[Telepuzik]

Подымите между маршрутизаторами VPN тунель будет проще настроить. При такой настройке как у Вас работать не будет. А в чем причина необходимости пропускать весь траффик через ISA?

[mx1805]

Сейчас, вроде как, победил это дело прописав маршруты в DHCP, просто сразу что-то не сообразил так сделать
А идея была в том, что если шлюзом по-умолчанию будет прописан 10.68.0.101, то, соответсвенно, именно он ответсвенный за маршрутизацию всех пакетов не из моей сети.

Тему пока не закрываю, думаю, в ближайшее время может возникнуть похожая проблема с маршрутизацией.

[cameron]

а не проще ли на маршрутизаторе разрулить траффик что бы он раздавал что нужно и куда нужно?
тупой Static Routing умеют многие L2 свитчи, а как я поняла этого хватит.

ну и да, 121/249 в DHCP тоже решают проблему

[mx1805]

cameron, действительно, посмотрел, и мои так могут, но никогда этого не делал, да и так как сейчас сделал пока работает

Как и писал ранее, возник новый вопрос, и тут уже точно должен TMG решать...

У нас есть два Интернет-канала, и балансировку я уже успешно настроил, однако через один из каналов должны идти пакеты с/на подразделения. Схема такая:

Код:

                                                                                                 _________
                                                                                             /--|10.68.4.1|---(10.68.4.0/24)
                                                                      _________             /   |_________|
                                                                     |         |           /     _________
                                                                     |         |----------------|10.68.5.1|---(10.68.5.0/24)
                                                       /--78.X.X.97--|  ISP1   |           \    |_________|
                             _________                /              |         |--( INET )  \    _________
                            |         |              /               |_________|             \--|10.68.6.1|---(10.68.6.0/24)
                            |         |--78.X.X.98--/                 _________                 |_________|
(10.68.0.0/255.255.252.0)---|  TMG    |                              |         |
                            |         |                              |         |
                            |         |------------------------------|  ISP2   |-----( INET )
                            |_________|                              |         |
                                                                     |_________|

С подразделений пакеты поступают на маршрутизатор 10.68.[4,5,6].1 он пробрасывает провайдеру, и от провайдера через маршрутизатор 78.X.X.97 пакеты брасаются на интерфейс TMG 78.X.X.98, который должен пробросить пакеты в сеть 10.68.0.0/22. Ну и, аналогично, в обратную сторону...

Что я сделал:
Создал внешние сети ПОДР1 (10.68.4.0/24), ПОДР2 (10.68.5.0/24), ПОДР3 (10.68.6.0/24)
Набор сетей ПОДРАЗДЕЛЕНИЯ, состоящий из 3-х перечисленных сетей.
Прописал маршруты route add 10.68.[4,5,6].0 mask 255.255.255.0 78.X.X.97
Создал сетевое правило Внутренняя сеть-ПОДРАЗДЕЛЕНИЯ маршрут.
В политику межсетевого экрана добавил правило Разрешить весь исходящий трафик из Внутренняя сеть в сеть ПОДРАЗДЕЛЕНИЯ всем пользователям.

В итоге, получаем следующее:

Код:

Отклоненное соединение SRV-GATE 
Тип журнала: Служба межсетевого экрана 
Состояние: Пакет был удален, поскольку его IP-адрес назначения недоступен.  
Правило: Нет - см. код результата 
Источник: Внутренняя (10.68.1.166:2048) 
Назначение: ПОДР1 (10.68.4.1) 
Протокол: Проверка связи 
 Дополнительные сведения 
Число отправленных байтов: 0 Число полученных байтов: 0
Время обработки: 0ms Первоначальный IP-адрес клиента: 10.68.1.166

Или в имитаторе трафика:

Код:

Разрешенный трафик

Имя правила: Внутренняя сеть-ПОДРАЗДЕЛЕНИЯ 
Порядковый номер правила: 4 

 Additional information 
От: Внутренняя
Кому: ПОДР1
Имя сетевого правила: Внутренняя сеть-ПОДРАЗДЕЛЕНИЯ 
Отношения сетей: Маршрут
Протокол: Нераспознанные IP-данные
Фильтр приложения для правила: 
 

Трафик, разрешенный правилами политики межсетевого экрана, может блокироваться веб-фильтрами или фильтрами приложения.

