none
Маршрутизация в ISA Server 2004 (2006) RRS feed

  • Вопрос

  •  

    Доброго времени суток!

     

    Сущестует такая проблема. Есть 2 подразделения одной компании. Между ними провайдером интернета сделан VPN канал.

    В подразделении А сеть: 192.168.1.0/24

    В Б: 192.168.3.0/24

    Для VPN канала подразделения А шлюз - 192.168.1.254

    В подразделении Б - 192.168.3.254

     

    Также оба подразделения имеют доступ в интернет.

     

    Провайдер сказал прописать в "Маршрутизации и удаленном доступе" следующие статические маршруты:

    Подразделение А:

    1 маршрут

    Net:         0.0.0.0

    Mask:      0.0.0.0

    Gateway: 87.241.206.165 (IP адрес модема, для выхода в интернет)

    2 маршрут

    Net:         192.168.3.0

    Mask:      255.255.255.0

    Gateway: 192.168.1.254

     

    Подразделение Б:

    1 маршрут

    Net:         0.0.0.0

    Mask:      0.0.0.0

    Gateway: 89.250.210.114 (IP адрес модема, для выхода в интернет)

    2 маршрут

    Net:         192.168.1.0

    Mask:      255.255.255.0

    Gateway: 192.168.3.254

     

    Но насколько я понимаю вся оснастка "Маршрутизация и удаленный доступ" находится в подчинении у ISA Server.

     

    Тогда я предпринял попытку создать в ISA дополнительную сеть.

    Выбрал тип сети: Internal

    Описал параметры сети

    Создал сетевое правило, в котором указал маршрутизацию по типу Route

    Создал правило в политике Firewall'а, разрешающее все пакеты между внутренней сетью и удаленной. Ничего не работает.

     

    Когда захожу в оснастку "Маршрутизация и удаленный доступ" Там не указан шлюз. Но даже при его указании ничего не работает. Подскажите, что мне делать.

     

    С уважением,

    2 ноября 2007 г. 13:55

Ответы

  •  Александр Щербаков написано:

    Сущестует такая проблема. Есть 2 подразделения одной компании. Между ними провайдером интернета сделан VPN канал.

    В подразделении А сеть: 192.168.1.0/24

    В Б: 192.168.3.0/24

    Для VPN канала подразделения А шлюз - 192.168.1.254

    В подразделении Б - 192.168.3.254

     

    Также оба подразделения имеют доступ в интернет.

     

    Провайдер сказал прописать в "Маршрутизации и удаленном доступе" следующие статические маршруты:

    Подразделение А:

    1 маршрут

    Net:         0.0.0.0

    Mask:      0.0.0.0

    Gateway: 87.241.206.165 (IP адрес модема, для выхода в интернет)

    2 маршрут

    Net:         192.168.3.0

    Mask:      255.255.255.0

    Gateway: 192.168.1.254

     

    Не очень понятно со вторым маршрутом. Получается, что Вы идя в сеть филиала (3.0), через gateway 1.254 попадаете обратно во внутреннюю сеть 1.0? А ISA стоит как раз на gateway'ах? Если так, то зачем Вам VPN провайдера, не проще ли поднять свой туннель?

     

    Если же ISA и 1.254 - разные хосты, то тогда все просто:

    1. Добавляете на ISA в Internal диапазон 192.168.3.0 - 192.168.3.255

    2. Проверяете соответствующие правила на предмет разрешения доступа

    3. Говорите в командной строке route add -p 192.168.3.0 mask 255.255.255.0 192.168.1.254

    4. 1-й маршрут на 1.254 лучше сделать так: route add -p 0.0.0.0 mask 0.0.0.0 <ip_isa_1>

    5. все работает Smile

     

    Естественно, чтобы пинги пошли, в филиале сеть 3.0 должна быть настроена зеркально-подобным образом.  

    2 ноября 2007 г. 17:06

Все ответы

  • Попробуйте прописать маршруты из команной строки, командой route add

    c ключем -P, естественно

    2 ноября 2007 г. 14:19
    Модератор
  •  Александр Щербаков написано:

    Сущестует такая проблема. Есть 2 подразделения одной компании. Между ними провайдером интернета сделан VPN канал.

