|
Компьютерный форум OSzone.net » Серверные продукты Microsoft » ISA Server / Microsoft Forefront TMG » [решено] Маршрут в другую подсеть через шлюз во внутренней подсети |
|
[решено] Маршрут в другую подсеть через шлюз во внутренней подсети
|
Новый участник Сообщения: 41 |
Профиль | Отправить PM | Цитировать Здравствуйте!
Пробовал решить проблему по подобным темам на разных форумах, однако, то ли я чего не замечаю, то ли лыжи не едут... В общем надежда самостоятельно решить проблему у меня улетучилась. Вот мой вопрос: Есть внутренняя сеть 10.68.0.0/255.255.252.0 Адрес шлюза 10.68.0.101 В сети есть маршрутизатор 10.68.0.21, а за ним сеть 10.67.0.0/255.255.0.0 В общем нужно ВЕСЬ трафик в/из 10.67.0.0/255.255.0.0, поступающий на шлюз 10.68.0.101 заруливать через 10.68.0.21 Что я сделал: Добавил на шлюзе 10.68.0.101 маршут route add 10.67.0.0 mask 255.255.0.0 10.68.0.21 В TMG сделал подсеть PODRAZDEL 10.67.0.0-10.67.255.255 Настроил отношение сетей Route Внутренняя сеть - PODRAZDEL В политике межсетевого экрана прописал правило Разрешать весь исходящий трафик из Внутренняя сеть в PODRAZDEL всем пользователям Однако, при попытке какого либо запроса, например к 10.67.0.1, получаю следующее: Отклоненное соединение SRV-GATE Тип журнала: Служба межсетевого экрана Состояние: Пакет был удален, поскольку его IP-адрес назначения недоступен. Правило: Нет - см. код результата Источник: Внутренняя (10.68.1.166:2048) Назначение: PODRAZDEL (10.67.0.1) Протокол: Проверка связи Дополнительные сведения Число отправленных байтов: 0 Число полученных байтов: 0 Время обработки: 0ms Первоначальный IP-адрес клиента: 10.68.1.166 При TCP трафике с 10.68.1.166:* к 10.67.0.13:21 Разрешенный трафик Запрещенный трафик — не удалось разрешить имя URL-адреса назначения Имя правила: All traf to PODRAZDEL Порядковый номер правила: 3 Additional information От: Внутренняя Кому: PODRAZDEL Имя сетевого правила: PODRAZDEL-Внутренняя Отношения сетей: Маршрут Протокол: FTP Фильтр приложения для правила: Фильтр FTP-доступа Трафик, разрешенный правилами политики межсетевого экрана, может блокироваться веб-фильтрами или фильтрами приложения. Если маршут route add 10.67.0.0 mask 255.255.0.0 10.68.0.21 прописать на локальной машине, то трафик между этой машиной и удалённой подсетью ходит без проблем. |
|
Отправлено: 11:49, 21-12-2011 |
Новый участник Сообщения: 41
|
Профиль | Отправить PM | Цитировать Вот примеры трассировок через имеющийся линуксовый шлюз:
tracert 10.68.4.1 Tracing route to 10.68.4.1 over a maximum of 30 hops 1 <1 ms <1 ms <1 ms 10.68.0.1 2 1 ms <1 ms <1 ms 78.X.X.97 3 2 ms 2 ms 2 ms 10.10.10.2 4 620 ms 617 ms 616 ms 10.68.4.1 Trace complete. Да, полагаю, со стороны как провайдера, так и нас что-то поменять можно, но так как все эти дела прописаны в договорах, то что-то изменить теперь можно будет лишь в 2013 году - слишком неповоротливая у нас бюррократическая машина. Вот и приходится извращаться. |
Отправлено: 10:24, 23-12-2011 | #11 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 4677
|
Профиль | Отправить PM | Цитировать что, как я вижу, должно быть на TMG.
route add 10.68.x.0 mask 255.255.255.0 10.68.0.1 /p эти же сети должны быть прописаны в Intenal сети TMG. в FW policy должно быть правило: allow - %SUBNETS%/internal/localhost - %SUBNETS%/internal/localhost - all users (что самое интересное, по логике этого правила быть не должно, потому что оно не нужно, но у меня не заработало без него). после чего проверяйте трассировку с клиента, включайте Logging на его IP и смотрите коды результата. соотно что там нужно наколдовать на кошках, которые бегают (судя по трассировке) через аж две приватных сетки - я не знаю. да, трасерт со шлюза загадочен. вам так не кажется? |
------- Отправлено: 10:43, 23-12-2011 | #12 |
Новый участник Сообщения: 41
|
Профиль | Отправить PM | Цитировать Цитата cameron:
Цитата cameron:
Нужно ли делать сетевое правило? |
||
Отправлено: 11:36, 23-12-2011 | #13 |
Ветеран Сообщения: 4677
|
Профиль | Отправить PM | Цитировать Цитата mx1805:
ибо мне думается что так не сработает. Цитата mx1805:
такое поведение свойственно для Network, а я говорю о Toolbox-networks objects - SubNets |
||
------- Отправлено: 11:58, 23-12-2011 | #14 |
Новый участник Сообщения: 41
|
Профиль | Отправить PM | Цитировать Да, 78.X.X.97 для сети 10.68.[4,5,6].0/24 является гейтом.
