none
Wi-Fi сеть, как DMZ RRS feed

  • Вопрос

  • Есть сервер TMG 2010 с 4-мя встроенными GLan интерфейсами.

    Есть wi-fi точка доступа. На данный момент сервер настроен как межпограничный шлюз между инетом и локальной сетью. Хотелось бы вывести wi-fi в отдельную подсеть и роутить несколько портов на локальные сервера и на внешку.

    Возможно ли сделать так: в 3ий порт Glan патx-кордом подцепить wi-fi точку доступа, настроить ей другую подсеть (отличную от локальной), поднять на точке доступа dhcp и настроить на TMG конфигурацию сети как DMZ ?

    Или есть какой-то другой способ реализации данной задачи?

    21 марта 2010 г. 20:42

Ответы

  • можно

    только почему именно dmz? под dmz обычно подразумевают зону ограниченно доступную извне, а у тебя я так понимаю это будет просто отдельная от локалки сетка

    • Помечено в качестве ответа Kozlov Artem 23 марта 2010 г. 12:22
    22 марта 2010 г. 7:08
    Отвечающий
  • http://www.isadocs.ru/articles/understanding_isa_firewall_networks_v1-1.php

    Я думаю после этого, все вопросы отпадут.

    • Помечено в качестве ответа Kozlov Artem 23 марта 2010 г. 12:22
    22 марта 2010 г. 12:57
  • На самой исе DNS нужно указывать только на одном сетевом интерфейсе, на том в который контроллер домена воткнут. Да, только после того как сеть будет создана, нужно будет еще не забыть определить правило отношения сетей (Route / NAT).

    В Вашем конкретном случаи это будет выглядеть следующим образом:

    DMZ -> LAN : Route (т.к. там стоит контроллер домена и при таком раскладе не рекомендуется использовать NAT)

    DMZ -> External : NAT

    • Помечено в качестве ответа Kozlov Artem 23 марта 2010 г. 12:22
    22 марта 2010 г. 22:25
  • А в политиках межсетевого экрана нужные правила написали?  И что за третий интерфейс? По логике у вас должно быть: 1-й- LAN, 2-й- WIFI 192.168.1.1 он же шлюз для wi-fi клиентов и интерфейс, который смотрит наружу
    • Помечено в качестве ответа Kozlov Artem 23 марта 2010 г. 12:22
    23 марта 2010 г. 9:16

Все ответы

  • можно

    только почему именно dmz? под dmz обычно подразумевают зону ограниченно доступную извне, а у тебя я так понимаю это будет просто отдельная от локалки сетка

    • Помечено в качестве ответа Kozlov Artem 23 марта 2010 г. 12:22
    22 марта 2010 г. 7:08
    Отвечающий
  • А как можно сделать по-другому?
    22 марта 2010 г. 12:54
  • http://www.isadocs.ru/articles/understanding_isa_firewall_networks_v1-1.php

    Я думаю после этого, все вопросы отпадут.

    • Помечено в качестве ответа Kozlov Artem 23 марта 2010 г. 12:22
    22 марта 2010 г. 12:57
  • А как можно сделать по-другому?

    а что ты хочешь получить в итоге?
    22 марта 2010 г. 13:29
    Отвечающий
  • Хочу просто освободить одну подсеть (192.168.1.0) и убрать из нее всех клиентов, которые сидят на wi-fi.

    Соответственно хочу для wi-fi сделать другую подсеть (192.168.2.0). Получить в итоге хочу роутинг пары портов на локальные сервера и в инет.

    Если сделать такую конфигурацию, то можно как-то завести клиентов из подсети wi-fi в домен, DC которого находиться в подсети 192.168.1.0 ?

    22 марта 2010 г. 16:27
  • можно, как обычно
    22 марта 2010 г. 19:28
    Отвечающий
  • Хм.. а как это сделать?

