Архив форумов ЦИТФорума

[nesta]

Вот так все организовано



Что нужно сделать в ISA сервере чтобы данные поступившие на внешний IP 10.0.0.1 адрес от RRAS клиентов и из интернета перенаправились на адрес во внутренней сетке 192.168.5.1?

Доп офисы всю инфу скидывают на 10.0.0.1 так работает их прога. Этого не изменить. Нужно чтобы все что от них приходит автоматически пересылалось на адрес во внутренней сети 192.168.5.1


Чет у меня ни как не получиться настроить. Подскажите что мне надо в ISA сделать? Далее привожу как все щас работает:

Пояснения:
10.0.0.1 - Внешний адрес ISA сервера
192.168.5.2 - Внутренний адрес ISA сервера
192.168.0.X - Адреса машин сединенных с ISA сервером пр помощи RRAS
192.168.5.1 - Сервер отчетов расположеный во внутренней сети предприятия

ISA работает как Edge Firewall
На ISA сервере сейчас добавлено следующее NAT-правило:
1.
Source network: Vpn Clients (Офисы соединившиеся при помощи RRAS)
Destination Network: 10.0.0.1
Это правило создано для того чтобы RRAS клиенты имели доступ ко внешнему адресу ISA и скидывали все данные на него. Здесь все работает хорошо. В политике файрвола разрешаю нужные порты, протоколы и адреса и все работает классно.
Клиентом RRAS пингуется 10.0.0.1 и данные на него скидываются.

Если в фаерволе (в ISA) разрешить RRAS видеть комп во внутренней сети, то данные доходят. Но начальник отдела хочет чтоб данные скидывались на внешний IP и ни кто не видел внутреннюю сеть.

И последнее, возможно ли это вообще сделать хотя бы в теории?

P.S. Я даже не знаю как правильно сформулировать запрос того что мне нужно в поисковике. пробовал искать перенаправление трафика. ничего стоящего не нашел.
_________________

[ANDronis]

чет намудрили
все гораздо тривиальней - если есть AD то RRAS разрешаешь только определенным пользователям, они звонят на модем и входят под своими доменными именами
а на счет доступа к определенному IP адресу и на определенный порт, надеюсь слово фаервол вам знакомо?

[and3008]

Разреши уже в учетной записи юдаленный удаленный доступ.

Слово "Системный журнал" надеюсь не менее знакомо, чем слово FireWall?

[nesta]

Спасибой всем за подсказку с AD
и FireWall

[nesta]

Сделал все следующим образов:
RRAS + ISA2004.

Появилась правда проблема. Часть офисов передает данные через интернет, другая часть соединяется через RRAS.
Данные которые скидывают доп офисы (как через RRAS так и через интернет) приходят на внешний IP адрес ISA-сервера (допустим 10.0.0.1).

Как в ISA реализовать чтобы все что приходит на определенный адрес допустим 10.0.0.1 (внешний адрес ISA-сервера) было перенаправлено на другой адрес 192.168.5.1(адрес сервера во внутренней сети на который должны приходит отчеты офисов)?
_________________

[ANDronis]

[nesta]

[ANDronis]

на 10.0.0.1 открой порт допустим 5555 и в NAT пропиши правило
все что валится на 10.0.0.1:5555 переадресовывать на 192.168.5.1 с соответствующим портом. при этом на Firewall не забываем о секьюрности данного соединения..

[nesta]

Спасибо за совет. Правда решил пойти по другому пути. Вариант с NAT работать ни стал.


Создал Server Publishing Rule. Т.е. опубликовал на ISA сервере транспорт - внутренний сервер отчетов(192.168.5.1).

Возникла такая проблема:
Для рамоты программы к примеру требуется протокол: TCP порт:5555 Direction: Outbound

А при публикации транспорта в протоколы можно добавить только те которые работают Direction: Inbound

В мониторе пишет следующее:
клиент IP и destination IP правильные, порт правильный. а вот протокол TCP:5555 INBOUND (создал протокол с такой настройкой специально для теста чтобы небыло Unidentify ip trafic). Ну а далее понятно идет denied connection, поле rule пустое, Result code на microsoft не описан. (0xc0040012 FWX_E_NETWORK_RULES_DENIED)

Подскажите в каком направлении двигатсья, а то я что-то в тупике оказался.
_________________

[and3008]

10.0.0.1 - это реальный адрес или для примера?
Если для примера, то прошу сказать, какой же настоящий? Можете не указывать адрес второго октета. Типа так: 196.Х.80.201

И адреса на Cisco в таком же стиле укажите.

[nesta]

[Evgenka1982]

Насколько я помню, это маппинг портов. В фаерволле прописываешь перенаправление на определенный адрес по определенному порту, и неплохо было бы после этого попробовать на внутреннем компе поднять ВПН сервер, что бы инет клиенты коннектились с помощью маппинга напрямую к внутреннему компу. Что касается RRAS- клиентов, то они при подключении действительно должны входить в домен, либо должны быть прописаны на сервере и внутреннем компе. Ну и соответственно, они будут видеть сетку и ложить отчеты на внутренний комп

[nesta]

[and3008]

Мне что-то подсказывает, что фиг так получится на ISA.

Надо RAS выносить на отдельный сервер. И чтобы трафик от RAS-клиентов приходил на интерфейс 217.x.90.10

Иначе косяк.

[nesta]

Насколько я понял под виндой такое почти не реально поднять.

Мне один человечек сказал развернуть все на unix/linux системе.

посоветуйте какая операционца из этого семейства подойдет лучше для моих целей и какое еще ПО понадобится?

Знаний в этой сфере не много (LINUX/UNIX). Но главное у меня есть ОГРОМНОЕ желание это сделать. И к томуже подкрепленное очень сильно финансовой сторой вопроса

Буду рад совету по тому какое ПО лучше использоватье и очень признателен если к нему будет прилогатья несколько ссылок с мануалом.
_________________

[and3008]

www.ipcop.org

Там и доки и софт.

[nesta]

[Dragner]

FreeBSD! по крайней мере мне больше нравится чем линух.

[and3008]

Я CentOS предпочитаю.

[nesta]

Добил я свою схему под ISA.
Вобщем все заработало. (нашел где грабли лежали )

Вобщем казалось все работает.
Все, да не все.

У нас куча контор по городу разбросано. так вот когда они дозваниваются до RRAS и передают данные, потом забывают отключиться. (юзвери что сних взять )

Не подскажите как в RRAS сделать чтобы соединение автоматически отключалось скажем после 10-15 минут соединения?
_________________

[Modus]

nesta, а как удалось победить ISA ?

[nesta]