none
Настройка ISA 2006 EE RUS с LAN и ADSL-модем RRS feed

  • Вопрос

  • добрый день!
    имеется
    1. сеть 10.20.12.хх /24,

    2. домен win2003 R2 SP1 RUS
    ip=10.20.12.12
    маска=255.255.255.0
    шлюз=10.20.12.1
    днс=10.20.12.12
    форвард настроен на днс провайдера

    3. свич
    ip=10.20.12.1

    4.ADSL-модем в режиме "роут" воткнут в свич, протокол PPPoE, все кто в свиче получают инет.

    планируется эту схему переделать, для этого на одном свободном сервере поднял ISA 2006 EE RUS

    на данный момент имеем:
    ISA 2006 EE RUS одним сетевым интерфейсом:
    ip=10.20.12.17
    маска=255.255.255.0
    шлюз=нет
    днс=10.20.12.12

    на втором интерфейсе пробью айпи, который выдаст провайдер!
    +
    модем переведу в режим "моста"

    вопрос: какие настройки делать на ИСЕ?
    16 февраля 2008 г. 7:28

Ответы

Все ответы

  •  

    архимощный вопрос Smile))

    какие тебе нужны такие и делай Smile

    16 февраля 2008 г. 12:56
    Отвечающий
  • если бы я знал, сделал бы Smile
    нужно что бы инет был у доменной группы (например она называется inet_user)
    17 февраля 2008 г. 7:04
  •  

    создай правило разрешающее инет этой группе и позаботься о том чтобы клиенты могли аутенфицироваться (то есть либо прокси на них настрой либо fwc поставь)

    вопрос из области самых начальных основ работы с исой, такие задавать даже стыдно, читай мануалы или книгу там все это написано. в принципе и без книг там разбораться очень просто, все есть в gui и встроенном хелпе.

    17 февраля 2008 г. 10:15
    Отвечающий
  • Правило создал в "Политика межсетевого экрана" такое:
       имя - Internet_in_office
       политика - включена
       Протоколы - весь исходящий трафик
       Откуда - Внутренняя
       Куда - Внешняя
       Пользователи - Internet_user
       Расписание - всегда
       Тип содержимого - всем типам содержимого

    Политика, которая была по умолчанию при установке ISA - я не трогал!

    в "Сети" выбрал следующий шаблон: "пограничный межсетевой экран""
    в диапазон адресов поставил эти: 10.20.12.1 - 10.20.12.12.254

    p.s. все настройки необходимо сделать до расключения, т.к. простой сети должен быть минимальным! На выходных тоже нельзя это произвести, т.к. провайдер в эти дни не работает
    18 февраля 2008 г. 10:11
  •  

    ну и все, толкьо одно но, за это: "10.20.12.1 - 10.20.12.12.254" увольнял бы сразу. ты сеть задаешь а не диапазон адресов, и сдается мне что сеть у тебя 10.20.12.0 - 10.20.12.255 а не та ересь что ты написал Smile уж как сети задаются надо знать по любому, независимо от того работал ты с исой или нет. кстати иса на такое твое определение internal должна была ругаться в алертах.
    18 февраля 2008 г. 10:19
    Отвечающий
  • Вы совершенно правы!
    Сеть 10.20.12.хх
    И в алертах прямо так и написано!
    И то правда мой косяк, теперь буду знать про это )
    Огромное спасибо за помощь!
    И последний вопрос: в Политиках межсетевого экрана, если стоит политика по умолчанию (когда установил ISA она уже была) запретить весь трафик. Ее не надо отключать?
    18 февраля 2008 г. 10:33
  • ой, забыл совсем спросить.
    если интернет от провайдера, получаю по протоколу PPPoE.
    Какие-то дополнительные настройки на ISA делать надо?
    18 февраля 2008 г. 11:09
  • Default Policy?! Вы ее не сможете запретить. И не надо.

    18 февраля 2008 г. 11:09
    Модератор
  • запрещающее все default policy есть практически у всех фаеров, это стандартное поведение по умолчанию. ее отменять не надо иначе иса перестанет быть фаером Smile косвенно это правило легко отменить, поставить разрешающее все перед ним Smile)

    pppoe прямо на исе поднято или на какой нить железке перед ней?

