none
Маршрутизация на ISA (2 сервера ISA) RRS feed

  • Вопрос

  • Итак цель: Есть домен и ИСА2004(назовем ИСА1), нужно перейти на новый сервер ИСА2004 (назовем ИСА2).

    На данный момент на старой ИСА2004 имеются ВПН. Нужно всех клиентов перевести на новую ИСА2004 а ВПН оставить на старой 2004 ИСЕ.

    Данные

    ИСА1
    Windows IP Configuration
    Ethernet adapter External_Net:
       Connection-specific DNS Suffix . :
       IP Address. . . . . . . . . . . . : 192.168.1.15
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       Default Gateway . . . . . . . . . : 192.168.1.1
    PPP adapter RAS Server (Dial In) Interface:
       Connection-specific DNS Suffix . :
       IP Address. . . . . . . . . . . . : 10.12.1.245
       Subnet Mask . . . . . . . . . . . : 255.255.255.255
       Default Gateway . . . . . . . . . :
    Ethernet adapter internal_net:
       Connection-specific DNS Suffix . :
       IP Address. . . . . . . . . . . . : 10.12.1.1
       Subnet Mask . . . . . . . . . . . : 255.255.0.0
       Default Gateway . . . . . . . . . :
    PPP adapter tp_kuban:
       Connection-specific DNS Suffix . :
       IP Address. . . . . . . . . . . . : 1.1.0.29
       Subnet Mask . . . . . . . . . . . : 255.255.255.255
       Default Gateway . . . . . . . . . :
    PPP adapter kuban_almaz:
       Connection-specific DNS Suffix . :
       IP Address. . . . . . . . . . . . : 10.13.1.250
       Subnet Mask . . . . . . . . . . . : 255.255.255.255
       Default Gateway . . . . . . . . . :
    PPP adapter {9116DD45-1EB4-4D9C-AA4F-AA1CE83945E5}:
       Connection-specific DNS Suffix . :
       IP Address. . . . . . . . . . . . : 10.8.5.51
       Subnet Mask . . . . . . . . . . . : 255.255.255.255
       Default Gateway . . . . . . . . . :


    ИСА2
    Настройка протокола IP для Windows
    Internal - Ethernet адаптер:
       DNS-суффикс этого подключения . . :
       IP-адрес . . . . . . . . . . . . : 10.12.1.4
       Маска подсети . . . . . . . . . . : 255.255.0.0
       Основной шлюз . . . . . . . . . . :
    External - Ethernet адаптер:
       DNS-суффикс этого подключения . . :
       IP-адрес . . . . . . . . . . . . : 192.168.10.5
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . : 192.168.10.1

    Что я сделал:

    Поставил вторую ИСУ. В ДХЦП прописал шлюзом IP второй ИСЫ.
    Сделал все правила, но вот с маршрутицацией для ВПН немогу понять...
    ВПН'ы
    1.1.0.0/16
    10.8.0.0/16
    10.13.0.0/16
    На второй ИСЕ в нетворк сделал 3 сети с соответствующими IP.
    В нетворк рулез добавил эти сети с параметром route.
    В правилах фаервола указал что из интернал и локал хост на эти сети любой трафик для всех пользователей.
    Не работает.
    Чуть не забыл, естественно добавил на второй исе
    route add -p 10.8.0.0 mask 255.255.0.0 10.12.1.1 metric 10 if 10.12.1.4
    соответственно для каждого ВПН.

    Причем, если убираю с нетворк эти сети, и в сеть INTERNAL вписываю диапазон этих IP(т.е. 1.1.0.0/16, 10.8.0.0/16, 10.13.0.0/16) - тогда все работает.
    В чем моя ошибка...?

    16 августа 2007 г. 12:47

Ответы

Все ответы

  •  

    В ISA для каждого сетевого адаптера должна быть прописана своя Network.

    Вы же делаете несколько Network для одного адаптера.

    17 августа 2007 г. 13:14
    Модератор
  •  

    Т.е. в данном случае, если у меня на ИСА 2 количество сетевых интерфейсов всего 2 шт. (1-внешка, 2-внутренний) то я на 2-ом интерфейсе не смогу прописать маршрутизация на ИСА 1, на которой подняты ВПН ?

    Как то не совсем понятно.

    19 августа 2007 г. 12:14
  •  

    Можете. Маршрутизацию между исами вы должны делать через их внутренние интерфейсы.

     

    Дополнение: Если нужны правила фильтрации через внутренние интерфейсы, то в правилах надо указывать не Network, а Address Set (из диапазона Internal)

    20 августа 2007 г. 3:20
    Модератор
  • Извините, не совсем понял....

    Маршрутизацию между исами вы должны делать через их внутренние интерфейсы

    Так я так и делаю, вот результат route print

     

    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0          0.0.0.0     192.168.10.1     192.168.10.5     20
              1.1.0.0      255.255.0.0        10.12.1.1        10.12.1.4      1
             10.8.0.0      255.255.0.0        10.12.1.1        10.12.1.4      1
            10.12.0.0      255.255.0.0        10.12.1.4        10.12.1.4     20
            10.12.1.4  255.255.255.255        127.0.0.1        127.0.0.1     20
            10.13.0.0      255.255.0.0        10.12.1.1        10.12.1.4      1
       10.255.255.255  255.255.255.255        10.12.1.4        10.12.1.4     20
            127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
         192.168.10.0    255.255.255.0     192.168.10.5     192.168.10.5     20
         192.168.10.5  255.255.255.255        127.0.0.1        127.0.0.1     20
       192.168.10.255  255.255.255.255     192.168.10.5     192.168.10.5     20
            224.0.0.0        240.0.0.0        10.12.1.4        10.12.1.4     20
            224.0.0.0        240.0.0.0     192.168.10.5     192.168.10.5     20
      255.255.255.255  255.255.255.255        10.12.1.4        10.12.1.4      1
      255.255.255.255  255.255.255.255     192.168.10.5     192.168.10.5      1
    Основной шлюз:        192.168.10.1
    ===========================================================================
    Постоянные маршруты:
      Отсутствует

    Т.е. маршрут на 10.8.X.X :

    10.8.0.0      255.255.0.0        10.12.1.1        10.12.1.4      1
    В данном случае интерфейс 10.12.1.4(это внутренний интерфейс ИСА2), а внешний интерфейс ИСА2 = 192.168.10.5

    10.12.1.1 - это внутренний интерфейс ИСА1, на которой и подняты ВПН (10.8.X.X, 10.13.X.X и т.д.)

