Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
nesta
Зарегистрирован: 11.09.2006 Сообщения: 117 Откуда: Млечный путь
|
Добавлено: Ср Фев 28 2007 12:46 Заголовок сообщения: Перенаправление трафика RRAS+Internet через ISA в LAN |
|
|
Вот так все организовано
Что нужно сделать в ISA сервере чтобы данные поступившие на внешний IP 10.0.0.1 адрес от RRAS клиентов и из интернета перенаправились на адрес во внутренней сетке 192.168.5.1?
Доп офисы всю инфу скидывают на 10.0.0.1 так работает их прога. Этого не изменить. Нужно чтобы все что от них приходит автоматически пересылалось на адрес во внутренней сети 192.168.5.1
Чет у меня ни как не получиться настроить. Подскажите что мне надо в ISA сделать? Далее привожу как все щас работает:
Пояснения:
10.0.0.1 - Внешний адрес ISA сервера
192.168.5.2 - Внутренний адрес ISA сервера
192.168.0.X - Адреса машин сединенных с ISA сервером пр помощи RRAS
192.168.5.1 - Сервер отчетов расположеный во внутренней сети предприятия
ISA работает как Edge Firewall
На ISA сервере сейчас добавлено следующее NAT-правило:
1.
Source network: Vpn Clients (Офисы соединившиеся при помощи RRAS)
Destination Network: 10.0.0.1
Это правило создано для того чтобы RRAS клиенты имели доступ ко внешнему адресу ISA и скидывали все данные на него. Здесь все работает хорошо. В политике файрвола разрешаю нужные порты, протоколы и адреса и все работает классно.
Клиентом RRAS пингуется 10.0.0.1 и данные на него скидываются.
Если в фаерволе (в ISA) разрешить RRAS видеть комп во внутренней сети, то данные доходят. Но начальник отдела хочет чтоб данные скидывались на внешний IP и ни кто не видел внутреннюю сеть.
И последнее, возможно ли это вообще сделать хотя бы в теории?
P.S. Я даже не знаю как правильно сформулировать запрос того что мне нужно в поисковике. пробовал искать перенаправление трафика. ничего стоящего не нашел. _________________
Последний раз редактировалось: nesta (Ср Мар 14 2007 08:08), всего редактировалось 5 раз(а) |
|
Вернуться к началу |
|
|
ANDronis
Зарегистрирован: 16.02.2005 Сообщения: 158
|
Добавлено: Ср Фев 28 2007 15:24 Заголовок сообщения: |
|
|
чет намудрили
все гораздо тривиальней - если есть AD то RRAS разрешаешь только определенным пользователям, они звонят на модем и входят под своими доменными именами
а на счет доступа к определенному IP адресу и на определенный порт, надеюсь слово фаервол вам знакомо? |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Ср Фев 28 2007 21:41 Заголовок сообщения: |
|
|
Разреши уже в учетной записи юдаленный удаленный доступ.
Слово "Системный журнал" надеюсь не менее знакомо, чем слово FireWall? |
|
Вернуться к началу |
|
|
nesta
Зарегистрирован: 11.09.2006 Сообщения: 117 Откуда: Млечный путь
|
Добавлено: Чт Мар 01 2007 06:52 Заголовок сообщения: |
|
|
Спасибой всем за подсказку с AD
и FireWall
and3008 писал(а): | Разреши уже в учетной записи юдаленный удаленный доступ.
Слово "Системный журнал" надеюсь не менее знакомо, чем слово FireWall? |
Знакомое словосочетание "системный журнал", но чет не помню где его искать и как кушать. (Это случаем не логи ОС?)
Толкните меня по правильному направлению.
P.S. Как считаете Outpost пойдет для моих целей? _________________
|
|
Вернуться к началу |
|
|
nesta
Зарегистрирован: 11.09.2006 Сообщения: 117 Откуда: Млечный путь
|
Добавлено: Вт Мар 06 2007 08:51 Заголовок сообщения: |
|
|
Сделал все следующим образов:
RRAS + ISA2004.
