Chào mọi người.

Tôi đang có một vấn đề về cách NAT trên PIX 525. Hiện tôi muốn tạo một VPN Server trên ISA qua đường Lease Line của PIX. Nhưng ISA lại có gateway qua ADSL. Mô hình mạng như hình vẽ

http://vnpro.org/forum/attachment.php?attachmentid=1259&stc=1&d=1214967524

Như vậy máy trạm sẽ request VPN qua đường LeaseLine tới PIX, PIX sẽ forward tới ISA Server, trên ISA server sẽ nhận thấy tại ip của PIX có request tới và chấp nhận.

Vấn đề là không biết PIX có làm NAT hay cách nào như vậy được không, giống như publish của ISA vậy.

ISA server nằm ở cổng inside của PIX 525 phải không alpha5? Hay là trong DMZ?

Trong inside anh Minh ạ.

hi alpha 5

Bạn thực hiện cấu hình static NAT trên PIX bình thường. Nat tĩnh địa chỉ của ISA server ra một IP thực của dãy IP được cấp kèm theo leased line.

Không được. Vừa thử với remote desktop lên một máy thường không có firewall, nếu để gateway của máy vào PIX thì remote được, nhưng ngay khi đổi gateway của máy là không remote được nữa.
Máy đó đã được NAT tĩnh và cho access list qua.

trong sơ đồ bạn vẽ thì ISA có hai card mạng phải ko?

ISA có 2 card mạng, external có gateway đi ADSL.

Nếu ISA có hai card mạng thì tình hình dễ dàng hơn rất nhiều. Card mạng thứ nhất, bạn cài đặt chung IP subnet với cổng inside của PIX, gán default gateway là cổng inside của PIX. Card mạng thứ hai bạn gán IP là gateway đi ADSL.

Vậy cái nào sẽ có metric lớn hơn? Chắc là card mạng đi PIX sẽ có metric lớn hơn.
Trong trường hợp ISA cũng là web proxy cho các máy trong mạng LAN thì lợi và hại khi đặt 2 gateway ở đây là gì, nó có ảnh hưởng gì đến việc truy cập internet của các máy trạm khác không?
Anh có thể giải thích rõ hơn được không?
Bây giờ thì chưa đặt ngay được, để lát về em sẽ thử.

Hi, I come back :) .

Vừa thử với máy có 1 card mạng, thêm cái route, it's worked!!!!$-)

Có lẽ với ISA 2 card mạng nó cũng sẽ làm việc được. Nhưng dù sao em vẫn muốn biết liệu có vấn đề gì cần lưu ý khi đặt 2 gateway trên proxy như vậy không.

Rất tiếc là không chạy. Lần thử kia bị sai, có lẽ là do lúc đặt route tôi để metric 1 qua PIX, dù đã đổi lại nhưng chắc khi đó nó vẫn nhận đường qua PIX.

Bây giờ thử lại đặt thêm gateway cho card internal của ISA vào PIX thì remote được nhưng khi đó ISA đi qua hoàn toàn ra PIX, không còn đi qua gateway kia nữa. Đặt metric cao thì không đi qua PIX nữa.

Có vẻ chưa được.

cái gateway ADSL bắt buộc phải gắn vào ISA server à? Có thể gắn cái gateway ADSL đó qua bên cổng outside của PIX đuoc ko? Trên PIX vẫn có thể cấu hình PPPoE.