После добавления подсети 10.68.6.0/24 в сеть Внутренняя, появилось такое сообщение. Описание: Сеть "Внутренняя" не связана с принадлежащими к ней сетевыми платами. Диапазоны в плате "Подключение по локальной сети 3", не принадлежащие к сети "Внутренняя": 10.68.6.1-10.68.6.255; Правильная настройка сети подразумевает, что диапазоны IP-адресов каждой сети уровня массива должны включать все IP-адреса, маршрутизируемые через сетевые платы этой сети согласно их таблицам маршрутизации. В противном случае допустимые пакеты могут быть отброшены как поддельные. Обратите внимание, что это событие может однократно создаваться после добавления маршрута, создания удаленной сети или настройки балансировки сетевой нагрузки. Его можно проигнорировать, если оно больше не возникнет. Таблица маршрутизации сетевой платы ISP1 включает диапазоны IP-адресов, не определенные в сети уровня массива Внешняя, к которой она привязана. По этой причине, когда пакеты будут проходить через данную сетевую плату из указанных ниже диапазонов IP-адресов, либо к этим диапазонам, они будут считаться поддельными и отбрасываться. Для устранения данной неполадки добавьте отсутствующие диапазоны IP-адресов в сеть массива. Пакеты из следующих диапазонов IP-адресов будут считаться поддельными и отбрасываться: Внутренняя:10.68.6.1-10.68.6.255; Таблица маршрутизации сетевой платы ISP2 включает диапазоны IP-адресов, не определенные в сети уровня массива Внешняя, к которой она привязана. По этой причине, когда пакеты будут проходить через данную сетевую плату из указанных ниже диапазонов IP-адресов, либо к этим диапазонам, они будут считаться поддельными и отбрасываться. Для устранения данной неполадки добавьте отсутствующие диапазоны IP-адресов в сеть массива. Пакеты из следующих диапазонов IP-адресов будут считаться поддельными и отбрасываться: Внутренняя:10.68.6.1-10.68.6.255; |
Отправлено: 14:31, 23-12-2011 | #15 |
Ветеран Сообщения: 4677
|
Профиль | Отправить PM | Цитировать Цитата mx1805:
Цитата mx1805:
в общем уберите эти диапазоны из internal сети , оставьте только FW правила регламентирующие хождение траффика между сабнетами и internal и запись в таблице маршрутизации. что будет? |
||
------- Отправлено: 14:46, 23-12-2011 | #16 |
Новый участник Сообщения: 41
|
Профиль | Отправить PM | Цитировать cameron, прошу прощения за задержку.
Прежде всего хочу выразить вам огомную благодарность в помощи! Спасибо! Победил! Этот же шлюз (78.X.X.97) является гейтом для ISP1. Удалил из меню "сети" всё, что делал раньше касательно подразделений. Создал в сетевых объектах подсети подразделений. Добавил статические маршруты, и настроил маршрутизацию из сети Внутренняя к подсетям подразделений. Ну и сделал сетевое правило "Разрешать весь исходящий трафик из сетей Внутренняя, локальный компьютер, подразделения[1,2,3] в сети Внутренняя, локальный компьютер, подразделения[1,2,3] всем пользователям" и оно заработало. Ещё раз большое спасибо! |
Отправлено: 07:57, 27-12-2011 | #17 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Route/Bridge - Как прокинуть белые IP через шлюз провайдера из другой подсети | andreyka | Сетевые технологии | 8 | 24-12-2011 11:42 | |
Route/Bridge - Шлюз из одной подсети в другую(2 сетевухи на компе) | Den032 | Сетевые технологии | 2 | 21-01-2010 13:13 | |
[решено] Перенос контролера домена в другую подсеть. | Levin | Microsoft Windows NT/2000/2003 | 4 | 29-01-2009 12:23 | |
Перевод домена в другую подсеть | Raistlin | Microsoft Windows NT/2000/2003 | 6 | 27-04-2004 17:24 | |
Как сделать из 98 маршруизатор в другую подсеть | lehha | Сетевые технологии | 5 | 10-02-2003 16:13 |
|