none
Как правильно настроить маршрутизацию в сети с несколькими шлюзами RRS feed

  • Вопрос

  • Уже создавал эту тему, но, похоже, не туда засунул Smile

    Собственно ситуация - большая сеть, несколько выходов в интернет.
    на одном шлюзе (192.168.2.254, win2003 r2 sp2) стоит ISA (2006, sp1), через него основная часть организации ходит в инет, он же настроен как шлюз по умолчанию на клиентских ПК.
    еще один шлюз (железяка, 192.168.2.253) используется для связи с одними удаленными филиалами (IPsec VPN, удаленная сеть, например, 192.168.51.0 и т.п.)
    еще один шлюз (железяка, 192.168.2.252) используется для связи с другими удаленными филиалами (IPsec VPN, удаленная сеть, например, 192.168.101.0).

    так вот, если на клиентской машине в основной сети (192.168.2.0) руками прописать маршрут до каждой удаленной сети (route add 192.168.51.0 mask 255.255.255.0 192.168.2.253, route add 192.168.101.0 mask 255.255.255.0 192.168.2.252), то все работает прекрасно.

    НО, хотелось бы маршруты на клиентских машинах не прописывать, для чего я поднимаю на 192,168,2,254 службу маршрутизации, добавляю туда статические маршруты на 192,168,51,0 и 192,168,101,0. По идее все должно работать, ан нет не работает пинги до удаленных сетей идут (!), а, например, RDP подключение не работает, пока, опять-таки не настроишь маршуты на клиентских станциях.

    отсюда вывод - неправильно настраиваю маршрутизацию на 192,168,2,254 либо неправильно что-то настраиваю в самом ISA
    что делаю в службе маршрутизации
    - добавляю статический маршрут 192,168,51,0 маска 255,255,255,0, шлюз 192,168,2,253 интерфейс LAN (который смотрит во внутреннюю сеть).
    - добавляю статический маршрут 192,168,101,0 маска 255,255,255,0, шлюз 192,168,2,252 интерфейс LAN

    На самом ISA подсети 192.168.51.0 и 192.168.101.0 создавал как отдельными сетями (и отношение с внутренней сетью - маршрут), так и запихивал их во внутреннюю. правило, разрешающее весь трафик между внутр. сетями есть.


    что делаю не так?

    P.S. я знаю, что можно на каждую рабочую станцию логон-скриптом добавить нужные маршуты, и все будет работать, но хотелось бы, чтобы маршрутизация разруливалась в одном месте, плюс есть необходимость пускать весь трафик до удаленных сетей через ISA. Пока вижу только одно решение для этого - поместить шлюзы 252 и 253 "за ISA сервер", т.е. повесить их на конретные сетевухи в ISA.

    27 ноября 2008 г. 1:06

Ответы

  • да сколько можно спрашивать одно и тоже два раза в месяц на протяжении всего срока существования исы Smile)

    ничего у тебя не выйдет.

    правильное решение : rras на исе не трогай руками, может для кого то это новость но маршрутизация на винде работает по умолчанию и без rras.

    левые сетки суешь в internal, ибо это идеология сетей в исе, читай в матчасть там написано почему.

    маршруты пишешь на всех компах(и на исе тоже), если тебе нужен tcp трафик, для всяких там пингов и udp достаточно маршрутов на исе, причина: tcp stateful filter, поиском по офсайту легко находится статеейчка обьясняющая что это такое, тем кто еще не знает.

    почитай например это

    http://www.redline-software.com/rus/support/articles/isaserver/general/network_behind_a_network.php

    27 ноября 2008 г. 7:03
    Отвечающий

Все ответы

  • да сколько можно спрашивать одно и тоже два раза в месяц на протяжении всего срока существования исы Smile)

    ничего у тебя не выйдет.

    правильное решение : rras на исе не трогай руками, может для кого то это новость но маршрутизация на винде работает по умолчанию и без rras.

    левые сетки суешь в internal, ибо это идеология сетей в исе, читай в матчасть там написано почему.

    маршруты пишешь на всех компах(и на исе тоже), если тебе нужен tcp трафик, для всяких там пингов и udp достаточно маршрутов на исе, причина: tcp stateful filter, поиском по офсайту легко находится статеейчка обьясняющая что это такое, тем кто еще не знает.

    почитай например это

    http://www.redline-software.com/rus/support/articles/isaserver/general/network_behind_a_network.php

    27 ноября 2008 г. 7:03
    Отвечающий
  • Спасибо, до всего этого я дошел уже и сам, а статейка интересная, вельма понеже, весьма вами благодарен Smile
    27 ноября 2008 г. 8:21