The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Как подружить AD с CISCO 2921"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"Как подружить AD с CISCO 2921"  +/
Сообщение от yurban (ok) on 17-Апр-18, 06:20 
Всем доброго времени суток. Есть сеть в одном домене разделенная на 2 подсети (администрация и остальные). Сейчас обе подсети выходят в интернет через ISA 2006. Есть маршрутизатор CISCO 2921. Как сделать, чтобы подсеть "администрация" выходила в интернет через CISCO 2921, а остальные через ISA 2006. Если на компьютере клиента прописать шлюзом IP адрес маршрутизатора и добавить его же DNS-ом, то компьютер в интернет выходит, но теряются связи по "имени" во внутренней сети хотя по IP связи не пропадают.
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Как подружить AD с CISCO 2921"  +/
Сообщение от Andrey (??) on 17-Апр-18, 08:45 
> и добавить
> его же DNS-ом,

А вот это лишнее.
Внутренний DNS должен быть кеширующим для запросов наружу. Тогда и адреса внутренние будут резолвиться и наружу будет доступ.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Как подружить AD с CISCO 2921"  +/
Сообщение от yurban (ok) on 17-Апр-18, 08:58 
>> и добавить
>> его же DNS-ом,
> А вот это лишнее.
> Внутренний DNS должен быть кеширующим для запросов наружу. Тогда и адреса внутренние
> будут резолвиться и наружу будет доступ.

Внутренние DNS и так остаются, но если не добавить DNS-ом CISCO - выхода в интернет нет

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Как подружить AD с CISCO 2921"  +/
Сообщение от ShyLion (ok) on 17-Апр-18, 10:45 
>>> и добавить
>>> его же DNS-ом,
>> А вот это лишнее.
>> Внутренний DNS должен быть кеширующим для запросов наружу. Тогда и адреса внутренние
>> будут резолвиться и наружу будет доступ.
> Внутренние DNS и так остаются, но если не добавить DNS-ом CISCO -
> выхода в интернет нет

Внутренние DNS серверы должны иметь доступ в инет как минимум по UDP/TCP 53.

Использовать DNS службу на циске КРАЙНЕ не рекомендую. Процессор и количество оперативки в роутере не предназначено для таких задач. Подобные фичи в роутере "для галочки".

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Как подружить AD с CISCO 2921"  +/
Сообщение от Andrey (??) on 17-Апр-18, 13:12 
>>> и добавить
>>> его же DNS-ом,
>> А вот это лишнее.
>> Внутренний DNS должен быть кеширующим для запросов наружу. Тогда и адреса внутренние
>> будут резолвиться и наружу будет доступ.
> Внутренние DNS и так остаются, но если не добавить DNS-ом CISCO -
> выхода в интернет нет

Покажите вывод команды "nslookup ya.ru <AD-DNS>" с пользовательского компа.
где AD-DNS - ваш внутренний DNS сервер.

Если вывод этой команды указывает правильный внешний IP ya.ru, то ничего кроме шлюза на клиентах править не надо.
Если выдает что-то типа "не удалось найти ya.ru" - настраивайте внутренний DNS как кеширующий.

На клиентах править _только_ шлюз по умолчанию. DNS оставить доменный.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

16. "Как подружить AD с CISCO 2921"  +/
Сообщение от yurban (ok) on 17-Апр-18, 23:42 
>[оверквотинг удален]
>>> будут резолвиться и наружу будет доступ.
>> Внутренние DNS и так остаются, но если не добавить DNS-ом CISCO -
>> выхода в интернет нет
> Покажите вывод команды "nslookup ya.ru <AD-DNS>" с пользовательского компа.
> где AD-DNS - ваш внутренний DNS сервер.
> Если вывод этой команды указывает правильный внешний IP ya.ru, то ничего кроме
> шлюза на клиентах править не надо.
> Если выдает что-то типа "не удалось найти ya.ru" - настраивайте внутренний DNS
> как кеширующий.
> На клиентах править _только_ шлюз по умолчанию. DNS оставить доменный.

Конечно не пингуется внешка, внутренняя сеть за прокси (ISA 2006).