Появилась правда проблема. Часть офисов передает данные через интернет, другая часть соединяется через RRAS.
Данные которые скидывают доп офисы (как через RRAS так и через интернет) приходят на внешний IP адрес ISA-сервера (допустим 10.0.0.1).
Как в ISA реализовать чтобы все что приходит на определенный адрес допустим 10.0.0.1 (внешний адрес ISA-сервера) было перенаправлено на другой адрес 192.168.5.1(адрес сервера во внутренней сети на который должны приходит отчеты офисов)? _________________
|
|
Вернуться к началу |
|
|
ANDronis
Зарегистрирован: 16.02.2005 Сообщения: 158
|
Добавлено: Вт Мар 06 2007 12:27 Заголовок сообщения: |
|
|
nesta писал(а): | Сделал
реализовать чтобы все что приходит на определенный адрес допустим 10.0.0.1 (внешний адрес ISA-сервера) было перенаправлено на другой адрес 192.168.5.1(адрес сервера во внутренней сети на который должны приходит отчеты офисов)? |
Дык типа эта, NAT настроить |
|
Вернуться к началу |
|
|
nesta
Зарегистрирован: 11.09.2006 Сообщения: 117 Откуда: Млечный путь
|
Добавлено: Ср Мар 14 2007 08:47 Заголовок сообщения: |
|
|
ANDronis писал(а): |
Дык типа эта, NAT настроить |
А как должен NAT работать? При NAT как я понимаю офисы должны скидывать сразу на 192.168.5.1 используя в качестве шлюза 10.0.0.1
а мне надо маленьку другую задачу решить.
Или я что-то не так понял? _________________
|
|
Вернуться к началу |
|
|
ANDronis
Зарегистрирован: 16.02.2005 Сообщения: 158
|
Добавлено: Ср Мар 14 2007 11:16 Заголовок сообщения: |
|
|
на 10.0.0.1 открой порт допустим 5555 и в NAT пропиши правило
все что валится на 10.0.0.1:5555 переадресовывать на 192.168.5.1 с соответствующим портом. при этом на Firewall не забываем о секьюрности данного соединения.. |
|
Вернуться к началу |
|
|
nesta
Зарегистрирован: 11.09.2006 Сообщения: 117 Откуда: Млечный путь
|
Добавлено: Чт Мар 15 2007 07:48 Заголовок сообщения: |
|
|
Спасибо за совет. Правда решил пойти по другому пути. Вариант с NAT работать ни стал.
Создал Server Publishing Rule. Т.е. опубликовал на ISA сервере транспорт - внутренний сервер отчетов(192.168.5.1).
Возникла такая проблема:
Для рамоты программы к примеру требуется протокол: TCP порт:5555 Direction: Outbound
А при публикации транспорта в протоколы можно добавить только те которые работают Direction: Inbound
В мониторе пишет следующее:
клиент IP и destination IP правильные, порт правильный. а вот протокол TCP:5555 INBOUND (создал протокол с такой настройкой специально для теста чтобы небыло Unidentify ip trafic). Ну а далее понятно идет denied connection, поле rule пустое, Result code на microsoft не описан. (0xc0040012 FWX_E_NETWORK_RULES_DENIED)
Подскажите в каком направлении двигатсья, а то я что-то в тупике оказался. _________________
|
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Мар 15 2007 08:32 Заголовок сообщения: |
|
|
10.0.0.1 - это реальный адрес или для примера?
Если для примера, то прошу сказать, какой же настоящий? Можете не указывать адрес второго октета. Типа так: 196.Х.80.201
И адреса на Cisco в таком же стиле укажите. |
|
Вернуться к началу |
|
|
nesta
Зарегистрирован: 11.09.2006 Сообщения: 117 Откуда: Млечный путь
|
Добавлено: Чт Мар 15 2007 10:21 Заголовок сообщения: |
|
|
and3008 писал(а): | 10.0.0.1 - это реальный адрес или для примера?
