Просмотр темы - Взаимодействие ISA и CISCO PIX Firewall

[DVG Профиль]

Спасибо большое за разъяснения. Для меня наибольший интерес представляет третий вариант, потому как потенциально наносит наименьший физическим ущерб материальной части вверенного мне оборудования Если воспользоваться визардом Local ISA VPN Server, то он во первых строках сообщает, что все мои current setting will be lost, чего я панически боюсь, поскольку есть опасность не установить правильно VPN сервер и грохнуть (100%) имеющиеся настройки. Мдя тяжелое положение. Надо бы поискать человека, который сумеет мне "пальцем" показать, как это сделать грамотно. А что у нас с вариантом 1? Я об спрашивал в предыдущем месс.
Извините, я совсем чайник. До этого у меня были только простые одноранговые сетки, а тут админ уволился и я остался на острие этого ржавого гвоздя ))

[Harry33 Профиль СайтICQ]

DVG
А какие там настройки есть в Access Policy ? Может там терять то нечего

[DVG Профиль]

Да в общем немного фильтров и рулесов, в принципе я могу их сохранить, на случай, если потребуется восстановление. Просто ISA VPN Server я ни разу не устанавливал, боюсь там чего-нибудь накосячить, а потом не смогу вернуть "как было". Что там визард дальше предложит, когда я соглашусь снести существующие настройки? Я-то раньше его в глаза не видел. Или может есть все-таки более простой путь, типа прописать на ISA правило разрешающее любой трафик 192.168.13.0 <---> 192.168.15.0? Вот как его только сделать - не знаю, ковырялся ковырялся в ISA, но так и не нашел как сделать такое правило. Мля. Должно же быть простое решение типа Allow destination (IP) - source(IP) - All IP traffic.

[Harry33 Профиль СайтICQ]

DVG
Тебе надо разрешить принимать VPN соединения (Network Configuration/Allow VPN client Connections...)

[DVG Профиль]

Эх блин, видать придется VPN сервер ставить. Ладно, в выходные наверное попробую сделать самостоятельно, только страшно - грохну выход в и-нет, меня уволят нафиг без выходного пособия

[Harry33 Профиль СайтICQ]

DVG
Тогда вообще ISA убери.
Самый простой вариант, уносиш ISA, на PIX inside интерфейсе ставиш адрес бывшей ISA и политиками правиш настройки IE на неиспользовать прокси

[biruk Профиль]

давно тут небыл...
ну как, получилось?

[DVG Профиль]

Угу получилось

Схема в общем такая.

л
о
к с ------------ VPN ------------> CISCO PIX PORT 1
а е
л т
ь ь ----- Internet -----> ISA ---> CISCO PIX PORT 2
н
а
я

Диапазон адресов локалки 192.168.13.0 маска 255.255.240.0
Между ISA и СISCO PIX cвоя подсеть 192.168.15.0 маска та-же

Таким образом PIX прослушивает обе подсети.
Схема получилась достаточно удобная.