Добрый вечер.

Имеется локальная сеть. В локалке две подсети 192.168.50.* (основная) и 192.168.7.*.
Все эти подсети сидят на одном из свичей. Просто некоторые сервера используют одну подсеть, а некоторые вторую.

Шлюзом для 192.168.50.* служит ISA с двумя сетевыми картами. Одна WAN (to провайдер), вторая LAN то 192.168.50.*. Правила настроены, всё работает.
Возникла необходимость настроить маршрутизацию и дать некоторым компьютерам из 192.168.50.* в сети общаться с 192.168.7.*.

Итак. Даю адаптеру LAN (192.168.50.230.) дополнительный ip адрес из 192.168.7.*. Захожу в ISA, в свойствах сети Internal прописываю(добавляю) подсеть 192.168.7.0 - 192.168.7.255.

Не работает.

Подскажите, что делаю не так?
Возможно тема уже поднималась, но решил создать новую тему.

Не работает. »
хорошее описание.

давайте для начала Logging поглядим.

cameron,

В логах пусто, (в данный момент).

Единственное, в событиях имеется ошибка:

ISA Server detected a network adapter connected to multiple networks: Address 192.168.50.230 belongs to network 'Internal' and address 192.168.7.80 belongs to network 'External'. Verify that all the IP addresses on the network adapter are in the same network, or change the IP addresses on the network adapter.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

Description: ISA Server detected routes through the network adapter LAN that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 192.168.7.0-192.168.7.255;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.

The routing table for the network adapter WAN includes IP address ranges that are not defined in the array-level network External, to which it is bound. As a result, packets arriving at this network adapter from the IP address ranges listed below or sent to these IP address ranges via this network adapter will be dropped as spoofed. To resolve this issue, add the missing IP address ranges to the array network.
The following IP address ranges will be dropped as spoofed:
Internal:192.168.7.0-192.168.7.255;

А у серверов из подсети 192.168.7.* обязательно должен стоять ISA сервер в качестве шлюза?

А у серверов из подсети 192.168.7.* обязательно должен стоять ISA сервер в качестве шлюза? »
а каким другим волшебным способом туда пакеты пойдут?
можно конечно всем массово написать route add если не хотите ставить её гейтом.

итак:
вы добавили интерфейсу ещй один адрес, прописали его в Internal сети и у вас наблюдается ошибка что 192.168.7.0/24 является External, после этих действий?

Самый простой способ - расширить маску подсети, чтобы она включала в себя обе этих сети, тогда и маршрутизация не потребуется :) Но это как крайний вариант.
Покажи результат route print с ISA сервера после выполнения команд, описанных cameron.

bombording,

Простите господа и дамы присяжные заседатели, но я не возьму в толк, а причём здесь иса!? Если проблемы с маршрутизацией то и писать нужно в топик по соответствующей серверной винде. ;) ISA не занимается маршрутизацией.

ISA не занимается маршрутизацией. »
не все это знают ;)

Anton04, просто многие видят в ISA нечто, связанное с маршрутизацией и считают ее маршрутизатором :)
bombording, укажи версию сервера, чтобы я мог перенести тему в соответствующую ветку.

Я так понимаю, необходимо поднимать службу маршрутизации?

Delirium, Windows 2003, ISA 2006

Ну вот это уже другое дело. Да, необходимо поднимать службу маршрутизации.
И скажу по секрету, ISA при настройке всего навсего отображает в графическом интерфейсе результаты команды route print, и все действия, которые делаются через ISA, можно спокойно сделать в командной строке утилитой route.
P.S. Переношу тему в Windows Server 2003.

Delirium, её нужно поднимать на шлюзе? А ничего что там так же установленна ISA ?

bombording, а в чем, по твоему пониманию, разница между шлюзом и маршрутизатором? Просто мне кажется, что ты немного путаешься в терминах и понятиях.
А ничего что там так же установленна ISA ? »
Абсолютно ничего страшного.

Delirium, шлюз позволяет обмениваться пакетами с ISP. А маршрутизатор умный и позволяет разграничивать сети.

Выяснилось что на шлюзе уже поднята служба маршрутизации.
В разделе IP маршрутизация добавил ip адрес из подсети 192.168.7.*

Пинги из основной сети (192.168.50.*) в сеть 192.168.7.* стали ходить. А вот из 192.168.7.* в 192.168.50.* нет...

Microsoft Windows [Версия 5.2.3790]
(С) Корпорация Майкрософт, 1985-2003.

C:\>route print

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10003 ... ...... Intel(R) PRO/1000 MT Network Connection
0x10004 ... ...... Marvell Yukon 88E8050 PCI-E ASF Gigabit Ethe
rnet Controller
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 wan ip wan ip 10
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.50.0 255.255.255.0 192.168.50.244 192.168.50.244 1
192.168.50.244 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.50.255 255.255.255.255 192.168.50.244 192.168.50.244 1
192.168.7.0 255.255.255.0 192.168.7.99 192.168.50.244 1
192.168.7.99 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.7.255 255.255.255.255 192.168.7.99 192.168.50.244 1
wan ip 255.255.255.240 wan ip wan ip 10
wan ip 255.255.255.255 127.0.0.1 127.0.0.1 10
wan ip 255.255.255.255 wan ip wan ip 10
224.0.0.0 240.0.0.0 192.168.50.244 192.168.50.244 1
224.0.0.0 240.0.0.0 wan ip wan ip 10
255.255.255.255 255.255.255.255 192.168.50.244 192.168.50.244 1
255.255.255.255 255.255.255.255 wan ip wan ip 1
Основной шлюз: wan ip
===========================================================================
Постоянные маршруты:
Отсутствует

было бы классно показать правила файервола и правила маршрутизации в ISA.
ну и Monitoring - Logging бы тоже не помешал.

В логах только один алерт:

ISA Server detected a network adapter connected to multiple networks: Address 192.168.50.244 belongs to network 'Internal' and address 192.168.7.99 belongs to network 'External'. Verify that all the IP addresses on the network adapter are in the same network, or change the IP addresses on the network adapter.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".

В ISA правил для сетей всего три:

1. NAT - Internal, VPN to -> External
2. Route - Local Host to -> All Networks
3. для VPN

В логах только один алерт: »
я про алерты не спрашивала.
да и по поводу этого алерта тоже уже писала.
1. NAT - Internal, VPN to -> External
2. Route - Local Host to -> All Networks
3. для VPN »
ну а правила файервола?

А вот из 192.168.7.* в 192.168.50.* нет... »
с подсети 7.* также выложи tracert 192.168.50.***, увидишь, где затыкается. А вообще, как сказала cameron, мониторинг должен показать, почему пакеты не идут.

Logging Показал что запросы блокировал ISA Firewall. Создал правило вида 192.168.7.0-192.168.7.255 разрешён весь трафик в 192.168.50.0-192.168.50.255

Теперь всё работает.
Спасибо Вам!!!

Коллеги, я поспешил.

На следующий день маршрутизация упала. Пингуется только один хост из 192.168.7.* подсети. Пинги к остальным хостам не проходят (раньше проходили). Monitoring говорит что всё нормально и ссылается на правила которые я создал в Firewall.:

192.168.50.0-192.168.50.255 Allow All Traffic to 192.168.7.0-192.168.7.255
192.168.7.0-192.168.7.255 Allow All Traffic to 192.168.50.0-192.168.50.255

Помогите пожалуйста.