ISA Server VPN & WEB 2 physikalische Leitungen

[alex.q1 10]

Hallo,

 

folgendes Szenario.

Wir haben einen ISA 2006 Std. in Betrieb mit drei Netzwerkinterfaces:

Schnittstellen

LAN: 172.17.15x

DSL1: 172.16.1.x

DSL2: 192.168.1.x

 

Ich möchte für den gemeinen Usertraffic ins Internet gerne Schnittstelle

DSL2 verwenden. Für das VPN hätte ich gerne DSL1, da es sich hierbei um eine

symmetrische Leitunge handelt.

 

Problem ist nun folgendes:

DSL2 hat eine niedrigere Metrik als DSL1, wird folglich immer als

Standardschnittstelle für alle ausgehenden Datenverkehr verwendet.

Konfiguriere ich nun das VPN, scheitert dies eben daran, dass DSL1 eine

höhere Metrik besitzt als DSL2. Somit steht kein Rückkanal zur Verfügung, da

dieser über eine andere IP-Adresse (die von DSL2) geht.

 

Ändere ich die Metrik so, dass DSL2 eine niedrigere Metrik hat als DSL1

funktioniert zwar das VPN, allerdings wird auch für den gemeinen Surfverkehr

die symmetrische Leitung verwendet, was ich eben verhindern möchte.

Ich möchte nun eine statische Route oder dergleichen definieren, die

beschreibt dass alles was von der symmetrischen Leitung (mit fester IP) kommt

auch über diese zurückgesandt wird.

 

Wie müsste dieser Eintrag aussehen? Habe ich dafür überhaupt mittel in ISA

Server und Routing & RAS?

 

Vielen Dank schon im Voraus für alle Vorschläge!

Grüße

 

Alex

[Hr_Rossi 10]

hi

 

ich versteh nicht ganz in den firewallrcihtlinien kannst du ja alles dezidiert einstellen welches protokoll über welches interface hinausgeht....

dann spielt doch die metrik keine rolle mehr .... oder :suspect:

 

lg

[alex.q1 10]

Hi,

 

danke für die schnelle Antwort.

 

Soweit ich das einsehen kann ist es doch über die Firewallrichtlinien nur möglich zu sagen welches Protokoll zu welchem Ziel erlaubt ist. Jedoch nicht welches Protokoll welche Route zum Ziel nehmen kann. Von einem echten Routing kann man hier also nicht sprechen. Das Paket wird immer versuchen die Route mit der niedrigsten Metrik in Anspruch nehmen, ungeachtet dessen ob es nun darf oder nicht.

 

Falls ich mich da irre oder grad auf der Leitung sitze (was ich gern oft tu.. ) klärt mich auf!

 

Gruß

alex

[Hr_Rossi 10]

hi

 

genau du kannst ja sagen jeden http traffic von intern nach extern (und da gibst du das interface welches du haben willst) das geht ja ...

 

leider habe ich eien isa mit nur 2 nics...

kann aber das szenario mal in eienr vm nachbauen das dauert aber ein bischen....

 

lg

[alex.q1 10]

Hi,

 

wenn Du dir meinetwegen die Mühe machen würdest, sehr gern.

Im MOment kann ich leider nicht ganz folgen :)

 

Danke für die unterstützung!

Gruß

 

Alex

[Dirk_privat 10]

Servus,

 

Den ISA interessiert die Metric zunächst einmal nicht. Da Du für DSL1 und DSL2 unterschiedliche NIC´s hast, kannst Du das über die Regeln definieren. Wie Hr. Rossi schon schrieb, defnierst Du z.B. http von intern nach XXX, wobei XXX entweder Deine NIC DSL1 oder DSL2 ist. Wie und mit welcher Route/ Metric die Daten dahingelangen, interessiert die FW Regel zunächst nicht.

 

Gruß

Dirk

[Thanquol 10]

Hiho,

 

ich muss das Thema leider nochmla aufgreifen, da ich gerade vor exakt dem gleichen Problem stehe!

 

Ich kann aber in meinen Firewall Regeln nur das Ziel in Form eines Netzwerkes (also im FAlle internet = extern) angeben, aber nicht in Form einer NIC?

 

Hast du den Fall bei dir bereits gelöst Alex.q1?

 

Danke,

Florian