    если первое то на исе можно указать чтобы созданное соединение автоматом она поднимала (если это в винде не сделано другими способами, например через rras)

    18 февраля 2008 г. 12:57
    Отвечающий
  • Про "политики" понял Smile большое спасибо!
    в данный момент PPPoE поднят на ADSL модеме ZyXEL, он в режиме "роут", воткнут в свич. все кто в свиче получают инет.
    Ваши комментарии...
    18 февраля 2008 г. 13:36
  •  

    если ты хочешь использовать полноценно ису то такая схема никуда не годится

    либо модем прямо в ису, между модемом и исой промежуточная подсетка

    либо модем в ису, в редиме бридж и поднимать на исе. первый вариант мне нравиться больше, н овсе зависит от того насколько надежный и умелый модем.

    18 февраля 2008 г. 14:51
    Отвечающий
  •  

    поэтому и хочу переделать схему, но с минимальными простоями в сети, т.к. это кретично для пользователей...

    модем у меня такой: ZyXEL Prestige 660H-T1

    думаю над вариантом: модем в ису, ису в сетку.

    т.к. иса уже поднята, правило создано, интерфейс, который смотрит в сеть настроен.

    остается только переключить модем в режим "моста" и на втором интерфейсе isa пробить модемные адреса.

    вопрос: пока от провайдера не получены "белый" айпи, можно это произвести сейчас? т.е. использовав текущие настройки модема?!!?

    18 февраля 2008 г. 15:13
  •  

    можно и легко, я уже писал выше, оставить модем в режиме роутера, тока на внутреннем его интерфейсе сделать другую подсетку, промежуточную, и на исе внешний адрес назначить из этой же подсетки и шлюзом указать модем, все банально просто и понятно. с точки зрения исы модем будет считаться как external, будто он у провайдера стоит
    18 февраля 2008 г. 20:01
    Отвечающий
  • ок. вчера вечером поставил на модеме в LAN:
    IP=192.168.1.33
    mask=255.255.255.0

    настройки WAN оставил все по умолчанию как было, т.е. "routing"

    p.s.единственное пришлось на свиче 10.20.12.1 добавить это:
    ip route 0.0.0.0 0.0.0.0 192.168.1.33

    сегодня вечером буду пробовать:
    модем цепляю ко второму сетевому интерфейсу ISA, и пробиваю:
    IP=192.168.1.100
    mask=255.255.255.0
    шлюз=192.168.1.33
    днс=???? (что пробивать??)

    правила и т.п. настройки на самой ИСЕ не трогаю!

    все правильно?
    19 февраля 2008 г. 4:14
  •  

    а зачем маршрут на свиче если ты хотел через ису все сделать?
    если у тебя есть свой dns в сетке а тем более есть стоит AD то на внешнем интерфейсе dns не указывают, это написано во всех доках и книгах

     

    19 февраля 2008 г. 8:13
    Отвечающий
  • маршрут потому что в текущий момент ADLS-модем воткнут в этот самый свич!
    и так подведем итоги.
    идем по пути № 1 предложенный Вами, т.е.
    ADSL-в ису, ису в свич, получаем:
    политики и шаблон сети оставляем, который уже настроен (описан выше в теме)
    на исе:
    интерфейс, который смотрит в свич:
    ip=10.20.12.17
    mask=255.255.255.0
    шлюз=нет
    днс=10.20.12.12
    интерфейс, который смотрит на модем:
    ip=192.168.1.33
    mask=255.255.255.0
    шлюз=192.168.1.1
    днс=нет

    на модеме:
    режим=роутинг
    LAN=ip=192.168.1.1
            mask=255.255.255.0
    WAN=Mode = routing
              Encapsulation=PPPeO

    ничего не забыл?
    19 февраля 2008 г. 9:06
  • ну примерно так

    тока в принципе на свиче роутить то не надо, вообще пусть свич занимается своим делом, коммутацией Smile)

    клиенты на ису, иса на модем, даже если если через свич все равно на модем смотрит

    19 февраля 2008 г. 11:25
    Отвечающий
  • схема не заработала!
    Ваши комментарии...
    19 февраля 2008 г. 15:24
  • машина не едет, ваши комментарии

    аналогичная фраза Smile)

     

    почему не заработала? где именно проблема?

    причин может быть куча, ты мог настроить не так как написано, мог провода перепутать, а может все работает просто ты не правильно проверил Smile

     

    20 февраля 2008 г. 11:52
    Отвечающий