Возможна ли такая структура?
Модератор: Модераторы
Сообщений: 7
• Страница 1 из 1
yaayura » 22 ноя 2005, 17:02
Два ISA сервера, внутренний сервер ISA1 в домене, внешний ISA2(смотрит на провайдера) не в домене.
По поводу Интернета понятно, на внешнем интерфейсе ISA1 указываем в качестве шлюза внутренний интерфейс ISA2
локальная сеть: 192.168.2.0 /24
ISA1 внутр: 192.168.2.1
ISA1 внешн: 192.168.0.2 gw:192.168.0.1 dns:192.168.0.1
В LAT указываем 192.168.2.0-192.168.2.255
ISA2 внутр: 192.168.0.1
ISA2 внешн: адрес провайдера
В LAT указываем 192.168.0.0-192.168.0.255
по идее должно работать.
Делаем VPN на ISA2 между 2 офисами(ISA2-ISA3 192.168.3.0 /24). Эта подсетка будет видна в подсетке 192.168.0.0 /24
Как сделать чтобы 192.168.3.0 /24 виделась за ISA1 в 192.168.2.0 /24 подсетке?
Вероятно тут какая то маршрутизация нужна, вот только как, не пойму.
По поводу Интернета понятно, на внешнем интерфейсе ISA1 указываем в качестве шлюза внутренний интерфейс ISA2
локальная сеть: 192.168.2.0 /24
ISA1 внутр: 192.168.2.1
ISA1 внешн: 192.168.0.2 gw:192.168.0.1 dns:192.168.0.1
В LAT указываем 192.168.2.0-192.168.2.255
ISA2 внутр: 192.168.0.1
ISA2 внешн: адрес провайдера
В LAT указываем 192.168.0.0-192.168.0.255
по идее должно работать.
Делаем VPN на ISA2 между 2 офисами(ISA2-ISA3 192.168.3.0 /24). Эта подсетка будет видна в подсетке 192.168.0.0 /24
Как сделать чтобы 192.168.3.0 /24 виделась за ISA1 в 192.168.2.0 /24 подсетке?
Вероятно тут какая то маршрутизация нужна, вот только как, не пойму.
yaayura » 23 ноя 2005, 12:18
У меня домен за ISA1 в подсетке 192.168.2.0 /24. Нужно компьютеры из 192.168.3.0 /24 подсетки ввести в домен. Так как VPN создается на ISA2, то 192.168.3.0 /24 подсетка будет доступна в в подсетке 192.168.0.0 /24. Как мне получить доступ к этой подсетки непойму. Пинги вероятно тоже ходить не будут.
Я пока эту схему не реализовал, только обдумываю будет ли работать.
Просто доменное имя наружу вроде выставлять нельзя, так как оно уже используется на другом айпишнике,под сайт. А хотелось бы порулить пользователями на доменной ISA. Поэтому такой колумбарий из двух ISA и хочу сделать.
Я пока эту схему не реализовал, только обдумываю будет ли работать.
Просто доменное имя наружу вроде выставлять нельзя, так как оно уже используется на другом айпишнике,под сайт. А хотелось бы порулить пользователями на доменной ISA. Поэтому такой колумбарий из двух ISA и хочу сделать.
- slz
- Активный пользователь
- Сообщения: 1229
- Зарегистрирован: 08 июл 2004, 06:17
- Откуда: Новосибирск
slz » 23 ноя 2005, 12:55
yaayura
То что ты хочешь сделать - это создание экранируемой подсети.
1. Зачем это надо?
2. Есть 2 варианта реализации - с приватными адресами в экранируемой сети и с публичными. От этого зависят правила сетей (Network Rules).
То что ты хочешь сделать - это создание экранируемой подсети.
1. Зачем это надо?
2. Есть 2 варианта реализации - с приватными адресами в экранируемой сети и с публичными. От этого зависят правила сетей (Network Rules).
yaayura » 23 ноя 2005, 15:51
slz
1. Хочу реализовать такую схему, чтобы не светить доменное имя в интернете, так как оно используется для сайта компании, который находится пока не у меня в сети. С пользователями работать же охота на доменной ISA, с доменными именами пользователей попроще работать.
2. Вот как такие правила для VPN сетей создать я что-то понять не могу.
1. Хочу реализовать такую схему, чтобы не светить доменное имя в интернете, так как оно используется для сайта компании, который находится пока не у меня в сети. С пользователями работать же охота на доменной ISA, с доменными именами пользователей попроще работать.
2. Вот как такие правила для VPN сетей создать я что-то понять не могу.
- slz
- Активный пользователь
- Сообщения: 1229
- Зарегистрирован: 08 июл 2004, 06:17
- Откуда: Новосибирск
slz » 23 ноя 2005, 16:22
yaayura
1. Если сайт находится не у тебя в сети, то такую городьбу городить не надо, не поможет.
2. Что мешает все сделать на одном сервере?
3. Один из способов - публикация VPN сервера (внутренний ISA1, публикуешь на ISA2. После коннекта, юзеры попадут во внутреннюю сеть)
http://www.isadocs.ru/
http://www.isaserver.org/
http://www.microsoft.com/technet/prodte ... fault.mspx
1. Если сайт находится не у тебя в сети, то такую городьбу городить не надо, не поможет.
2. Что мешает все сделать на одном сервере?
3. Один из способов - публикация VPN сервера (внутренний ISA1, публикуешь на ISA2. После коннекта, юзеры попадут во внутреннюю сеть)
http://www.isadocs.ru/
http://www.isaserver.org/
http://www.microsoft.com/technet/prodte ... fault.mspx
yaayura » 23 ноя 2005, 18:35
Спасибо, за ссылки.
Вобще сейчас стоит фрибсд в качестве файрвола, хотел перейти на ISA вот таким макаром, т.е. сначала поставить перед фрибсд ISA на которой организовать VPN с филиалами, а затем, когда всех пользователей введу в домен, заменить фрибсд на доменную ISA.
Ну конечно слишком много составляющих в схеме получается, вероятно буду менять, просто фрибсд на ISA.
Хотя конечно интересно замутить подобную структуру, да и ISA хотелось бы ввести в домен.
Вобще сейчас стоит фрибсд в качестве файрвола, хотел перейти на ISA вот таким макаром, т.е. сначала поставить перед фрибсд ISA на которой организовать VPN с филиалами, а затем, когда всех пользователей введу в домен, заменить фрибсд на доменную ISA.
Ну конечно слишком много составляющих в схеме получается, вероятно буду менять, просто фрибсд на ISA.
Хотя конечно интересно замутить подобную структуру, да и ISA хотелось бы ввести в домен.
Сообщений: 7
• Страница 1 из 1
Вернуться в Межсетевые экраны (Firewall) и Прокси серверы (Proxy)
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8