No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 Forefront TMG 2010
 Forefront TMG - Installazione e Configurazione
 Routing tra classi interne
 New Topic  Reply to Topic
 Printer Friendly
Author Previous Topic Topic Next Topic  

paolinjo
Junior Member

131 Posts

Posted - 13/05/2011 :  10:43:26  Show Profile  Reply with Quote
Ciao ragazzi
Ho una questione tecnica da proporvi per una configurazione di TMG.

Premetto ho TMG 7.0.8108.200 in italiano su W2008R2

Abbiamo la nostra rete interna con classe 172.16.0.0/22 e dobbiamo creare un nuovo segmento di rete (172.16.4.0/24) su cui mettere una serie di server.
L’accesso a tali server non deve essere controllato da TMG.
Ho interposto un router Cisco 2600 tra la rete 172.16.0.0 e la 172.16.0.4 e sul server DHCP ho configurato l’option 121 in cui propago una rotta statica (172.16.4.0/24 -> 172.16.1.0 che è l’IP lato mia LAN del cisco 2600).

Questo è lo schema


Ebbene con un client linux in DHCP sulla mia LAN tutto funziona correttamente, riesco a raggiungere la rete 172.16.4.0 e tutti i suoi host e sulla macchina linux vedo la rotta statica che il DHCP mi ha propagato.

Su una macchina windows con il client TMG non va.

Ho anche inserito la rete 172.16.4.0/24 tra le reti della mia LAN (nella sezione “Networking\Reti\Interno”) ma nulla. La rotta sul mio client la vedo (con route print vedo la mia rotta verso la rete 172.16.4.0/24 anche se con metrica più alta della default route) ma non raggiungo la rete; tutte le richieste arrivano al mio TMG.
Cosa devo modificare sul TMG ?


grazie

IsaCab
Moderator

4298 Posts

Posted - 13/05/2011 :  13:13:29  Show Profile  Reply with Quote
Ciao,

per prima cosa devi inserire (a mano e nn via DHCP) una rotta statica permanente su ISA che lo informi di una rete interna di cui lui nonè a conoscenza.

route add -p 172.16.4.0 mask 255.255.255.0 <ip del 2600>

Fatto questo apri isa vai oggetti network, Interal, prorietà,addresses e fai add adapter selezionando la scheda di rete inerna. Se tutto è andato per il verso giusto avrai nella lista la nuova classe IP.

SUGGERIMENTO

Se vuoi evitarti problemi di routing di consiglierei di trasformare il 2600 in default gateway.

Tutto questo è sicuramente valido per ISA 2006 ma da quello che mi dici direi che puoi replicarlo anche su TMG.

quote:
Ho anche inserito la rete 172.16.4.0/24 tra le reti della mia LAN (nella sezione “Networking\Reti\Interno”) ma nulla. L

Usa il procedimento che ti ho indicato io.

Inoltre dai client potresti (anzi dovresti) togliere la rotta distribuita dal DHCP e lavora da default gateway.

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 13/05/2011 :  15:35:48  Show Profile  Reply with Quote
Ciao Giulio
grazie della risposta

la classe 172.16.4.0/24 non fa parte della scheda LAN. su di essa vi è solo l'ip 172.16.0.5. Per questo motivo ho aggiunto nella sezione "network/Reti/Interno/Indirizzi" la classe 172.16.4.0/24.

La rotta statica 172.16.4.0 255.255.255.0 verso 172.16.1.0 già l'avevo inserita nel TMG (in isa era da aggiungere a mano, in TMG l'ho aggiunta nella TAB "routing" della sezione "Networking".

Posso anche con il DHCP dire a tutti i client che il Default Gateway è il 2600 (anche se per fare questo devo farlo in off-hours per evitare di lasciare a piedi mezzo ufficio) ma in questo caso cosa succede ai client ?
se l'applicazione è controllata dal TMG client o abbiamo una richiesta Web Proxy il tutto verrà inviato al TMG, se la richiesta winsock non è controllata dal TMG allora essa va indirizzata al DG che sarebbe il 2600 ?
giusto ?

grazie
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 13/05/2011 :  16:17:56  Show Profile  Reply with Quote
Giulio, nel frattempo che pensi alla risposta quello che stiamo facendo è il transito per la soluzione che qui ti espongo (e verificare che TMG funzioni correttamente).

il nuovo scenario passerà dal classico LAN direttamente connessa al TMG e router di accesso pubblico a questa:



questa scelta l'ho attuata perchè abbiamo avuto una evoluzione velocissima che ha incrementato gli apparati di rete client tanto da dover passare da una /23 ad una /22.
ovviamente /22 significa elevatissimo traffico di broadcast per il numero di host e quindi ho aptato per una suddivisione delle utenze su diverse subnet (sempre gestite dallo stesso DHCP che attribuisce gli IP con le OPTION dovute tramite i vari SCOPE).

il TMG rimarrebbe la nostra porta di uscita.

in questo scenario i TMG client riescono sempre a connettersi al TMG ?
funzionerà tutto in WebProxy, Secure Nat e firewall client ?
grazie
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 14/05/2011 :  08:59:14  Show Profile  Reply with Quote
Ciao,

quote:
la classe 172.16.4.0/24 non fa parte della scheda LAN. su di essa vi è solo l'ip 172.16.0.5. Per questo motivo ho aggiunto nella sezione "network/Reti/Interno/Indirizzi" la classe 172.16.4.0/24.

La rotta statica 172.16.4.0 255.255.255.0 verso 172.16.1.0 già l'avevo inserita nel TMG (in isa era da aggiungere a mano, in TMG l'ho aggiunta nella TAB "routing" della sezione "Networking".

Ok perfetto, credo che sia ora di passare a TMG anche per me :-)

quote:
Posso anche con il DHCP dire a tutti i client che il Default Gateway è il 2600 (anche se per fare questo devo farlo in off-hours per evitare di lasciare a piedi mezzo ufficio) ma in questo caso cosa succede ai client ?
se l'applicazione è controllata dal TMG client o abbiamo una richiesta Web Proxy il tutto verrà inviato al TMG, se la richiesta winsock non è controllata dal TMG allora essa va indirizzata al DG che sarebbe il 2600 ?


Ti basta aggiungere una default route sul cisco verso isa.

ip route 0.0.0.0 0.0.0.0 <isa server>

Veniamo al tuo scenario (chiaramente quelle esposte sono opinioni personali :-) ) :

Se il 2821 natta allora la cosa non mi convince molto. Se invece fa routing allora bisognerebbe analizzare per bene altri aspetti. Ma per questo ti invito a postare nella sezione Infrastutture Sicure : http://www.isaserver.it/forum/forum.asp?FORUM_ID=23 in modo da poterla approfondire.


Tornando al tuo problema:

Centralizzando il tuo default gateway sul cisco sgavi ISA da un compito che non è il suo (router) e mantieni cmq un buon controllo dello scenario.

Diversamente, dobbiano analizzare un po meglio la cosa e quindi divresti fornire i dettagli di LOG di un ping nn funzionante.

Ciao Giulio



________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page
  Previous Topic Topic Next Topic  
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso più efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it è parte del network GITCA - Global IT Community Association