none
Настройка ISA2006 EE по схеме с одним сетевым интерфейсом RRS feed

  • Вопрос

  • Приветтствую!
    имеем схему:
    Internet -> ADSL_Modem(bridge) -> WAN_interface(FE4)_cisco871_LAN(FE0) -> свич catalyst3750
    на cisco871 поднят NAT+PPPoE, все кто кто в свиче получают инет
    подсеть всего этого 10.20.12.хх
    DC, DNS имееет 10.20.12.12
    поднял сабж (его адрес 10.20.12.17) поткнут в свич.
    выбрал схему в ISA с одной сетевой, как теперь настроить чтобы пользователи в свиче ходили в инет через ISA??
    12 марта 2008 г. 6:37

Ответы

  • что-то запрещено или не разрешено. Или не включено. смотрите логи ISA - там может увидите что-то.

     

    12 марта 2008 г. 10:04
    Модератор
  •  Danil D. написано:
    2Dmitriy Nikitin
    а можно поподробнее разжувать этот back-to-back firewall способо?
    т.е. ИСУ втукаю в один из свободных FE роутера? а уже роутер в свич???
    сейчас схема такая: Internet -> router -> switch -> домен_контроллер + ИСА + все остальные пользователи
    p.s. все находитьсяв 10.20.12.хх подсеи

    че там разжевывать то, стандартная схема, ее знает любой кто когда либо открывал хоть одну книжку про сети.

    internet -- cisco -- промежуточная сетка -- isa -- внутренняя сетка (серваки, свичи, компы и вся остальная дребедень).

    внутреннюю оставляешь свою 10.20.12.0

    промежуточную делаешь любую приватную, например какую нить 192.168.12.0 и все

    для понимая, представь что иса твой единственный шлюз а циска стоит у провайдера и он дает тебе виртуальные ипшники а не внешние. единственное отличие что циской ты тоже управляешь Smile все ж очень просто

    13 марта 2008 г. 9:20
    Отвечающий

Все ответы

  • С одним сетевым интерфейсом ISA работает только как прокси. Таким образом для того, чтобы клиенты ходили в интернет через нее нужно прописать у них адрес прокси сервера.

    12 марта 2008 г. 8:16
    Модератор
  • Технические сведения (для персонала службы поддержки)

    Код ошибки: 502 Ошибка прокси-сервера. ISA Server отклонил указанный URL-адрес. (12202)

    IP-адрес: 10.20.12.17

    Дата: 12.03.2008 9:42:13 [GMT]

    Сервер: isa.mydomen.ru

    Источник: прокси

    не идет что-то (

    12 марта 2008 г. 9:46
  • что-то запрещено или не разрешено. Или не включено. смотрите логи ISA - там может увидите что-то.

     

    12 марта 2008 г. 10:04
    Модератор
  • ой, сори.
    забыл создать правило Smile
    после исправления ошибки, все заработало.

    p.s. еще бы избавиться от того что все кто в свиче получают инет, ваще сдорово бы было Smile
    есть предложения?
    12 марта 2008 г. 10:51
  • сделайте доступ по группам Windows. Проблем нихт. В домене, я надеюсь, все?

     

    12 марта 2008 г. 11:02
    Модератор
  • да, все в домене!
    всмысле доступ по группам?
    12 марта 2008 г. 11:43
  • Там где при создании правила спрашивается каким пользователям давать доступ можно указать группы AD. Вот и кто бы Вам мешал вместо All Users воткнуть InternetUsers? =)

     

    12 марта 2008 г. 12:13
    Модератор
  • сразу же так и сделал, т.е. в исе создал группу Inet_users ее привезал к доменной группе internet_user ее члены и получали инет, ессно убрал all_users
    дело в том, что у меня же как было сказано есть маршрутизатор, и свич
    надо убрать инет через свич и пустить через ИСУ
    12 марта 2008 г. 13:25
  • Ааа... Понял. Это никак, только если настройить файрволл какой-нибудь, который в Inet будет пускать только ISA-сервер или поставить ISA с двумя карточками на "горло" сети.

     

    12 марта 2008 г. 15:08
    Модератор
  • ну почему через 2 сетевые на ИСЕ?
    на маршрутизаторе (10.20.12.3) у меня PPPoE+NAT далее на нем
    гетевэй стоит на 10.20.12.1, т.е. ip default-gateway 10.20.12.1
    маршрут пробиваю до ИСЫ от ната до исы, т.е. ip nat inside source statis 10.20.12.17 int Dialer1 

    10.20.12.1 - это свич
    на нем ip default-gateway 10.20.12.3
    ip route 0.0.0.0 0.0.0.0 10.20.12.3

    клиенты
    ip=10.20.12.xx
    mask=255.255.255.0
    шлюз=10.20.12.1
    днс=10.20.12.12

    домен у меня на 10.20.12.12, на его днс форвард до днс провайдера стоит
    12 марта 2008 г. 15:32
  • Я в этом без схемы разбираться не буду - времени нету. =)

    12 марта 2008 г. 15:57
    Модератор
  • ну во первых как написали выше, иса с одним интерфейсом работает только как прокси, а значит через нее будут ходить только прокси клиенты, остальные через роутер.