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

17. "Как подружить AD с CISCO 2921"  +/
Сообщение от Andrey (??) on 18-Апр-18, 09:37 
>[оверквотинг удален]
>>> Внутренние DNS и так остаются, но если не добавить DNS-ом CISCO -
>>> выхода в интернет нет
>> Покажите вывод команды "nslookup ya.ru <AD-DNS>" с пользовательского компа.
>> где AD-DNS - ваш внутренний DNS сервер.
>> Если вывод этой команды указывает правильный внешний IP ya.ru, то ничего кроме
>> шлюза на клиентах править не надо.
>> Если выдает что-то типа "не удалось найти ya.ru" - настраивайте внутренний DNS
>> как кеширующий.
>> На клиентах править _только_ шлюз по умолчанию. DNS оставить доменный.
> Конечно не пингуется внешка, внутренняя сеть за прокси (ISA 2006).

Где-то было про ping?
Как уже посоветовали - ищите шефскую помощь в вашей местности.
Или читайте книги по сетям.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

4. "Как подружить AD с CISCO 2921"  +/
Сообщение от eek (ok) on 17-Апр-18, 11:19 
> ISA 2006. Есть маршрутизатор CISCO 2921. Как сделать, чтобы подсеть "администрация"
> выходила в интернет через CISCO 2921, а остальные через ISA 2006.

Задача понятная и решаемая; решений есть больше одного.

Самое простое решение: Используйте маршрутизатор как маршрутизатор, а прокси как прокси. (Тут возможны проблемы если у вас есть NAT на ISA).


Оптимальное решение зависит от конкретных задач и функционала который вы используете на ISA.

На пальцах объяснять не получится.

Расписать подробно требует времени. Если есть бюджет на задачу, пишите в скайп: eek_ru

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Как подружить AD с CISCO 2921"  +/
Сообщение от yurban (ok) on 17-Апр-18, 12:57 
>> ISA 2006. Есть маршрутизатор CISCO 2921. Как сделать, чтобы подсеть "администрация"
>> выходила в интернет через CISCO 2921, а остальные через ISA 2006.
> Задача понятная и решаемая; решений есть больше одного.
> Самое простое решение: Используйте маршрутизатор как маршрутизатор, а прокси как прокси.
> (Тут возможны проблемы если у вас есть NAT на ISA).
> Оптимальное решение зависит от конкретных задач и функционала который вы используете на
> ISA.
> На пальцах объяснять не получится.
> Расписать подробно требует времени. Если есть бюджет на задачу, пишите в скайп:
> eek_ru

Мы бюджетная организация (образовательная). Поэтому бюджет не просто ограничен - его нет. А оборудование осталось (та же CISCO 2921) ещё с той войны.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Как подружить AD с CISCO 2921"  +/
Сообщение от ShyLion (ok) on 17-Апр-18, 14:15 
Вы сами по себе или являетесь частью какой-то сети? Для чего циска используется, каков масштаб домена?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Как подружить AD с CISCO 2921"  +/
Сообщение от yurban (ok) on 17-Апр-18, 14:19 
> Вы сами по себе или являетесь частью какой-то сети? Для чего циска
> используется, каков масштаб домена?

Мы бюджетная образовательная организация. Студентам закрыто почти всё, даже поисковики. А администрация не может работать. Хотелось бы администрацию пустить по другому каналу -  через CISCO.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Как подружить AD с CISCO 2921"  +/
Сообщение от ShyLion (ok) on 17-Апр-18, 14:28 
А как вы собрались защищаться от подмены адресов студентами, например?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Как подружить AD с CISCO 2921"  +/
Сообщение от yurban (ok) on 17-Апр-18, 14:34 
> А как вы собрались защищаться от подмены адресов студентами, например?

У них другая подсеть. И потом у них ограничены права.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Как подружить AD с CISCO 2921"  +/
Сообщение от ShyLion (ok) on 17-Апр-18, 15:22 
>> А как вы собрались защищаться от подмены адресов студентами, например?
> У них другая подсеть. И потом у них ограничены права.

Что в вашем понимании "подсеть" ?
Они в отдельном изолированом вилане? Чем осуществляется маршрутизация между виланами?

