейчас попробую, но это нормально что внешняя сеть из одной подсети с периметром?

    Попробовал поставить на внешнюю IP2 но не пингуется шлюз.Возможно стоит попробовать поставить все маски 255,255,248,0

    13 декабря 2010 г. 8:54
  • если ты с маской ничего не напутал, то это не сети, это просто список ипшников которые тебе дали, они явно из одной подсети (это любой человек, знакомый с понятиями ип и маска из школьной информатики скажет), потому как 197.54.174.99 с маской 255.255.248.0 это из сети 197.54.168.0-197.54.176.255 , а 197.54.174.101 с маской 255.255.224.0 это из сети 197.54.160.0 - 197.54.192.255, то есть второй диапазон явно перекрывает первый, и в разных сетях они быть уже не могут, поэтому иса и ругается, и вообще любой нормальный роутер ругнется.

    как вариант, заведи в dmz серую сетку, а выденные тебе ипшники назначай сервакам из периметра через статик нат, тмг это уже умеет. возможно пров тебе именно с такой целью этот пул ипшников и выдал.

    13 декабря 2010 г. 9:44
    Отвечающий
  • Поправьте меня если я не прав, но методом ретрансляции (NAT) не возможно на 2 разных адреса выставить 2 сервера с 80 портами.

    т.е.

    1 сервер 197.54.174.101 мы в Прослушивателе ставим порт 80 - внешний адрес указываем  197.54.174.101

    2 сервер 194.54.174.102, делаем такое же правило но указываем другой адрес на внешнию сеть, тока применить он не даст, а ругнется на то что такой порт уже занят.

    Как обойти это?

    15 декабря 2010 г. 5:36
  • Поправьте меня если я не прав, но методом ретрансляции (NAT) не возможно на 2 разных адреса выставить 2 сервера с 80 портами. <...>


    Поправляем. Количество web-listener'ов с одинаковым номером порта может быть равно числу адресов. В общем, уникальной должна являться такая комбинация: "<IP адрес>:<протокол>:<номер порта>".

    Кстати, у DMZ с "белыми адресами" зачастую больше проблем, чем с трансляцией этих адресов в частную сеть. Алекс, а Вы вообще уверены, что Вам необходима DMZ?..

    • Помечено в качестве ответа Yuriy Lenchenkov 24 декабря 2010 г. 10:20
    • Снята пометка об ответе alex krishtop 28 декабря 2010 г. 5:39
    15 декабря 2010 г. 6:27
    Отвечающий
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    20 декабря 2010 г. 8:30
  • Поправьте меня если я не прав, но методом ретрансляции (NAT) не возможно на 2 разных адреса выставить 2 сервера с 80 портами. <...>


    Поправляем. Количество web-listener'ов с одинаковым номером порта может быть равно числу адресов. В общем, уникальной должна являться такая комбинация: "<IP адрес >:<протокол >:<номер порта >".

    Кстати, у DMZ с "белыми адресами" зачастую больше проблем, чем с трансляцией этих адресов в частную сеть. Алекс, а Вы вообще уверены, что Вам необходима DMZ?..

    Один физический сервер TMG Enterprise

    один основной адрес *.*.*.100

    три адреса введены как альтернативные *.*.*.101 - *.*.*.103

    Как Вы правильно сказали, индивидуальна должна быть связка IP-protocol-port 

    действительно, создать web-listerner'ов можно по такому принципу сколько угодно, а вот при попытке публикации двух сайтов на 80 порт с разными IP выдает ошибку, с сообщением, что этот порт уже использует предыдущий сайт.

    Не ужили нет способа решить эту проблему как ставить кластер или делать белую ДМЗ зону?

    опять таки, делать белую ДМЗ зону проблематично, так как все IP с одного сегмента.

    Может кто подскажет)

    28 декабря 2010 г. 5:39
  • что то там совсем не так делаешь. у меня около 15 сайтов на 80ом порту и все опубликованы по одному адресу :)

    и кстати это называется публикация web а не nat

    28 декабря 2010 г. 7:59
    Отвечающий
  • что то там совсем не так делаешь. у меня около 15 сайтов на 80ом порту и все опубликованы по одному адресу :)

    и кстати это называется публикация web а не nat

    Опишите, как это Вы публикуете 15 сайтов по 80 порту? наверно все 15 сайтов находятся на одном физическом сервере с одним IP ?

    в моем же случае, разные адреса должны быть.

    28 декабря 2010 г. 8:35
  • нет, сайты на разных серверах с разными ип (возможно парочка на одном), некоторые с разным портом и с разной аутенфикацией. не вижу проблемы, правила веб публикации могут задавать имя сайта для которого они работают, и если клиент наберет в браузере site1.domain.ru то пойдет на один публикуемый сервер, а если site2.domain.ru то на другой, а снаружи это один порт и один ип.
    если бы не это то иса потеряла бы все преимущества в публикации :))

    28 декабря 2010 г. 9:45
    Отвечающий
  • Проблема в том, что при задании одного прослушивателя, с выбором iP скажем 99 и одним методомм аунтентификации по 80 порту можно создать второй прослушиватель  с  выбором IP скажем 102 с другим методом аунтетификации по 80 порту, а вот публикация двух сайтов используя в первом правиле первый прослушиватель, а во втором второй не возможна.

    Как обойти это еще не придумал)

    29 декабря 2010 г. 10:00
  • ты случаем не один и тот же сайт публикуешь?

    у меня до этого два листенера было на разных ип и я публиковал разные сайты, половина на одном половина на другом, потом свели все к одному и все.

    29 декабря 2010 г. 10:07
    Отвечающий
  • сайты разные.

    К сожалению свести к одному листерну нет возможности, но наверно это и будет единственно правильный выход, придется поломать голову как тока это сделать.

    30 декабря 2010 г. 10:01
  • да все работает на разных листенерах без проблем (с одним листенером проблем отгрести можно больше), у тебя явно где то косяк в настройках

    покажи скрины правил и листенеры чтоли

     

    30 декабря 2010 г. 12:22
    Отвечающий
  • alex krishtop, вам удалось справиться с вашей задачей?
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    11 января 2011 г. 15:06
  • Проблема решена, все сведено к одному листерну.

    • Помечено в качестве ответа Yuriy Lenchenkov 12 января 2011 г. 8:57
    12 января 2011 г. 8:25