none
Как настроить маршрутизацию в Forefront TMG ? RRS feed

  • Вопрос

  • Добрый день коллеги, первый раз столкнулся с FTMG, раньше приходилось настраивать маршрутизацию только на активном сетевом оборудовании, и на обычных Win/Lin машинах с помощью route add.

    Возникла необходимость настроить маршрутизацию на FTMG, сейчас инфраструктура организована так:

    Есть FTMG с тремя сетевухами, одна смотрить в интернет (94.х.х.х) , другая в локальную сеть (192.168.5.1), третья (10.10.10.10) на другой маршрутизатор (адрес маршрутизатора 10.10.10.20) - за которым другая дружественная сеть (192.168.0.0/24)

    Что нужно сделать на FTMG ?? какие создать сети, сетевые правила.. чтобы FTMG тупо маршрутизировал трафик между этими сетями

    6 августа 2010 г. 5:45

Ответы

  • В общем объясняю как нужно:

    1) На интерфейсе, который смотрит на другой маршрутизатор назначаем адрес 10.10.10.10

    2) Прописываем маршрут route add 192.168.0.0 mask 255.255.255.0 10.10.10.20

    3) Создаем сеть, при создании говорим, что адреса брать с вышенастроенного интерфейса, он добавляет диапазоны 10.10.10.0/24 и 192.168.0.0/24

    4) Создаем сетевое правило источник - внутренняя, назначение - сеть, созданная на третьем шаге, отношение - маршрут

    5) Создаем правила доступа.

    • Помечено в качестве ответа Kutuzov 6 августа 2010 г. 8:38
    6 августа 2010 г. 8:11

Все ответы

  • Визардом отработай. выбери трех зонная сеть. А потом в правилах создай отношение между DMZ и Local


    Слова пусты, словно череп труса, катаемый прибоем
    6 августа 2010 г. 5:52
  • Визардом пользоваться нельзя, т.к. нельзя останавливать работу пользователей.

    И как FTMG после визарда поймет, что за маршрутизатором 10.10.10.20 находится сеть 192.168.0.0/24 ?

    6 августа 2010 г. 6:23
  • У тебя шлюз на той стороне будет пускать траффик под собой (как 10.10.10.10), а с ней ты настроишь отнашение в правиле, путем : internal, 10.x to internal, 10.x all users и протаколы те, что ты хочешь дать (к примеру - all protocols). + Визард не влияет на текущие правила, написанные тобой. А значит прерывать текущую работу не будет (если ты только что-то не намудрил в таблице маршрутезпации для текущей сети)
    Слова пусты, словно череп труса, катаемый прибоем
    6 августа 2010 г. 6:28
  • Как вариант:

    1) Установи шлюз на том конце в 0 подсеть

    2) пропиши ИП на сетевухе в TMG на 0 подсеть

    3) создай в TMG сеть, отечающую за 192.168.0.0/24

    4) Создай правила отношений между сетями

    4.1 for internal2 to external - all users

    4.2 for internal, local host, internal2 to internal, local host, internal 2 - all users

    4.3 - тут уже можно публикацию создавать, если там есть какие-то сервера (типа web- вервер, mail и т.д.)


    Слова пусты, словно череп труса, катаемый прибоем
    6 августа 2010 г. 6:32
  • Может Вы меня не поняли, мне нужно реализовать такую схему

    http://img-fotki.yandex.ru/get/4802/hac-patb.0/0_3bb18_1ab7886e_orig

    6 августа 2010 г. 7:06
  • Схема очень похожа на DMZ. Исключение - как ходит 2ая зона.

    1) в сети создать сеть отвечающая за зону 10.10.10.10-10.10.10.20 (можно просто эти 2 адреса) (internal2)

    2) Сетевые правила Отношение - маршрут, Сеть источника - internal2, сеть назначения - internal

    3) Маршрутизация: По идеи он сам должен прописать. Если что, пропишите сюда что у вас сейчас есть, что относится к это сетевушке

    4) Политика межсетевого экрана: из internal, internal2 до internal, internal2 all users по выбранным протаколам

    Вроде этого достаточно для того, читобы связать 2 сети.

    Но лучше визард запустить =)


    Слова пусты, словно череп труса, катаемый прибоем
    6 августа 2010 г. 7:21
  • Сеть 192.168.0.0/24 нужно определять в FTMG ?

    И этого недостаточно, FTMG должен знать, что за адресом 10.10.10.20 находится сеть 192.168.0.0/24

    6 августа 2010 г. 7:24
  • как вариант site-to-site поднять. или попробывать на internal2 определить еще 192.168.0.0/24, хотя врят-ли это поможет


    Слова пусты, словно череп труса, катаемый прибоем
    6 августа 2010 г. 7:46
  • Mirkul,

    при использовании RRAS это делается просто: route add 192.168.0.0 mask 255.255.255.0 10.10.10.20

    В FTMG это тоже делается без всяких site-to-site , только нужно определить сети по правильномe и выстроить из них отнощения

     

    6 августа 2010 г. 8:02
  • В общем объясняю как нужно:

    1) На интерфейсе, который смотрит на другой маршрутизатор назначаем адрес 10.10.10.10

    2) Прописываем маршрут route add 192.168.0.0 mask 255.255.255.0 10.10.10.20

    3) Создаем сеть, при создании говорим, что адреса брать с вышенастроенного интерфейса, он добавляет диапазоны 10.10.10.0/24 и 192.168.0.0/24

    4) Создаем сетевое правило источник - внутренняя, назначение - сеть, созданная на третьем шаге, отношение - маршрут

    5) Создаем правила доступа.

    • Помечено в качестве ответа Kutuzov 6 августа 2010 г. 8:38
    6 августа 2010 г. 8:11
  • ну собственно ничего нового, подобные темы здесь обсуждаются минимум дважды в месяц :)

    и каждый раз писалось что иса и тмг роутерами не являются и маршрутизация у них по старому в винде, через route add, а в исе надо только топологию задать (сети и отношения между ними), чтобы она не ругалась

    6 августа 2010 г. 9:57
    Отвечающий