ПС: просто чтобы что-то конкретное советовать нужно в полной мере понимать текущую ситуацию.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Как подружить AD с CISCO 2921"  +/
Сообщение от yurban (ok) on 17-Апр-18, 15:27 
>>> А как вы собрались защищаться от подмены адресов студентами, например?
>> У них другая подсеть. И потом у них ограничены права.
> Что в вашем понимании "подсеть" ?
> Они в отдельном изолированом вилане? Чем осуществляется маршрутизация между виланами?
> ПС: просто чтобы что-то конкретное советовать нужно в полной мере понимать текущую
> ситуацию.

Да у них разные VLAN. 2 DNS сервера, которые поддерживает две подсети.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Как подружить AD с CISCO 2921"  +/
Сообщение от ShyLion (ok) on 17-Апр-18, 16:02 
>>>> А как вы собрались защищаться от подмены адресов студентами, например?
>>> У них другая подсеть. И потом у них ограничены права.
>> Что в вашем понимании "подсеть" ?
>> Они в отдельном изолированом вилане? Чем осуществляется маршрутизация между виланами?
>> ПС: просто чтобы что-то конкретное советовать нужно в полной мере понимать текущую
>> ситуацию.
> Да у них разные VLAN. 2 DNS сервера, которые поддерживает две подсети.

Коллега, если хотите получить реальную помощь - пишите нормальные, развернутые ответы.
Покачто непонятно на кой хрен в вашей сети циска вообще. Все ваши хотелки легко делаются и на IAS.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Как подружить AD с CISCO 2921"  +/
Сообщение от eek (ok) on 17-Апр-18, 17:19 
>> На пальцах объяснять не получится.
>> Расписать подробно требует времени. Если есть бюджет на задачу, пишите в скайп:
>> eek_ru
> Мы бюджетная организация (образовательная). Поэтому бюджет не просто ограничен - его нет.
> А оборудование осталось (та же CISCO 2921) ещё с той войны.

По ответам которые вы дали коллегами ниже - понятно, что вы в вопросе "плаваете", либо есть кто-то еще кто все это настраивает и поддерживает. Если этот "кто-то" это как раз вы - мои соболезнования.

Тут вам вряд-ли помогут. Попробуйте найти кого-нибудь поближе кто в рамках шефской помощи приедет к вам на объект и сделает что нужно.

Вы территориально где?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "Как подружить AD с CISCO 2921"  +/
Сообщение от yurban (ok) on 17-Апр-18, 23:37 
>[оверквотинг удален]
>>> Расписать подробно требует времени. Если есть бюджет на задачу, пишите в скайп:
>>> eek_ru
>> Мы бюджетная организация (образовательная). Поэтому бюджет не просто ограничен - его нет.
>> А оборудование осталось (та же CISCO 2921) ещё с той войны.
> По ответам которые вы дали коллегами ниже - понятно, что вы в
> вопросе "плаваете", либо есть кто-то еще кто все это настраивает и
> поддерживает. Если этот "кто-то" это как раз вы - мои соболезнования.
> Тут вам вряд-ли помогут. Попробуйте найти кого-нибудь поближе кто в рамках шефской
> помощи приедет к вам на объект и сделает что нужно.
> Вы территориально где?

Если бы я знал все ответы то зачем бы я обращался за помощью? А территориально мы в Приморском крае.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. "Как подружить AD с CISCO 2921"  +/
Сообщение от Pofigist on 19-Апр-18, 10:51 
>[оверквотинг удален]
>>> Мы бюджетная организация (образовательная). Поэтому бюджет не просто ограничен - его нет.
>>> А оборудование осталось (та же CISCO 2921) ещё с той войны.
>> По ответам которые вы дали коллегами ниже - понятно, что вы в
>> вопросе "плаваете", либо есть кто-то еще кто все это настраивает и
>> поддерживает. Если этот "кто-то" это как раз вы - мои соболезнования.
>> Тут вам вряд-ли помогут. Попробуйте найти кого-нибудь поближе кто в рамках шефской
>> помощи приедет к вам на объект и сделает что нужно.
>> Вы территориально где?
> Если бы я знал все ответы то зачем бы я обращался за
> помощью? А территориально мы в Приморском крае.

