SERVEUR ISA

[Troll]

Bonjour
j aimerais pour faire des tests installer un serveur ISA qui ferait PROXY+FIREWALL .

Dans mon reseau j ai un routeur avex ip fixe 194.xx.xx.xx et adresse privee 192.168.1.1

Mon controleur de domaine est configurer avec la passerelle 192.168.1.1 du routeur et les clients ont en passerelle l ip de mon serveur 192.168.1.2 pour l acces internet

Pour configuer mon sErveur ISA d apres ce que j ai pu lire je devrais mettre 2 cartes reseaux une qui pointe sur le WAN et l autre sur le LAN.
Alors si je comprends bien et c est la le hic la carte reseau de mon serveur isa devrait avoir comme adresse IP 192.168.1.100 admettons et en passerelle l IP du routeur ? qui est 194 .xxx.xxx.xxx et la carte reseau du lan en 192.168.1.101 et en passerelle l IP de la carte reseau interne qui est 192.168.1.100 ?

Je ne sais pas si j ai ete assez explicite , mais un coup de main serait sympa

[MaxxSnoop]

Alors, je résume :
- ton routeur IP WAN = 194.xxx.xxx.xxx et IP LAN 192.168.1.1
- ton DC IP LAN 192.168.1.2

Tu dis configurer les clients avec comme passerelle l'IP du DC (192.168.1.2), donc ton DC est aussi un router, non ?


Pour ce qui est de ISA, tu veux le configurer avec en WAN 192.168.1.100 et LAN 192.168.1.101 ! Je ne veux pas être méchant, mais tu auras de gros trous dans la sécurité de ISA car WAN et LAN seront dans la même plage IP et dans le même sous-réseaux.

Perso, si tu peux modifier l'IP LAN du routeur ce serai plutot pasmal :
- ton routeur : WAN 194.xxx.xxx.xxx et LAN en 10.0.0.1 par exemple.
- ton ISA : WAN 10.0.0.2 et LAN 192.168.1.1

Comme ça rien d'autre a modifier car pour ton DC la passerelle par défaut sera toujours 192.168.1.1 et hop, ni vu ni connu

Pas contre si tu peux éclairsir cette histoire de passerelle 192.168.1.2 de tes clients..., car là je comprend pas tout.

@+

[Troll]

oups desole me suis trompe , evidemment la passerelle des clients est bien mon routeur 192.168.1.1

Apres pour la modification de l ip lan du routeur je ne peux pas car il est en location et je n ai pas les droits pour l administrer, l ennuyeux c est que j ai des forwardage de ports rediriger sur certains de mes serveurs sous la plage 192.168.1.xxx

Faut dire que je mis perds un peut la dedans

[MaxxSnoop]

Houla, on est dans le caca alors ...

- Oki on touche pas au routeur qui est en WAN 194.xxx.xxx.xxx/LAN 192.168.1.1 .

- Ton LAN est en 192.168.1.0/24 (je suppose) et ton routeur a de la redirection de ports sur sur même plage...

-> Si tu mets ton ISA en LAN 192.168.1.0/24, tu pourras l'utiliser comme serveur de cache (1 seule carte est requise), mais pas firewall pour les raisons citées au dessus.

-> Sinon, si c'est juste pour des tests, tu peux mettre ton ISA en WAN 192.168.1.0/24 et LAN 10.0.0.0/8 + un PC en LAN 10.0.0.0/24.

Je te rappel que pour le mode firewall ou intrégré, il faut configurer la TAL de ton ISA et il ne faut pas que les adresses WAN y figures. Or, si tu mets les 2 interfaces de ton ISA dans le même sous réseaux (ex : 192.168.1.0/24). Si c'est le cas, ISA ne saura pas faire la diffèrence entre les 2, ou fera la diffèrence mais mal avec des trous de sécurité !

Si quelqu'un a une autre solution...

[Moez]

Bonjour MaxxSnoop,

Non je pense que c'est la seul solution, Comme vous dite il faut faire attention a La TAL ajouter Seulement le reseau 10.0.0.0/24 dans La TAL Ne pas ajouter les adresses Privees Propose par L'assitant de ISA.

Changer L'adressage reseau Local de tout les postes Meme Le DC vers La plage 10.0.0.0/24

Merci

[MaxxSnoop]

Oui, je pense aussi que c'est la seule solution, mais il ne peut pas changer tout l'adressage du réseaux car son routeur redirige des ports vers son réseaux en 192.168.1.xxx .
Quoi que, il sufirait de rediriger ces ports avec ISA du style :
routeur 194.xxx.xxx.xxx ports X --> ISA 192.168.1.xxx ports X --> 10.0.0.xxx ports X .
Il faut comprendre (-->) = vers .

Mais bon...

Moez, je pense que ici, sur le forum, on peut se dire "tu", non ?

[Troll]

OK merci je vais essayer comme tu as dis !!

je suppose que la TAL c est la translation d adresse , si oui comment je dois faire , est ce que cela se configue au niveau du serveur 2000 ou directement avec ISA ?

[Moez]

Salut Troll,
La TAL se trouve dans la console de ISA C'est lui qui va considerer si une adresse IP fait partie du reseau Local ou externe.

Salut MaxxSnoop,
Je pense que si on utilise ISA c'est pour centraliser Le flux de la connexion, il n'est pas question de laisser du traffic passer sans L'accord de ISA.
La solution la plus propre est de changer l'adresse du routeur comme tu l'a dit.

[MaxxSnoop]

Je suis d'accord avec toi Moez, mais Troll n'a pas les droits pour faire les modifs du routeur

Quelle idée d'utiliser un routeur en location
Je reste aussi sur la solution de modifier l'adressage du routeur.

Sinon, j'ai bien une dernière idée... C'est de virer le routeur et de le remplacer par ISA, et hop plus de problème.

ps : Moez, nickel ta listenoir sur ton group, par contre comprend pas pourquoi ton bandwidth simulateur m'annonce 32000 Kbyte pour une connexion 512 Kbites...

[Moez]

Pour le Banwitch Simulator il est a Jaime Pirnie il n'est pas a moi. Par contre La Liste Noir elle est a moi Je l'ai optimise pour ISA server elle est differente des autres Listes noir qu'on trouve sur Le NET .
Si vous observer ou remarque que certain site ne doivent pas etre Bloquee Fait moi signe.

Merci.

[Troll]

oui je sais bien que c est pas le pied d avoir un routeur en location , ce que je vais faire c est leur dire de me fowarder tous les ports sur l ip de mon serveur ISA et apres reconfigurer !!! c est pas mal de boulot mais pour l instant je ne peux pas faire autrement et je doute qu ils veuillent changer l adressage du routeur !en tout cas je vous remercie tous
je viens de faire un essai chez moi et ca marche !!