    В подразделении А сеть: 192.168.1.0/24

    В Б: 192.168.3.0/24

    Для VPN канала подразделения А шлюз - 192.168.1.254

    В подразделении Б - 192.168.3.254

     

    Также оба подразделения имеют доступ в интернет.

     

    Провайдер сказал прописать в "Маршрутизации и удаленном доступе" следующие статические маршруты:

    Подразделение А:

    1 маршрут

    Net:         0.0.0.0

    Mask:      0.0.0.0

    Gateway: 87.241.206.165 (IP адрес модема, для выхода в интернет)

    2 маршрут

    Net:         192.168.3.0

    Mask:      255.255.255.0

    Gateway: 192.168.1.254

     

    Не очень понятно со вторым маршрутом. Получается, что Вы идя в сеть филиала (3.0), через gateway 1.254 попадаете обратно во внутреннюю сеть 1.0? А ISA стоит как раз на gateway'ах? Если так, то зачем Вам VPN провайдера, не проще ли поднять свой туннель?

     

    Если же ISA и 1.254 - разные хосты, то тогда все просто:

    1. Добавляете на ISA в Internal диапазон 192.168.3.0 - 192.168.3.255

    2. Проверяете соответствующие правила на предмет разрешения доступа

    3. Говорите в командной строке route add -p 192.168.3.0 mask 255.255.255.0 192.168.1.254

    4. 1-й маршрут на 1.254 лучше сделать так: route add -p 0.0.0.0 mask 0.0.0.0 <ip_isa_1>

    5. все работает Smile

     

    Естественно, чтобы пинги пошли, в филиале сеть 3.0 должна быть настроена зеркально-подобным образом.  

    2 ноября 2007 г. 17:06
  •  

    хм, а зачем 4й пункт? подозреваю эти шлюзы принадлежат провайдеру и у них должны быть маршруты по умолчанию где то со стороны провайдера.

    а вообще провайдер ему правильно маршруты указал, просто удаленные подсетки надо писать в internal, а не отдельно.

    и еще, маршруты из пункта 3 надо писать на всех компах из локалки которые хотите видеть из удаленной сетки.

    3 ноября 2007 г. 11:05
    Отвечающий
  •  

    Что я сделал:

     

    1. В каждой ISA Server в Internal прописал удаленную подсетку

    2. Добавил статический маршрут:

    а) в одном подразделении:  rote add 192.168.3.1 mask 255.255.255.0 192.168.1.254 metric 1 -p

    б) в другом подразделении: rote add 192.168.1.1 mask 255.255.255.0 192.168.3.254 metric 1 -p

    3. На локальных машинах ничего не менял, т.е. у них так и остался шлюзом сервер, на котором установлена ISA

    6 ноября 2007 г. 6:41
  •  

    если на локальных тачках не прописать маршруты из пункта 2 то будут проблемы с tcp

    смотри на офсайте в поиске по словам isa tcp stateful filter

    6 ноября 2007 г. 19:17
    Отвечающий
  • Странно. Почему у меня тогда все работало?

    И еще: неужели нет способа проще? Например указать шлюз по умолчанию, выдаваемый DHCP: 192.168.3.254 в сети 192.168.3.0/24; и 192.168.1.254 в сети 192.168.1.0/24. Интернет работать будет, т.к. его обеспечивает MS Firewall Client

    7 ноября 2007 г. 6:50
  •  

    зависит еще от того как настроен тот роутер что .254. в общем случае он "смотрит" в сеть напрямую, то есть tcp syn bltn сразу с роутера к хосту, а обратно ack хост пошлет через ису, вышеупомянутому фильтру это может не понравится.

     

    указать их шлюзами по умолчанию конечно можно, но во впервых не все может работать через fwc, а во вторых идеологически правильнее указывать шлюзом по умолчанию то что "смотрит" в инет, а на конкретные сети писать конкретные маршруты. а вообще в таких случаях лучше их ставить друг за другом, у меня например циска держащая впн стоит снаружи по отношению к исе.

    7 ноября 2007 г. 7:09
    Отвечающий