Если для примера, то прошу сказать, какой же настоящий? Можете не указывать адрес второго октета. Типа так: 196.Х.80.201
И адреса на Cisco в таком же стиле укажите. |
Порты и адреса приведены для примера.
внешний порт адрес исы: 217.x.90.10
на циске адрес незнаю (((
А для чего это надо? В чем по вашму мнению причина? Если нужно будет смогу достать адрес циски.
В данный момент отрабатывается вариант для RRAS клиентов (офисов), и проблема такая возникла при работе RRAS клиента.
Работу офисов через инет исчо не настраивал на ISA. Нужно чтоб один путь заработал, остальное будет просто.
В мониторе пишет следующее:
клиент IP 192.168.0.1 и destination IP 192.168.5.1, 5555. а вот протокол TCP:5555 INBOUND (создал протокол с такой настройкой специально для теста чтобы небыло Unidentify ip trafic).
Ну а далее понятно идет denied connection, поле rule пустое, Result code на microsoft не описан. (0xc0040012 FWX_E_NETWORK_RULES_DENIED)
Данные доходят до нужного места. Доходят по нужно порту. А вот протокол я не могу разрешить в Server Publishing Rule. Потому-что в нем Direction - Outbound.
Проблема в том что тип трафика в Server Publishing Rule может быть только протокол со значением Direction - Inbound.
А мне, как я понял, нужно заставить Server Publishing Rule использовать протокол со следующими натсройками: TCP:5555 Direction - Outbound. Тогда все должно заработать.
Возможно нужно прописать каккой-то маршрут? Подскажите.
////В данный момент настроаиватеся работа для RRAS клиентов/////
Вот список существующих сетевых правил (маршруты и трансляции)
Networks Rules:
1. Route
from "local host" - to "all network"
2. NAT
from "VPN Clients" to "Internal", и "внешний адрес исы"
3. NAT
from "internal", "VPN Clients", "Quarantined VPN Clients" - to External
Вот список настроек Firewall:
Access rule:
VPN Clients (RRAS клиенты) - to 192.168.5.1 (севрер отчетов во внутренней сети)
разрешаю 2 протокола TCP:5555 Outbound TCP:5555 Inbound
Server Publishing Rule:
VPN Clients (RRAS клиенты) - to 192.168.5.1 (севрер отчетов во внутренней сети)
Разрешить могу только 1 протокол TCP:5555 Inbound
-------
Программа же использует протокол TCP:5555 Outbound
Подскажите как обойти эту проблему? Может нужно по другому маршрутизацию и трансляцию адресов организовать? _________________
|
|
Вернуться к началу |
|
|
Evgenka1982
Зарегистрирован: 12.03.2007 Сообщения: 7
|
Добавлено: Чт Мар 15 2007 11:20 Заголовок сообщения: |
|
|
Насколько я помню, это маппинг портов. В фаерволле прописываешь перенаправление на определенный адрес по определенному порту, и неплохо было бы после этого попробовать на внутреннем компе поднять ВПН сервер, что бы инет клиенты коннектились с помощью маппинга напрямую к внутреннему компу. Что касается RRAS- клиентов, то они при подключении действительно должны входить в домен, либо должны быть прописаны на сервере и внутреннем компе. Ну и соответственно, они будут видеть сетку и ложить отчеты на внутренний комп |
|
Вернуться к началу |
|
|
nesta
Зарегистрирован: 11.09.2006 Сообщения: 117 Откуда: Млечный путь
|
Добавлено: Чт Мар 15 2007 12:04 Заголовок сообщения: |
|
|
Evgenka1982 писал(а): | Насколько я помню, это маппинг портов. В фаерволле прописываешь перенаправление на определенный адрес по определенному порту, и неплохо было бы после этого попробовать на внутреннем компе поднять ВПН сервер, что бы инет клиенты коннектились с помощью маппинга напрямую к внутреннему компу. Что касается RRAS- клиентов, то они при подключении действительно должны входить в домен, либо должны быть прописаны на сервере и внутреннем компе. Ну и соответственно, они будут видеть сетку и ложить отчеты на внутренний комп |
Если внешние пользователи будут непосредсвтенно видеть тачку во внутренней сети, то этот вариант не приемлем
Нужно чтобы они скидывали всю инфу на внешний IP иса сервера.