    запретить исой остальным ходить напрямую ты не сможешь, можно всем остальным запретить ходить через роутер на самом роутере, разрешить только исе, но это опять же касается только веб трафика для прокси клиентов.

    лучший вариант в этом случае : поставить на исе два интерфейса, и всех пустить через нее, если хочешь сохранить роутер то сделай back-to-back firewall, то есть иса с циской друг за другом и между ними промежуточная сетка (perimeter). тогда снаружи ты закрыт циской, а все клиенты напрямую минуя ису не пройдут. у самого так в 4 офисах было Smile

    12 марта 2008 г. 21:56
    Отвечающий
  • 2Dmitriy Nikitin
    а можно поподробнее разжувать этот back-to-back firewall способо?
    т.е. ИСУ втукаю в один из свободных FE роутера? а уже роутер в свич???
    сейчас схема такая: Internet -> router -> switch -> домен_контроллер + ИСА + все остальные пользователи
    p.s. все находитьсяв 10.20.12.хх подсеи
    13 марта 2008 г. 2:37
  •  Danil D. написано:
    Приветтствую!
    имеем схему:
    Internet -> ADSL_Modem(bridge) -> WAN_interface(FE4)_cisco871_LAN(FE0) -> свич catalyst3750
    на cisco871 поднят NAT+PPPoE, все кто кто в свиче получают инет
    подсеть всего этого 10.20.12.хх
    DC, DNS имееет 10.20.12.12
    поднял сабж (его адрес 10.20.12.17) поткнут в свич.
    выбрал схему в ISA с одной сетевой, как теперь настроить чтобы пользователи в свиче ходили в инет через ISA??

     

    Что вам мешает поставить ISA вместо Cisco 871 ?

    13 марта 2008 г. 8:19
    Модератор
  • не спорю, можно и обойтись без роутера, но как тогда на ИСЕ поднять NAT+PPPoE (в случае если модем в режиме "моста")? и роутер получается выкинуть можно?
    руководство не поймет тогда меня...
    13 марта 2008 г. 8:29
  • В чем проблема? NAT и PPPoE сервер ISA поддерживает - смотрите Help. Руководство? Ну пусть Cisco стоит и просто мегает лампочками

    13 марта 2008 г. 8:52
    Модератор
  •  Danil D. написано:
    2Dmitriy Nikitin
    а можно поподробнее разжувать этот back-to-back firewall способо?
    т.е. ИСУ втукаю в один из свободных FE роутера? а уже роутер в свич???
    сейчас схема такая: Internet -> router -> switch -> домен_контроллер + ИСА + все остальные пользователи
    p.s. все находитьсяв 10.20.12.хх подсеи

    че там разжевывать то, стандартная схема, ее знает любой кто когда либо открывал хоть одну книжку про сети.

    internet -- cisco -- промежуточная сетка -- isa -- внутренняя сетка (серваки, свичи, компы и вся остальная дребедень).

    внутреннюю оставляешь свою 10.20.12.0

    промежуточную делаешь любую приватную, например какую нить 192.168.12.0 и все

    для понимая, представь что иса твой единственный шлюз а циска стоит у провайдера и он дает тебе виртуальные ипшники а не внешние. единственное отличие что циской ты тоже управляешь Smile все ж очень просто

    13 марта 2008 г. 9:20
    Отвечающий
  • Блин, точно! во тупить начал по страшному!!
    Единственное, сначала надо разработать план переключения, т.к. рабочая среда уже функционирует и производить переключение в рабочее время нельзя. т.к. работают люди.
    если 10.20.12.хх оставляем внутренней сетью
    то промежуточную можно выбрать 10.20.10.хх например
    физически расключение я себе представляю как.
    остается разобратсья с настройками
    на исе что пробивать?
    13 марта 2008 г. 10:26
  •  

    почти ничего, прост онастроить второй интерфейс (ип маска шлюзом циску), на внутреннем шлюз убрать конечно же Smile)

    если нужны snat клиенты то между internal и external включаешь nat

    13 марта 2008 г. 17:54
    Отвечающий
  • если ИСА (с двумя сетевыми интерфейсами) воткнуть между роутером и свичем, то для ее работы необходимо чтобы на его интерфейсах были разные подсети!
    отсюда делаем вывод, что надо менять либо подсеть на роуторе либо на свичах и все что в него воткнуто
    я правильно понимаю?
    14 марта 2008 г. 12:09
  • И зачем вам нужен этот "паровоз"? Уберите циску и оставьте одну ису - вся функциональность сохранится, а настройки проще.

    14 марта 2008 г. 12:21
    Модератор
  • хорошо, если схему не менять, т.е. оставить ИСУ с 1 сетевым интерфейсом.
    будет ли достаточно хорошо защищена внутренняя сеть, если от провайдера получить белый айпи?
    p.s. ИСА с одним сетевым интерфейсом - только прокся, функции файервола отключены у нее по умолчанию.
    так?
    14 марта 2008 г. 13:11
  • А что понимается под "хорошо защищена"? Если у вас циска закрывает вход во внутреннюю сеть, то этого вам достаточно? Если да, то сеть будет хорошо защищена.

    14 марта 2008 г. 13:18
    Модератор