Thực ra việc gateway nào thì cũng chỉ là do điều kiện mạng thôi. Đại khái là mô hình mạng gồm 2 đường internet LeaseLine và ADSL. Cần các điều kiện sau khi xây dựng mô hình để thuận lợi cho mạng:

Các máy trong mạng phải đi internet phải được cache lại để tăng tốc, và qua đường ADSL. Nên dùng ISA làm proxy và firewall luôn có gateway đi qua ADSL
Một vài máy cùng dải server phải đi được qua LeaseLine để đi internet trực tiếp và publish service. Các máy này chỉ băng cách đổi gateway có thể chuyển đổi 2 đường.
VPN trên PIX thì không thuận lợi cho việc kết nối, vì hiện tại không dùng được Window Client mà phải dùng Cisco VPN Client để kết nối (config nó không chạy). Thứ hai là dùng PIX làm VPN Server thì việc giới hạn vùng truy cập đến từng user hiện chưa làm được, dùng qua ISA thuận tiện hơn nên em muốn dùng ISA làm VPN Server
Hiện các đường ADSL có dùng loadbalancing để cân bằng tải, nên thực ra có thể cho thằng PIX vào thành 1 trong các đường WAN trên con cân bằng tải này. Song điểm dở khi đó là phụ thuộc hoàn toàn vào ISA. ISA chết là các dịch vụ publish tiêu luôn.


Anh nói gắn gateway ADSL qua cổng outside của PIX là như thế nào em chưa hiểu lắm.

http://www.wimaxpro.org/Hinh_upload/hinh_blog/PPPoPIX.jpg

Theo em hiểu thì hình này mô tả:

- ISA đặt trong DMZ của PIX, inside muốn ra internet phải đặt proxy là ip của ISA
- ADSL và LeaseLine đặt ở outside, chưa rõ là chung 1 interface hay phải 2 interface ở đây, nếu chung thì đấu nối thế nào, cấu hình ra sao?
- ISA được NAT để nhận VPN request từ LeaseLine, gateway của ISA là vào ip DMZ của PIX.
- Đặt policy routing trên PIX để với VPN request sẽ trả next-hop ra LeaseLine (đối với ISA), và đi internet bình thường khác là ra ADSL.

Như vậy còn một số điểm chưa rõ anh có thể giải thích kỹ hơn được không:

Hiện PIX chỉ có 2 interface, để có thêm phải chờ một thời gian nữa, vậy ISA liệu vẫn có thể đặt trong inside được không, LeaseLine có thể cắm chung vào cổng LAN của ADSL được không?
Policy routing thì em mới chỉ làm trên multilayer switch, chưa biết làm trên PIX. Có phải nó là lệnh route-map không?

http://www.wimaxpro.org/Hinh_upload/hinh_blog/PPPoE2.jpg

Hmmm, hình như ta bị vòng luẩn quẩn lại quay về mô hình hiện tại :D, tuy có khác hơn là có thêm DMZ của ISA. Tuy nhiên khi đặt default gateway trên ISA ra PIX thì làm sao để user ra internet bằng ADSL được? Vì windows và ISA không có khả năng phân luồng theo source address.

Có lẽ phải làm thêm 1 server nữa ra LeaseLine, cộng với cái hiện tại ra ADSL sẽ đáp ứng được yêu cầu, vừa phụ giúp khi 1 server tắt vẫn ra được internet, tuy hơi lãng phí.

Để user ra Internet qua ISA theo cách mà bạn alpha muốn, bạn cần phải triển khai thêm vài tính năng trên ASA. Còn phần từ WAN router, leased lines, NAT trên PIX đã đáp ứng tốt yêu cầu của bạn.

Xem thêm:

ISA Client 1, part 1: General Configuration

http://www.isaserver.org/tutorials/ISA_Clients__Part_1__General_ISA_Server_Configurat ion.html

ISA Client , part 2: SecureNAT and Web Proxy client:


http://www.isaserver.org/tutorials/ISA_Clients__Part_2_SecureNAT_and_Web_Proxy_Client .html

ISA part 3: The FW client


http://www.isaserver.org/tutorials/ISA_Clients__Part_3_The_Firewall_Client.html

Em vẫn chưa biết làm sao để ISA đi qua đường không phải default gateway cả.

Em vẫn chưa biết làm sao để ISA đi qua đường không phải default gateway cả.

Hướng dẫn đã quá kỹ càng rồi, còn thắc mắc gì nữa vậy bạn?