Что я делаю не так?

[cameron]

Цитата mx1805:

С подразделений пакеты поступают на маршрутизатор 10.68.[4,5,6].1 он пробрасывает провайдеру, и от провайдера через маршрутизатор 78.X.X.97 пакеты брасаются на интерфейс TMG 78.X.X.98, который должен пробросить пакеты в сеть 10.68.0.0/22. Ну и, аналогично, в обратную сторону... »

я прошу прощения за свою недогадливость, но что это?
недокостыльный Static NAT или вырвиглазный VPN ?
почему не поднять IPsec Site-to-site между TMG и %чем_угодно_ в_другом_офисе%?

или, если там один провайдер - взять у них PtP, за трубу на низкой скорости или без гарантированной полосы много не возьмут.

[mx1805]

cameron, как сказать?... На сколько мне известно, провайдер ЭТО и называет PtP С его стороны так исторически сложилось, и поменять что либо в условиях как нашей организации, так и провайдера, в достаточно короткий срок, ничего не получится, поэтому приходится бороться с тем что есть... До TMG у меня стоял шлюз на Линухе, и там всё работало как часы, однако, обстоятельства сложились не в его пользу...

[cameron]

Цитата mx1805:

провайдер ЭТО и называет PtP »

это не ptp.

Цитата mx1805:

До TMG у меня стоял шлюз на Линухе, и там всё работало как часы, однако, обстоятельства сложились не в его пользу... »

было бы неплохо понять что там было сделано до убивания. но это не суть.

рисуйте схему, что и где и как.
а главное причём тут провайдерский роутер и почему вы не можете на тех 3-х хостах, которые непонятно где, сделать впн к вашей тмг?

[mx1805]

cameron, благо ещё ничего не убил, иначе бы уже не приставал с глупыми вопросами...

Дело в том, что циски, которые имеют адреса 10.68.[4,5,6].1 и 78.X.X.97 принадлежат провайдеру, и я туда никакого доступа не имею.

На Линуксе у меня сейчас сделано всё так:
Так как подсети 10.68.[4,5,6].0/24 не принадлежат нашей сети, то, естесственно они попадают на шлюз по-умолчанию (в настоящий момент 10.68.0.1), там в iptables сказано пропускать весь трафик в/из 10.68.[4,5,6].0/24 и настроена маршрутизация этих подсетей на 78.x.x.97. Соответсвенно дальше пакеты с интерфейса 78.x.x.98 попадают на шлюз провайдера 78.x.x.97 и оказываются на подразделениях "прилетая" с интерфейса циски 10.68.[4,5,6].1 .
Ну и в обратную сторону - в обратном порядке.

[cameron]

Цитата mx1805:

10.68.[4,5,6].1 »

это их internal(inside) интерфейсы, а какие снаружи адреса?
я просто никак не могу понять этого изврата, потому что PTP стоит денег, а в этом случае вы платите ни за что - услуга не предоставляется.
как я понимаю:
у вас есть ЦО:
10.68.0.0/255.255.252.0 с TMG и белым IP.
есть несколько дополнительных офисов, в которых 10.68.x.0/24 но не ясно что с внешними интерфейсами, там стоят кошки которые что-то делают ДО шлюза провайдера, который потом что-то хитро куда то роутит.
вопросы:
1. вместо всего этого месива костылей провайдер в состоянии поднять IPsec на этих трёх кошках до вашей TMG? думаю да.
2. провайдер в состоянии предоставить нормальный PTP?
3. вы можете заменить провайдерские кошки на ваше обуродование?