А ISA сама должна переправлять все что приходит на нее по определенному протоколу и порту на комп во внутренней сети.
неподскажешь где в ISA мапинг искать? Что такое мапинг? _________________
|
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Мар 15 2007 19:11 Заголовок сообщения: |
|
|
Мне что-то подсказывает, что фиг так получится на ISA.
Надо RAS выносить на отдельный сервер. И чтобы трафик от RAS-клиентов приходил на интерфейс 217.x.90.10
Иначе косяк. |
|
Вернуться к началу |
|
|
nesta
Зарегистрирован: 11.09.2006 Сообщения: 117 Откуда: Млечный путь
|
Добавлено: Пн Мар 19 2007 14:07 Заголовок сообщения: |
|
|
Насколько я понял под виндой такое почти не реально поднять.
Мне один человечек сказал развернуть все на unix/linux системе.
посоветуйте какая операционца из этого семейства подойдет лучше для моих целей и какое еще ПО понадобится?
Знаний в этой сфере не много (LINUX/UNIX). Но главное у меня есть ОГРОМНОЕ желание это сделать. И к томуже подкрепленное очень сильно финансовой сторой вопроса
Буду рад совету по тому какое ПО лучше использоватье и очень признателен если к нему будет прилогатья несколько ссылок с мануалом. _________________
|
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пн Мар 19 2007 18:36 Заголовок сообщения: |
|
|
www.ipcop.org
Там и доки и софт. |
|
Вернуться к началу |
|
|
nesta
Зарегистрирован: 11.09.2006 Сообщения: 117 Откуда: Млечный путь
|
Добавлено: Ср Мар 21 2007 07:58 Заголовок сообщения: |
|
|
and3008 писал(а): | www.ipcop.org
Там и доки и софт. |
А какую версию Linux посоветуете под этот файрвол?
[/list] _________________
|
|
Вернуться к началу |
|
|
Dragner
Зарегистрирован: 27.07.2006 Сообщения: 760 Откуда: Владивосток
|
Добавлено: Ср Мар 21 2007 08:47 Заголовок сообщения: |
|
|
FreeBSD! по крайней мере мне больше нравится чем линух. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Ср Мар 21 2007 12:08 Заголовок сообщения: |
|
|
Я CentOS предпочитаю. |
|
Вернуться к началу |
|
|
nesta
Зарегистрирован: 11.09.2006 Сообщения: 117 Откуда: Млечный путь
|
Добавлено: Чт Мар 29 2007 07:08 Заголовок сообщения: Ура)))) |
|
|
Добил я свою схему под ISA.
Вобщем все заработало. (нашел где грабли лежали )
Вобщем казалось все работает.
Все, да не все.
У нас куча контор по городу разбросано. так вот когда они дозваниваются до RRAS и передают данные, потом забывают отключиться. (юзвери что сних взять )
Не подскажите как в RRAS сделать чтобы соединение автоматически отключалось скажем после 10-15 минут соединения? _________________
|
|
Вернуться к началу |
|
|
Modus
Зарегистрирован: 30.05.2007 Сообщения: 1 Откуда: Москва
|
Добавлено: Ср Май 30 2007 11:36 Заголовок сообщения: |
|
|
nesta, а как удалось победить ISA ? |
|
Вернуться к началу |
|
|
nesta
Зарегистрирован: 11.09.2006 Сообщения: 117 Откуда: Млечный путь
|
Добавлено: Пт Июн 08 2007 19:57 Заголовок сообщения: |
|
|
Modus писал(а): | nesta, а как удалось победить ISA ? |
Опиши подробно суть проблемы. скажу если знаю что сделать. покрайней мере будет легче советовать. _________________
|
|
Вернуться к началу |
|
|
|