Microsoft ISA Server 2006/2004/2000 (Часть II) - [45] :: В помощь системному администратору

Уже спрашивал у доброго человека, но решения пока не найдено.

Итак, есть ISA Server 2004 с тремя сетевыми интерфейсами.
1-й смотрит наружу (External)
2-й смотрит во внутреннюю сеть (Internal). Адреса 192.168.1.0/24
3-й смотрит на маршрутизатор, содиняющий с сетью филиала (Gate) Адрес интерфейса 10.0.0.1 mask 255.255.255.252, Адрес маршрутизатора 10.0.0.2
Сеть филиала 192.168.2.0/24

Интернет для сети Internal настроен, все работает через NAT. То есть клиенты сети Internal сидят в Интернете без проблем.

а) На машинке с ISA прописан статичный маршрут до филиала (route -p add 192.168.2.0 mask 255.255.255.0 10.0.0.2)
б) В сеть Gate также добавлены адреса филиала 192.168.2.0/24
в) В разделе Network rules добавлено правило типа ROUTE между сетью Gate и Internal
г) В правилах Firewall'a добавлено правило, разрешающее обмен любого траффика между сетью Gate и Internal

только благодаря всему этому есть связь между компьютерами филиала и внутренней сетью Internal, обмен данными происходит без всяких проблем, пинг есть.

----------------------
Теперь стоит простая задача. Пустить сеть филиала в Интернет, наружу.

1) Свойства сетей Gate (10.0.0.1-10.0.0.2, 192.168.2.0-192.168.2.255) и Internal (192.168.1.0-192.168.1.255) на вкладках Firewall Client и Web Proxy одинаковые, Аутенфикация – Integrated, галок на “Require all user to authenticate” не стоит.

2) Сеть Gate добавлена в сетевое правило, пускающее в Интернет через NAT (вкладка Network Rules)

3) Сеть Gate добавлена в правило брандмауэра, разрешающее выход в Интернет.

И ничего. В Интенет сеть филиала прорваться не может. На машинах в сети филиала стоит FWC, на некоторых он не стоит, сути это не меняет. В логах следующая запись:
) Сначала---WSA_RWS_ABORTIVE_SHUTDOWN или FWX_E_ABORTIVE_SHUTDOWN 0x80074E21 (Соединение было закрыто после посылки RST-сегмента.)
) Далее--- FWX_E_TCP_NOT_SYN_PACKET_DROPPED 0xC0040017 (Не-SYN пакет был отброшен, поскольку он был послан источником, который не установил соединение с ISA-сервером. )

Source Network: Gate
Destination Network: Local Host
Destination port: 1745
этот траффик с машин филиала ISA определяет как Unidentified IP Traffic
Вкладка Client Username пустая
Этот неидентифицируемый трафик подпадает под правило обмена внутренним трафиком между сетями
Если в IE прописать напрямую прокси и порт 8080 - тогда вместо 1745 будет 8080 порт.

(это все в логах)

У меня есть версия, подчерпнутая из поисков по сети - Сеть филиала НЕ является физическими адресами интерфейса, поэтому ISA2004 отбрасывает пакеты, как из неведомой сети, но скорее всего это не так, потому что связь между компьютерами сети Internal и Gate все таки есть!

Дальнейшие попытки
а) выделить сеть филиала в SUBNET, создания правила рутинга между сетью филиала и сетью интерфейса-до-маршрутизатора "Gate" привели только к обрыву связи.
б) прописать сеть Gate везде в системных политиках, где есть сеть Internal - тоже безрезультатно.

Что я еще не учел?

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
emx (10-03-2007 19:04): Следующая часть этой темы - http://forum.ru-board.com/topic.cgi?forum=8&topic=20506#1	Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100