Маршруты ISA 2004
 

Народ, подскажите как реализовать такую возможность:
Имеется Сервер на стороне "А", его адрес 192.168.2.10. В этот же комп воткнута сетевая карта и в нее dsl модем. Его адрес 192.168.2.2, шлюзом у модема стоит 192.168.2.1.
Данный модем "В" соединен с другим модемом(за 10 км), его адрес 192.168.1.1. Модем "В" воткнут в наш свитч и с прокси я его пингую (192.168.1.1).
Мне необходимо прописать на ISA правила для того чтобы связь работала туда-сюда.
Как только я прописываю в Internal 192.168.1.0-255 - пинг тут же падает.
при попытке прописать руками route -p add 192.168.1.0 mask 255.255.255.0 192.168.1.1 - выдается сообщение о неверное метрике или настройках.
Как мне заставить ISA видеть сетку стороны "A"?

Возможно вы забыли задать отношения сетей ROUTE / NAT

и можно ipconfig /all с ISA-SERVER

ISA 200* SE не умеет работать с сетью за сетью. Т.е. когда на одном ее интефейсе прописаны как бы две сети!
Internal - это сеть, которую защищает непосредственно ISA, т.е. привязывается к интерфейсу сетевухи.

вы сами поняли, что написали...

Может стоит создать VPN тунель...

- с утра понял :) вчера с температурой сидел писал :).
- тогда может меня спасет подключение модема на моей стороне непосредственно на сетевую карту прокси? Тогда получится еще одна подсеть...

Структура сети стандартная: одна внутренняя сеть, перед ней ИСА, далее Интернет.
Вопрос: при добавлении второй внутренней сети нужно ли на ИСА сервере поднимать виндовую маршрутизацию и удаленый доступ?

Не не нужно. Это все настраивается через ISA Server.

И при поднятии ISA виндовая маршрутизация отключается :)

1. Нужно ли создать правило для роутинга между внутренними подсетями?
2. Есть ли разница между добавлением второй подсети путем указания сетевой карты в свойствах "Внутренняя сеть" и путем создания новой сети?

Добавлял вторую подсеть двумя вышеописаными способами, НО трафик между внутренними подсетями не ходит. :search:

ДА. Ну и правила доступа аля Internal to Perimetr1 All users и наоборот

Есть но не могу грамотно объяснить - если так интересно почитайте Шиндера.

Боюсь что вы ошибаетесь. В вышеуказанной книжке про это тоже сказано. Я лично там статические маршруты прописываю.

Да еще sacredboy, а вторая локалка на отдельной сетевой?

Вот еще прочитай http://oszone.net/4878/ISA_Server для понимания что такое сеть в ISA Server

не буду спорить, возможно. просто я привык прописывать новые маршруты через route -p add ... :)

Совсем забыл уточнить:
сначала сеть была такая
Подсеть A --- [ИСА] --- Интернет
а после добавления второй подсети стала такая
Подсеть A --- [ИСА]--- Интернет
Подсеть Б ------+

Сейчас не ходит трафик между подсетями, хотя сама ИСА вроде как во внутренний трафик не вмешивается. Что еще надо сделать, ведь не создавать же в самом деле правило доступа для всего трафика из внутренней сети обратно во внутреннюю сеть?

это вторая сетевая в исе или сеть за сетью?

У клиентов в подсети Б шлюз прописан какой?

С исы ваще хоть что то пингуется в подсети Б?

А после этих приседаний сервак не перегружали - у меня пару раз впн - не фурычил пока не перезагружал.

- внутренняя сеть у исы может быть только одна.
Все остальные это сети - периметры.
Каждая сетевая это тоже отдельная сеть.
Тут мужик объясняет http://isadocs.ru/articles/Understan...orks-v1-1.html.

В вашем случаи нужно повесить ыще одну сетевую, создать новую сеть в исе, задать правила маршрутизации между внутренней и вновь созданной сетью и в конце создать правила доступа между сетями.

Подсеть Б это вторая сетевая в ИСЕ.
Подсеть A ---2NIC[ИСА]1NIC--- Интернет
Подсеть Б -----3NIC

IP адрес карты для подсети Б, т.е. у клиентов подсети А шлюз 192.168.1.0 а у клиентов Б соответственно 192.168.2.0.

Ну вообще то изначально с ИСЫ и на ИСУ ничего не пингуется, НО если создать правило то пингуются обе подсети.

Ну это само собой.

Дык сетевая карта для подсети Б уже есть. В ИСЕ определял обе сети как разные, создавал правило [весь трафик - из сети А,Б - в сеть А,Б - для всех], НО проблему не решило. При опредлении обеих подсетей как единой внутренней создавать правило ваще нет смысла.

а отношения сетей задавал маршрут или нат?

Типа того: Сеть Б - Внутрення - Маршрут

artem_ насчет отношений это ты верно подметил. Я как то упустил это из виду и когда разделил подсети на две внутренние, то отношения между ними в Сетевых правилах не определил.

Вобщем сделал следующее: в сети Внутренняя (та что в Сетях по дефолту) оставил подсеть А, а подсеть Б загнал в созданную сеть Внутренняя 2. Отношения между ними естественно установил - маршрутизация, ну и создал два правила в обе стороны. Только после этого пошел траф.

Непонятно следующее: почему когда я изначально загнал обе подсети в одну Внутреннюю, траф между подсетями не шел, ведь насколько я знаю ИСА во внутренний роутинг не лезет. ?

Дело в том что дело в следующем: объект "Сеть" - иса понимает как совокупность ай пи адресов которые привязаны к одной сетевой - физической. Я там ссылку чуть выше кидал - там как раз это и расписано по человечески.

А вот тебе вырезка из статьи

Если сетевой интерфейс, определенный как корневой Сети брандмауэра ISA, принимает пакет, который напрямую не достижим из этого интерфейса, как определено таблицей маршрутизации Windows, то пакет считается обманным.

Автор: Томас Шиндер (Thomas Shinder)

Вот теперь понятно. Т.е. добавлять подсеть в случае как у меня нужно через созданием отдельной Сети, а не добавлением в общую Внутреннюю Сеть, так?

Да, все правильно