    Я понимаю это так:

    На 3ей сетевой TMG прописываю ip нужный мне (192.168.2.1), но ДНС оставляю из подсети 192.168.1.0. В TMG создаю сеть и делаю разрешение из нее в сеть 192.168.1.0 ? И соответственно у всех клиентов сети 192.168.2.0 прописываю в DNS DC из подсети 192.168.1.0 ?

    22 марта 2010 г. 19:40
  • На самой исе DNS нужно указывать только на одном сетевом интерфейсе, на том в который контроллер домена воткнут. Да, только после того как сеть будет создана, нужно будет еще не забыть определить правило отношения сетей (Route / NAT).

    В Вашем конкретном случаи это будет выглядеть следующим образом:

    DMZ -> LAN : Route (т.к. там стоит контроллер домена и при таком раскладе не рекомендуется использовать NAT)

    DMZ -> External : NAT

    • Помечено в качестве ответа Kozlov Artem 23 марта 2010 г. 12:22
    22 марта 2010 г. 22:25
  • У меня реализована точно такая же схема, только на ISA2006. Как сказал artem_ye - главное- не забыть настроить маршрутизацию между сетями. И ещё, у меня клиенты wi-fi ходят не через прокси (только NAT), а все остальные- через прокси. Вот тут пришлось поизвращаться.
    23 марта 2010 г. 6:41
  • Что не получилось запустить это дело.

    LAN 192.168.0.1/24 - в ней находиться DC, DNS (192.168.0.11)и еще пара нужных серверов - Шлюз для нее 192.168.0.1

    WIFI 192.168.1.1/24 - это сеть для wi-fi клиентов - Шлюз для нее 192.168.1.1

    Настроил 3ий интерфейс для сети wifi, прописал только ip 192.168.1.1 и маску 255.255.255.0

    Создал сеть в TMG, в нее включил 3ий интерфейс.

    Далее зашел в сетевые правила и сделал два правила:

    1) Из WIFI в LAN через Routing

    2) Из WIFI в External через NAT

    Подрубаю в 3ий интерфейс свитч, подключаю к нему ПК и ставлю настройки сети: ip 192.168.1.15 макса 255.255.255.0 шлюз 192.168.1.1 и DNS 192.168.0.11.

     

    В итоге ничего никуда не идет, только с самого сервера TMG могу пинговать клиентский ПК (192.168.1.15)

    Что сделал не так? :)

     

    23 марта 2010 г. 8:34
  • А в политиках межсетевого экрана нужные правила написали?  И что за третий интерфейс? По логике у вас должно быть: 1-й- LAN, 2-й- WIFI 192.168.1.1 он же шлюз для wi-fi клиентов и интерфейс, который смотрит наружу
    • Помечено в качестве ответа Kozlov Artem 23 марта 2010 г. 12:22
    23 марта 2010 г. 9:16
  • 1й - LAN

    2й - WAN

    3й - WIFI

    В политиках межсетевого экрана, к правилу, размещающему доступ из LAN в WAN добавил еще и сеть WI-FI.

    Нужно что-то еще?

    А DNS я правильно прописываю для клиентов WIFI ?

    23 марта 2010 г. 9:27
  • А правило, разрешающее DNS из Wi-Fi в LAN?
    23 марта 2010 г. 9:32
  • А правило, разрешающее DNS из Wi-Fi в LAN?
    23 марта 2010 г. 9:32
  • Сделал правило еще: из WI-FI в LAN весь исходящий трафик. Доступ к интернету и Локальной сети появился.

    Осталась только еще одна проблема. На сервер TMG установил роль DHCP сервер. В настройках DHCP сделал привязку к интерфейсу 192.168.1.0 и задал пул адресов. Однако адреса не выдаются.

    Не подскажите, в чем может быть проблема?

    23 марта 2010 г. 9:47
  • Опять же, разрешите весь трафик из LAN к localhost и наоборот и посмотрите.
    23 марта 2010 г. 9:51
  • вроде позавчера спрашивал про dhcp

    23 марта 2010 г. 10:02
    Отвечающий
  • Всем выражаю огромную благодарность. Очень помогли мне! :)
    23 марта 2010 г. 11:47