[решено] Маршрут в другую подсеть через шлюз во внутренней подсети

mx1805 · Отправлено: **14:52, 22-12-2011** | #5

cameron, действительно, посмотрел, и мои так могут, но никогда этого не делал, да и так как сейчас сделал пока работает

Как и писал ранее, возник новый вопрос, и тут уже точно должен TMG решать...

У нас есть два Интернет-канала, и балансировку я уже успешно настроил, однако через один из каналов должны идти пакеты с/на подразделения. Схема такая:

Код:

                                                                                                 _________
                                                                                             /--|10.68.4.1|---(10.68.4.0/24)
                                                                      _________             /   |_________|
                                                                     |         |           /     _________
                                                                     |         |----------------|10.68.5.1|---(10.68.5.0/24)
                                                       /--78.X.X.97--|  ISP1   |           \    |_________|
                             _________                /              |         |--( INET )  \    _________
                            |         |              /               |_________|             \--|10.68.6.1|---(10.68.6.0/24)
                            |         |--78.X.X.98--/                 _________                 |_________|
(10.68.0.0/255.255.252.0)---|  TMG    |                              |         |
                            |         |                              |         |
                            |         |------------------------------|  ISP2   |-----( INET )
                            |_________|                              |         |
                                                                     |_________|

С подразделений пакеты поступают на маршрутизатор 10.68.[4,5,6].1 он пробрасывает провайдеру, и от провайдера через маршрутизатор 78.X.X.97 пакеты брасаются на интерфейс TMG 78.X.X.98, который должен пробросить пакеты в сеть 10.68.0.0/22. Ну и, аналогично, в обратную сторону...

Что я сделал:
Создал внешние сети ПОДР1 (10.68.4.0/24), ПОДР2 (10.68.5.0/24), ПОДР3 (10.68.6.0/24)
Набор сетей ПОДРАЗДЕЛЕНИЯ, состоящий из 3-х перечисленных сетей.
Прописал маршруты route add 10.68.[4,5,6].0 mask 255.255.255.0 78.X.X.97
Создал сетевое правило Внутренняя сеть-ПОДРАЗДЕЛЕНИЯ маршрут.
В политику межсетевого экрана добавил правило Разрешить весь исходящий трафик из Внутренняя сеть в сеть ПОДРАЗДЕЛЕНИЯ всем пользователям.

В итоге, получаем следующее:

Код:

Отклоненное соединение SRV-GATE 
Тип журнала: Служба межсетевого экрана 
Состояние: Пакет был удален, поскольку его IP-адрес назначения недоступен.  
Правило: Нет - см. код результата 
Источник: Внутренняя (10.68.1.166:2048) 
Назначение: ПОДР1 (10.68.4.1) 
Протокол: Проверка связи 
 Дополнительные сведения 
Число отправленных байтов: 0 Число полученных байтов: 0
Время обработки: 0ms Первоначальный IP-адрес клиента: 10.68.1.166

Или в имитаторе трафика:

Код:

Разрешенный трафик

Имя правила: Внутренняя сеть-ПОДРАЗДЕЛЕНИЯ 
Порядковый номер правила: 4 

 Additional information 
От: Внутренняя
Кому: ПОДР1
Имя сетевого правила: Внутренняя сеть-ПОДРАЗДЕЛЕНИЯ 
Отношения сетей: Маршрут
Протокол: Нераспознанные IP-данные
Фильтр приложения для правила: 
 

Трафик, разрешенный правилами политики межсетевого экрана, может блокироваться веб-фильтрами или фильтрами приложения.

Что я делаю не так?