[mx1805]

Вот примеры трассировок через имеющийся линуксовый шлюз:

Код:

tracert 10.68.4.1

Tracing route to 10.68.4.1 over a maximum of 30 hops

  1    <1 ms    <1 ms    <1 ms  10.68.0.1
  2     1 ms    <1 ms    <1 ms  78.X.X.97
  3     2 ms     2 ms     2 ms  10.10.10.2
  4   620 ms   617 ms   616 ms  10.68.4.1

Trace complete.

Или с самого шлюза:

Код:

# traceroute 10.68.4.1
traceroute to 10.68.4.1 (10.68.4.1), 30 hops max, 40 byte packets
 1  78.X.X.97 (78.X.X.97)  0.696 ms  0.699 ms  0.545 ms
 2  10.10.10.2 (10.10.10.2)  2.262 ms  3.188 ms  2.820 ms
 3  192.168.97.22 (192.168.97.22)  630.748 ms  617.407 ms  645.132 ms

Да, полагаю, со стороны как провайдера, так и нас что-то поменять можно, но так как все эти дела прописаны в договорах, то что-то изменить теперь можно будет лишь в 2013 году - слишком неповоротливая у нас бюррократическая машина. Вот и приходится извращаться.

[cameron]

что, как я вижу, должно быть на TMG.

route add 10.68.x.0 mask 255.255.255.0 10.68.0.1 /p

эти же сети должны быть прописаны в Intenal сети TMG.

в FW policy должно быть правило:

allow - %SUBNETS%/internal/localhost - %SUBNETS%/internal/localhost - all users (что самое интересное, по логике этого правила быть не должно, потому что оно не нужно, но у меня не заработало без него).

после чего проверяйте трассировку с клиента, включайте Logging на его IP и смотрите коды результата.

соотно что там нужно наколдовать на кошках, которые бегают (судя по трассировке) через аж две приватных сетки - я не знаю.
да, трасерт со шлюза загадочен. вам так не кажется?

[mx1805]

Цитата cameron:

route add 10.68.x.0 mask 255.255.255.0 10.68.0.1 /p »

Не совсем понял, почему 10.68.0.1? Этот адрес принадлежит Линукс-шлюзу, который я должен убрать, т.е. вместо него должен встать TMG, который сейчас 10.68.0.101. Может быть нужно 78.Х.Х.97?

Цитата cameron:

эти же сети должны быть прописаны в Intenal сети TMG. »

Если создана %SUBNET%, то эту подсеть прописать в Internal не даёт, говорит сети не должны пересекаться.

Нужно ли делать сетевое правило?

[cameron]

Цитата mx1805:

Может быть нужно 78.Х.Х.97? »

а гейтом для неё не он же случаем?
ибо мне думается что так не сработает.

Цитата mx1805:

Если создана %SUBNET%, то эту подсеть прописать в Internal не даёт, говорит сети не должны пересекаться. »

что-то вы неправду говорите.
такое поведение свойственно для Network, а я говорю о Toolbox-networks objects - SubNets

[mx1805]

Да, 78.X.X.97 для сети 10.68.[4,5,6].0/24 является гейтом.
После добавления подсети 10.68.6.0/24 в сеть Внутренняя, появилось такое сообщение.

Код:

Описание: Сеть "Внутренняя" не связана с принадлежащими к ней сетевыми платами. 
Диапазоны в плате "Подключение по локальной сети 3", не принадлежащие к сети "Внутренняя": 10.68.6.1-10.68.6.255; 
Правильная настройка сети подразумевает, что диапазоны IP-адресов каждой сети уровня массива должны включать все IP-адреса, маршрутизируемые через сетевые платы этой сети согласно их таблицам маршрутизации. В противном случае допустимые пакеты могут быть отброшены как поддельные. 
Обратите внимание, что это событие может однократно создаваться после добавления маршрута, создания удаленной сети или настройки балансировки сетевой нагрузки. Его можно проигнорировать, если оно больше не возникнет. 


Таблица маршрутизации сетевой платы ISP1 включает диапазоны IP-адресов, не определенные в сети уровня массива Внешняя, к которой она привязана. По этой причине, когда пакеты будут проходить через данную сетевую плату из указанных ниже диапазонов IP-адресов, либо к этим диапазонам, они будут считаться поддельными и отбрасываться. Для устранения данной неполадки добавьте отсутствующие диапазоны IP-адресов в сеть массива. 
Пакеты из следующих диапазонов IP-адресов будут считаться поддельными и отбрасываться: 
Внутренняя:10.68.6.1-10.68.6.255; 

Таблица маршрутизации сетевой платы ISP2 включает диапазоны IP-адресов, не определенные в сети уровня массива Внешняя, к которой она привязана. По этой причине, когда пакеты будут проходить через данную сетевую плату из указанных ниже диапазонов IP-адресов, либо к этим диапазонам, они будут считаться поддельными и отбрасываться. Для устранения данной неполадки добавьте отсутствующие диапазоны IP-адресов в сеть массива. 
Пакеты из следующих диапазонов IP-адресов будут считаться поддельными и отбрасываться: 
Внутренняя:10.68.6.1-10.68.6.255;

[cameron]

Цитата mx1805:

Да, 78.X.X.97 для сети 10.68.[4,5,6].0/24 является гейтом. »

что для TMG явлется гейтом? в сети ISP1?

Цитата mx1805:

После добавления подсети 10.68.6.0/24 в сеть Внутренняя, появилось такое сообщение. »

вообще похоже что я вас обманула, такой финт не прокатит, потому что гейтом для этих сетей является внеший адрес, а не внутренний, поэтому в интернал их вписывать не нужно.
в общем уберите эти диапазоны из internal сети , оставьте только FW правила регламентирующие хождение траффика между сабнетами и internal и запись в таблице маршрутизации.
что будет?

[mx1805]

cameron, прошу прощения за задержку.
Прежде всего хочу выразить вам огомную благодарность в помощи! Спасибо! Победил!


Этот же шлюз (78.X.X.97) является гейтом для ISP1.

Удалил из меню "сети" всё, что делал раньше касательно подразделений. Создал в сетевых объектах подсети подразделений. Добавил статические маршруты, и настроил маршрутизацию из сети Внутренняя к подсетям подразделений. Ну и сделал сетевое правило "Разрешать весь исходящий трафик из сетей Внутренняя, локальный компьютер, подразделения[1,2,3] в сети Внутренняя, локальный компьютер, подразделения[1,2,3] всем пользователям" и оно заработало.

Ещё раз большое спасибо!