ISA 2006 и две внешние сети
 

Ребят помогите пожалуйста. Имею внутреннюю сеть 192.168.1.1, имею сайт корпоративный на 10.10.1.1, и имею канал интернета. Настройки адаптеров:
Внутренняя
ИП 192.168.1.1
Маска 255.255.255.0
Интернет
ИП *.*.1.10
Маска 255.255.255.0
Шлюз *.*.1.1
Днс 8.8.8.8
Адаптер который смотрит на корпоратив
ИП 10.10.1.10
Маска 255.255.255.0
Шлюз 10.10.1.3 (свич от основного предприятия с таким диапазоном для нас)
Сделал правило всех выпускать в сеть внешнюю, интернет раздает нормально.
Создал сеть с диапазоном 10.10.1.1-10.10.1.254, доступ к корпоративу с внутренней сделал через нат. Пробую трассировку 8.8.8.8 а он идёт через сетевую которая смотрит в корпоратив. Отключаю интернет трассировка идёт правильно. Но при попытке зайти на корпоративный сайт пишет 12206 ошибку. Прописать через какой адаптер ходить можно же через route add? Может я что то упустил или пропустил?
Корпоративная сеть стоит самая верхняя

Сделал локальную сеть первой, вот сообщение микрософта
Было DMZ сеть, потом локал, а потом интернет, поднял локалку в верх, инет вторая по очереди, инет последняя, все равно 12206. и как только включаю сеть DMZ падает конект к интернету, отключил зону dmz совсем, пробую просто сервер выпустить в инет, ошибка такая же. По трасеровке путь правильно идет

Правильно я понял что в ISA сервер воткнуто три сетевые карты, на двух из которых настроен основной шлюз???

Да

Основной шлюз может быть только один.
Подсеть 10.10.1.0 я так понимаю в интернет выходит не через Вашу ISA а через маршрутизатор с адресом 10.10.1.3 правильно?
У Вас есть доступ к маршрутизатору 10.10.1.3 или нет?

Стоял нод32 с своим фаерволом, нод выключал все равно не работало. Снес нод в инет начал выпускать. но в третью сеть не пускает.
Если отключена внутрення сеть которая смотрит в dmz то и локалка и инет работает, только включаю dmz сразу все ломаться на нее, и пытаются через нее в интернет выйти
Она не в интернете, поднят web сервер для внутреннего использования, доступа к сожелению к нему нет

Может есть смысл перейти на форефронт и 2008? Если там получится реализовать это все

Т.е. из подсети 10.10.1.0 выхода в Интернет нет правильно?

Да, в сети 10.10.1.0 полностью принадлежит нам, через адаптер 10.10.1.10 выходим в сеть 10.10.2.0 в которой в которой крутится корпоратив на 10.10.2.1

занятная топология.
давайте пробовать сделать так:
1. удаляете шлюз с интерфейса 10.10.1.10 и вместо этого пишите route add
2. в DHCP сервере вашей сети (192.168.1.0) указываете опцию 249 (или 121) и туда вписываете маршрут 10.10.1.0/24 10.10.1.10
3. указываете диапазон 10.10.1.0/24 как Internal для ISA.
4. рисуете правило FW в ISA для прохождения траффика между 192.168.1.0/24 и 10.10.1.0/24 и использованием SUBNETS!, ставите его первым.
5. удаляете какой-то там NAT в networks.
6. удаляете любой антивирус с хоста с MS ISA и никогда больше туда его не ставите.

пишите что получилось по каждому шагу.

упс, упустила эту вводную.
тогда нарисуйте топологию, с адресацией и устройствами.

Действительно, вот я дурак, нужно было сразу схему нарисовать
Вот добавил такой маршрут route add -p 10.10.2.0 mask 255.255.255.0 10.10.1.3

А на cisco в качестве шлюза прописан адрес 10.10.1.10 или нет?

Я к cisco доступа не имею, и не знаю что там прописано(

Убрал на одной сети шлюз и пошло все как по маслу, кого нужно выпускает кого не надо не выпускает, всем спасибо за помощь. Есть ещё один вопрос, можно как то сделать что бы при входе на сервер 10.10.2.1 показывались адреса клиентов с подменой ip. Например у пользователя 192.168.1.12 а на порте сервера он был виден как 10.10.1.12. Сейчас всех видно на ip сервера 10.10.1.10.

это вы NAT не выключили.
у пользователя IP нет.
впрочем то, что вы хотите сделать можно, через ковыряние NAT pool'ов на циске.
вам с исой - никак.

Я Вам сразу написал что шлюз может быть только один.
Нет.
Это потому что у Вас отношение между сетями указано как NAT. Если бы был доступ к cisco, то на ней можно было бы прописать маршрут в подсеть 192.168.1.0 и сменить отношение между сетями на Route и тогда клиенты приходили бы на сервер каждый со своим адресом.