ISA 2006 и раздача wi-fi через роутер D-Link DIR-615
 

Здравствуйте!

Помогите пожалуйста с такой проблемой: необходимо выпустить в интернет через wi-fi ноутбуки и мобильные устройства (в том числе на Android). Я в курсе, что тема поднималась неоднократно, однако всё найденное мной мне не помогло. Пожалуйста, помогите кто сможет, уже вторую неделю голову ломаю, и не выходит каменный цветок...

Конфигурация такая:

Wi-fi Clients (192.168.3.0 Net) -> Dir-615 (Lan 192.168.3.1, WAN 192.168.2.1) -> VLAN on DES-1252 (Dlink) -> ISA 2006 -> Internet

Клиенты получают настройки сети по DHCP роутера (он для них и шлюз, и DHCP сервер, и DNS). На WAN интерфейсе роутера прописан шлюзом ISA и DNS провайдера. На ISA в настройках интерфейса, смотрящего на роутер, прописан IP-адрес и маска. На ISA создана сущность "сеть", в неё записаны диапазоны 192.168.3.0-192.168.3.255 и 192.168.2.0-192.168.2.255, отношения сетей wi-fi и внешняя установлены как NAT, создано правило из этой сети во внешнюю все протоколы для всех пользователей. Пинги вовне идут исправно, что с роутера, что с устройств. Аська работает, но как-то однобоко: я статусы контакт листа вижу, кто в сети, кто нет, а я для контактов не в сети, при этом можем переписываться. Web-сайты не открываются вообще. Никак. Помогите настроить, скажите, где накосячил?

Ну DHCP вполне допускаю, а вот про DNS это вы загнули.... ;) Ваш роутер не может выполнять функцию DNS сервера по причине отсутствия такой функциональности в принципе.

ipconfig /all с исы выложите сюда.

И на всякий случай скриншот правила с каждой закладной в отдельности.

Ну, я имел в виду, что не он сам DNS, а передаёт данные об NS серверах. ipconfig и скрины в прикреплённых файлах.

переведите ваш длинк в режим AP.
DHCP, при желании, установите на ISA, пусть вещает только в нужный VLAN.
соотно 192.168.3.0/24 заводите интефейс на ISA (сейчас у вас там зачем-то 192.168.2.0/24), рулите траффиком как хочется.
всё.

А зачем мне ещё один DHCP, к тому же на ISA???

192.168.2.0 - там находится D-Link Wi-Fi, потому он на ISA. На роутере NAT. Теоретически, запрос, отправленный из сети 192.168.3.0 преобразуется, и ISA его получает как бы от 192.168.2.0. Или я не прав?

в вашем случае .2.41 если уж быть точным.
но, как видимте, что-то в вашем королевстве не работает, более того, вы сознательно усложнили конструкцию, и не позаботились показать диагностичесике моменты, а именно:
- tracert с клиента
- Logging с ISA.
зато вместо этого напихали вагон никому ненужных (они не информативны и не отражают аж ничего по-сути) БМПшек в архив, это да.

поэтому вместо того что бы телепатировать что именно у вас не работает, я предлагаю не плодить сущности, а сделать нормальное штатное решение.

Ну, во-первых, что попросили, я то и выложил...
Во-вторых, я не отказывался предоставлять диагностику, скажите что Вам нужно, если сможете помочь!
tracert с клиента сделал, один при отсутствии HTTP, второй при его наличии. Это два разных подключения. Вписывание в правила для второго подключения новой сети ничего не даёт. Какой логгинг нужно выложить? При попытке соединения клиента или какой другой? Извините за некоторую тормознутость - жара...

Телепатия тут ни при чём. Но это отход от темы. Попробовал сделать через AP. Результат тоже отрицательный: пинги с роутера идут, но интернета на клиентах Wi-Fi нет. При этом с ISA и трасерт и пинги до AP идут...
Вырисовывется не очень элегантное, но более "прямое" решение - пустить Vlan2 (где точки Wi-Fi) через другой "белый" IP напрямую в Интернет. Но хочется разобраться, что не так я делаю с ISA.
Хозяйство мне досталось в наследство немного странное, не всегда люди всё решали очевидными методами. Не понятно, почему одну сеть (192.168.1.x) ISA выпускает со свистом, и SecureNat клиентов и авторизованных, а другую (192.168.2.x) ни в какую не хочет. Хотя всё настроено одинаково. Может кто-нибудь может помочь разобраться, где зарыли собаку?

скрин Networks из ISA
и ipconfig /all
??? это что?

ipconfig уже делал, выше в этой теме, не поменялось ничего. Скрин networks прилагаю. Единственное, что адреса 192.168.3.0 у меня были забиты в сеть wi-fi. С такой конфигурацией как сейчас работает wifi через роутер, которому присвоен статический ip из сети 192.168.1.0, а на самом роутере поднят DHCP с сетью 192.168.3.0 для раздачи клиентам. Ещё прилагаю Сетевые правила на ISA.

Вы же писали:
Я сделал. Или мы опять друг друга не поняли?

- что за волшебный "роутер"?!
- скрин закладки "сетевые правила"
- ещё раз ipcondig /all с ISA.
- ipconfig /all с клиента wifi подключенного через AP.
- tracert ya.ru с клиента подключенного через AP.

P.S. не нужно замазывать внутренние сети.

Скрин приложил к предыдущему сообщению. Что за роутер не знаю, вообще, по большому счёту, глобально с сервером не разбирался пока... Но вроде таких адресов нет на первый взгляд, да и не пингуется он, в DNS его нет... Всю диагностику сделаю вечером, и приложу: сейчас не дают :)
Да я понимаю, про внутренние сети, это так, по привычке скорее...

И так.
ipconfig на ISA сделал.
ipconfig на клиенте сделал. Два файла: _work - когда работает, _fail - когда нет. Подключено через одну и туже точку, с изменёнными параметрами WAN интерфейса (менял IP, соответственно, и DNS), через два разных порта на роутере (который DES-1252): один порт входит во Vlan1 (на ISA сеть 192.168.1.0/24), другой во Vlan2 (на ISA сеть 192.168.2.0/24), оба не тагированные.
tracert с клиента сделал. Тоже два файла, маркировка та же. Условия подключения аналогичны.

Dan78, идентичны.
не вижу в нём первого хопа, куда он подевался?
он должен быть как ни крути.
и что, собственно, fail?
впервые вижу что бы роутер в режиме точки мог работать как DHCP сервер.
да, вы не заметили мой вопрос:
?

P.S. ipconfig и tracert ввиде аттачей больше смотреть не буду.
откройте для себя теги CODE или QUOTE и буфер обмена в CMD.

Всем спасибо. Проблема решена. Сеть выпущена через оффтопик прокси и фаервол squid+iptables на linux напрямую, в обход ISA.