Короче по хорошему вам нужно сделать 2 VLAN, каждому назначить свою IP-подсеть, одна для администрации, другая - для студентов. И на брандмауре - применять разные правили для трафика из этих подсетей.
В качестве фаервола можно оставить туже ISA, можно - ее выкинуть и настроить все это на кошке с помощью zbfw. Но так как вы хотите делать - делать не надо. Доступно?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "Как подружить AD с CISCO 2921"  +/
Сообщение от yurban (ok) on 19-Апр-18, 11:24 
>[оверквотинг удален]
>>> помощи приедет к вам на объект и сделает что нужно.
>>> Вы территориально где?
>> Если бы я знал все ответы то зачем бы я обращался за
>> помощью? А территориально мы в Приморском крае.
> Короче по хорошему вам нужно сделать 2 VLAN, каждому назначить свою IP-подсеть,
> одна для администрации, другая - для студентов. И на брандмауре -
> применять разные правили для трафика из этих подсетей.
> В качестве фаервола можно оставить туже ISA, можно - ее выкинуть и
> настроить все это на кошке с помощью zbfw. Но так как
> вы хотите делать - делать не надо. Доступно?

У нас так и сделано конечно, но законами РФ всё сильнее и сильнее ограничивают контент для учащихся. Раньше мы фильтровали контент только ISA и KES. Но сейчас за ISA до выхода в интернет поставили аппаратный
брандмауэр, но его оказалось тоже мало поэтому подключили ещё сервис SkyDNS. Поэтому и думали пустить администрацию в интернет по другому внешнему IP адресу через CISCO. Подключили, настроили выход в интернет, настроили VPN для подключения через интернет в локалку. И почти всё работает кроме проблем которые описаны - на машинах на которых настраиваешь выход в интернет через CISCO начинаются проблемы с локалкой - подключения только по IP, а не по доменному имени.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Как подружить AD с CISCO 2921"  +/
Сообщение от Pofigist on 19-Апр-18, 13:40 
>[оверквотинг удален]
> сильнее ограничивают контент для учащихся. Раньше мы фильтровали контент только ISA
> и KES. Но сейчас за ISA до выхода в интернет поставили
> аппаратный
> брандмауэр, но его оказалось тоже мало поэтому подключили ещё сервис SkyDNS. Поэтому
> и думали пустить администрацию в интернет по другому внешнему IP адресу
> через CISCO. Подключили, настроили выход в интернет, настроили VPN для подключения
> через интернет в локалку. И почти всё работает кроме проблем которые
> описаны - на машинах на которых настраиваешь выход в интернет через
> CISCO начинаются проблемы с локалкой - подключения только по IP, а
> не по доменному имени.

Ну и в чем проблема? Настраивает NAT для учебной подсети на один IP, для административной сети делаете другой NAT через другой IP. Не знаю как в ISA (сто лет с ней дела не имел), но в кошке это элементарно:
ip nat inside source list <nat-acl-admin> interface <name-1> overload
ip nat inside source list <nat-acl-student> interface <name-2> overload
Это через разные интерфейсы вообще, но можно и просто через конкретные адреса, точнее - через пулы адресов, их может быть более одного.
Ну и соответственно надо определить два ACL - один определяет студенческую подсеть, второй - административную, что-то в стиле:
ip access-list extended <nat-acl-name>
permit ip 192.168.1.0 0.0.0.255 any
Ну и не обязательно экстендет вариант использовать - простой поменьше проца жрать будет, его тоже можно...
Кстати ису можно поставить ПЕРЕД кошкой и фильтровать... то есть сначала будет кошка, в которую приходят обе сетки, там они натятся через разные интерфейсы - один в инет напрямую подключается, другой - через ису... Кривовато конечно, но зато не надо переделывать правила на исе...

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Как подружить AD с CISCO 2921"  +/
Сообщение от yurban (ok) on 19-Апр-18, 14:28 
>[оверквотинг удален]
> Ну и соответственно надо определить два ACL - один определяет студенческую подсеть,
> второй - административную, что-то в стиле:
> ip access-list extended <nat-acl-name>
>  permit ip 192.168.1.0 0.0.0.255 any
> Ну и не обязательно экстендет вариант использовать - простой поменьше проца жрать
> будет, его тоже можно...
> Кстати ису можно поставить ПЕРЕД кошкой и фильтровать... то есть сначала будет
> кошка, в которую приходят обе сетки, там они натятся через разные
> интерфейсы - один в инет напрямую подключается, другой - через ису...
> Кривовато конечно, но зато не надо переделывать правила на исе...