    Правила фильтрации через внутренние интерфейсы не нужны. Просто не совсем понимяю, почему хост 10.8.1.1 недостижимый...

     

    Вот лог пинга с ИСА2 на 10.8.1.1

    10.12.1.4    ISA-SERVER -  ICMP -      -    8 0 0 0 0xc004002d  WX_E_UNREACHABLE_ADDRESS  0x0 0x0 Firewall 20.08.2007 9:09:34 10.8.1.1 0 Ping Denied Connection  10.12.1.4  Local Host imango8 - -

    20 августа 2007 г. 5:17
  •  

    На ИСА2 вы должны указывать в маршруте не его внутренний адрес 10.12.1.4, а адрес внутреннего интерфейса ИСА1 10.12.1.1

     

    20 августа 2007 г. 7:47
    Модератор
  • Простите, опять не совсем понятно. Те. вы говорите что вместо строчки

     10.8.0.0      255.255.0.0        10.12.1.1        10.12.1.4      1

    должна быть

     10.8.0.0      255.255.0.0        10.12.1.1        10.12.1.1      1

    Так?

    Тогда совсем непонятно как это сделать?

    При добавлении на ИСА2 такого маршрута - ругается.

    H:\>route add 10.8.0.0 mask 255.255.0.0 10.12.1.1 metric 1 if 10.12.1.1
    Сбой добавления маршрута: Либо индекс интерфейса указан неверно, либо шлюз не лежит в той же подсети, что и данный интерфейс. Проверьте таблицу IP-адресов этого компьютера.

    И оно понятно, получается что для этого маршрута и шлюз и интерфейс (10.12.1.1) находятся на другой ИСЕ. Получается просто некорректный маршрут...

    Или я что то не так понял?

    Добавлено:

    ИСА1: Internal=10.12.1.1, External=192.168.1.15

    ИСА2: Internal=10.12.1.4, External=192.168.10.5

    20 августа 2007 г. 7:56
  •  

    Вам нужно всего навсего route add 10.8.0.0 mask 255.255.0.0 10.12.1.1
    20 августа 2007 г. 8:06
    Модератор
  • Ну так правильно. Я так и делал.

    route add 10.8.0.0 mask 255.255.0.0 10.12.1.1

    просто в таком задании маршрута интерфейс подставляется автоматически .... И подставляется соответственно интерфейс внутренней сетевки ИСА2 (10,12,1,4).

    Но почему то не работает.

    Однако если я в сеть интернал вписываю диапазон 10.0.0.0 mask 255.0.0.0 (сейчас у меня 10.12.1.1 mask 255.255.0.0) тогда IP 10.8.1.1 пингуется.

    Во тя и не могу понять в чем проблема. Почему не работает явно заданный маршрут....
    20 августа 2007 г. 8:54
  • Маршрут route add 10.8.0.0 mask 255.255.0.0 10.12.1.1 верный. А что у вас в Internal? Там надо прописать свои сети правильно. 

     

    20 августа 2007 г. 9:19
    Модератор
  • Диапазон моей локалки 10.12.0.0 mask 255.255.0.0

    На обоих серверах в интернал прописан этот диапазон и созданы правила:

    Из интернал и локал хост на интернал и локал хост трафик Любой для Всех

    20 августа 2007 г. 9:32
  •  

    На второй ИСЕ вам надо в Internal прописать все VPN сети.
    21 августа 2007 г. 2:03
    Модератор
  • Это понятно, если в интернал прописать тогда работает.

    Просто хотел разделить сети, что бы в логах удобнее смотреть было.

    21 августа 2007 г. 12:21
  • Повторюсь: на одном интерфейсе разделение сетей делается с помощью Address Set

     

    22 августа 2007 г. 2:34
    Модератор
  •  sie написано:
    Повторюсь: на одном интерфейсе разделение сетей делается с помощью Address Set

    Если внутренние подсети нельзя прописать отдельно в Networks, а только в сети Internal, то их нельзя и использовать и в Network Sets. Для разделения в правилах можно использовать Address Ranges или Subnets (есть разница?). Соответственно, их нельзя и группировать по аналогии с Network Sets. В логах, соответственно, все внутренние подсети тоже пойдут как Internal без разделения. Правила, которые используют Internal, в том числе и системные, будут относиться сразу ко всем внутренним подсетям, что тоже не даёт их выделить как-то отдельно, включая фильтрацию в Logging. Я прав?

     

    Просто ищу, как правильно прописать внутренние подсети, и кроме совета включить их все в Internal ничего не нашёл.

    30 августа 2007 г. 6:40
  •  

    Все правильно: включаете все внутренние сети в Internal, а внутри уже можно "делить" с помощью Address Ranges (полагаю, что можно использовать любые другие объекты в которых задаются ip-адреса - Subnet, Computer).

    Системные правила можно редактировать и указыватьв в них Address Range (либо скажем Computer) вместо Internal. На крайний случай можно запретить системное правило и создать аналогичное свое.

    31 августа 2007 г. 5:18
    Модератор