Ребят помогите пожалуйста. Имею внутреннюю сеть 192.168.1.1, имею сайт корпоративный на 10.10.1.1, и имею канал интернета. Настройки адаптеров:
Внутренняя
ИП 192.168.1.1
Маска 255.255.255.0
Интернет
ИП *.*.1.10
Маска 255.255.255.0
Шлюз *.*.1.1
Днс 8.8.8.8
Адаптер который смотрит на корпоратив
ИП 10.10.1.10
Маска 255.255.255.0
Шлюз 10.10.1.3 (свич от основного предприятия с таким диапазоном для нас)
Сделал правило всех выпускать в сеть внешнюю, интернет раздает нормально.
Создал сеть с диапазоном 10.10.1.1-10.10.1.254, доступ к корпоративу с внутренней сделал через нат. Пробую трассировку 8.8.8.8 а он идёт через сетевую которая смотрит в корпоратив. Отключаю интернет трассировка идёт правильно. Но при попытке зайти на корпоративный сайт пишет 12206 ошибку. Прописать через какой адаптер ходить можно же через route add? Может я что то упустил или пропустил?
Корпоративная сеть стоит самая верхняя

Сделал локальную сеть первой, вот сообщение микрософта (https://support.microsoft.com/en-us/kb/296202)
Было DMZ сеть, потом локал, а потом интернет, поднял локалку в верх, инет вторая по очереди, инет последняя, все равно 12206. и как только включаю сеть DMZ падает конект к интернету, отключил зону dmz совсем, пробую просто сервер выпустить в инет, ошибка такая же. По трасеровке путь правильно идет

Шлюз 10.10.1.3 (свич от основного предприятия с таким диапазоном для нас) »
Правильно я понял что в ISA сервер воткнуто три сетевые карты, на двух из которых настроен основной шлюз???

Правильно я понял что в ISA сервер воткнуто три сетевые карты, на двух из которых настроен основной шлюз??? »
Да

Да »
Основной шлюз может быть только один.
Адаптер который смотрит на корпоратив
ИП 10.10.1.10
Маска 255.255.255.0
Шлюз 10.10.1.3 »
Подсеть 10.10.1.0 я так понимаю в интернет выходит не через Вашу ISA а через маршрутизатор с адресом 10.10.1.3 правильно?
У Вас есть доступ к маршрутизатору 10.10.1.3 или нет?

Подсеть 10.10.1.0 я так понимаю в интернет выходит не через Вашу ISA а через маршрутизатор с адресом 10.10.1.3 правильно?
У Вас есть доступ к маршрутизатору 10.10.1.3 или нет? »

Стоял нод32 с своим фаерволом, нод выключал все равно не работало. Снес нод в инет начал выпускать. но в третью сеть не пускает.
Если отключена внутрення сеть которая смотрит в dmz то и локалка и инет работает, только включаю dmz сразу все ломаться на нее, и пытаются через нее в интернет выйти
Она не в интернете, поднят web сервер для внутреннего использования, доступа к сожелению к нему нет

Может есть смысл перейти на форефронт и 2008? Если там получится реализовать это все

Она не в интернете, »
Т.е. из подсети 10.10.1.0 выхода в Интернет нет правильно?

Да, в сети 10.10.1.0 полностью принадлежит нам, через адаптер 10.10.1.10 выходим в сеть 10.10.2.0 в которой в которой крутится корпоратив на 10.10.2.1

занятная топология.
давайте пробовать сделать так:
1. удаляете шлюз с интерфейса 10.10.1.10 и вместо этого пишите route add
2. в DHCP сервере вашей сети (192.168.1.0) указываете опцию 249 (или 121) и туда вписываете маршрут 10.10.1.0/24 10.10.1.10
3. указываете диапазон 10.10.1.0/24 как Internal для ISA.
4. рисуете правило FW в ISA для прохождения траффика между 192.168.1.0/24 и 10.10.1.0/24 и использованием SUBNETS!, ставите его первым.
5. удаляете какой-то там NAT в networks.
6. удаляете любой антивирус с хоста с MS ISA и никогда больше туда его не ставите.

пишите что получилось по каждому шагу.

Да, в сети 10.10.1.0 полностью принадлежит нам, через адаптер 10.10.1.10 выходим в сеть 10.10.2.0 в которой в которой крутится корпоратив на 10.10.2.1 »
упс, упустила эту вводную.
тогда нарисуйте топологию, с адресацией и устройствами.

Действительно, вот я дурак, нужно было сразу схему нарисовать
Вот добавил такой маршрут route add -p 10.10.2.0 mask 255.255.255.0 10.10.1.3
http://savepic.ru/9462907.jpg

А на cisco в качестве шлюза прописан адрес 10.10.1.10 или нет?

А на cisco в качестве шлюза прописан адрес 10.10.1.10 или нет? »
Я к cisco доступа не имею, и не знаю что там прописано(

Убрал на одной сети шлюз и пошло все как по маслу, кого нужно выпускает кого не надо не выпускает, всем спасибо за помощь. Есть ещё один вопрос, можно как то сделать что бы при входе на сервер 10.10.2.1 показывались адреса клиентов с подменой ip. Например у пользователя 192.168.1.12 а на порте сервера он был виден как 10.10.1.12. Сейчас всех видно на ip сервера 10.10.1.10.

Сейчас всех видно на ip сервера 10.10.1.10. »
это вы NAT не выключили.
Например у пользователя 192.168.1.12 а на порте сервера он был виден как 10.10.1.12. »
у пользователя IP нет.
впрочем то, что вы хотите сделать можно, через ковыряние NAT pool'ов на циске.
вам с исой - никак.

Убрал на одной сети шлюз и пошло все как по маслу, »
Я Вам сразу написал что шлюз может быть только один.
а на порте сервера он был виден как 10.10.1.12. »
Нет.
Сейчас всех видно на ip сервера 10.10.1.10. »
Это потому что у Вас отношение между сетями указано как NAT. Если бы был доступ к cisco, то на ней можно было бы прописать маршрут в подсеть 192.168.1.0 и сменить отношение между сетями на Route и тогда клиенты приходили бы на сервер каждый со своим адресом.