ISA  и без кошки прекрасно работает, только между ней и интернетом аппаратный брандмауэр и SkyDN. А в кошку и так приходят 2 VLAN (две подсети), на всякий случай. Но в ISA они идут не через кошку, а напряумую. Инет прекрасно работает. Почему не правильно работает DNS, точнее с локальными адресами?

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Как подружить AD с CISCO 2921"  +/
Сообщение от Andrey (??) on 19-Апр-18, 15:20 
>[оверквотинг удален]
>> будет, его тоже можно...
>> Кстати ису можно поставить ПЕРЕД кошкой и фильтровать... то есть сначала будет
>> кошка, в которую приходят обе сетки, там они натятся через разные
>> интерфейсы - один в инет напрямую подключается, другой - через ису...
>> Кривовато конечно, но зато не надо переделывать правила на исе...
> ISA  и без кошки прекрасно работает, только между ней и интернетом
> аппаратный брандмауэр и SkyDN. А в кошку и так приходят 2
> VLAN (две подсети), на всякий случай. Но в ISA они идут
> не через кошку, а напряумую. Инет прекрасно работает. Почему не правильно
> работает DNS, точнее с локальными адресами?

Изучите вопрос "кеширующий DNS сервер".

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Как подружить AD с CISCO 2921"  +/
Сообщение от yurban (ok) on 19-Апр-18, 23:38 
>[оверквотинг удален]
>>> Кстати ису можно поставить ПЕРЕД кошкой и фильтровать... то есть сначала будет
>>> кошка, в которую приходят обе сетки, там они натятся через разные
>>> интерфейсы - один в инет напрямую подключается, другой - через ису...
>>> Кривовато конечно, но зато не надо переделывать правила на исе...
>> ISA  и без кошки прекрасно работает, только между ней и интернетом
>> аппаратный брандмауэр и SkyDN. А в кошку и так приходят 2
>> VLAN (две подсети), на всякий случай. Но в ISA они идут
>> не через кошку, а напряумую. Инет прекрасно работает. Почему не правильно
>> работает DNS, точнее с локальными адресами?
> Изучите вопрос "кеширующий DNS сервер".

Кеширующий DNS сервер на кошке настраивали, но это не помогло.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Как подружить AD с CISCO 2921"  +/
Сообщение от Andrey (??) on 20-Апр-18, 09:17 
>[оверквотинг удален]
>>>> кошка, в которую приходят обе сетки, там они натятся через разные
>>>> интерфейсы - один в инет напрямую подключается, другой - через ису...
>>>> Кривовато конечно, но зато не надо переделывать правила на исе...
>>> ISA  и без кошки прекрасно работает, только между ней и интернетом
>>> аппаратный брандмауэр и SkyDN. А в кошку и так приходят 2
>>> VLAN (две подсети), на всякий случай. Но в ISA они идут
>>> не через кошку, а напряумую. Инет прекрасно работает. Почему не правильно
>>> работает DNS, точнее с локальными адресами?
>> Изучите вопрос "кеширующий DNS сервер".
> Кеширующий DNS сервер на кошке настраивали, но это не помогло.

Еще раз. Маршрутизация и DNS - разные технологии.
В вашем случае DNS на Cisco не нужен. От Cisco требуется только маршрутизация. Настройте внутренние DNS как кеширующие, а маршрутизацию для нужных хостов заверните на Cisco.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Как подружить AD с CISCO 2921"  +/
Сообщение от yurban (ok) on 20-Апр-18, 09:26 
>[оверквотинг удален]
>>>> аппаратный брандмауэр и SkyDN. А в кошку и так приходят 2
>>>> VLAN (две подсети), на всякий случай. Но в ISA они идут
>>>> не через кошку, а напряумую. Инет прекрасно работает. Почему не правильно
>>>> работает DNS, точнее с локальными адресами?
>>> Изучите вопрос "кеширующий DNS сервер".
>> Кеширующий DNS сервер на кошке настраивали, но это не помогло.
> Еще раз. Маршрутизация и DNS - разные технологии.
> В вашем случае DNS на Cisco не нужен. От Cisco требуется только
> маршрутизация. Настройте внутренние DNS как кеширующие, а маршрутизацию для нужных хостов
> заверните на Cisco.

Решено. DHCP раздает шлюзом администрации IP Cisco. На контролере домена на сервере DNS-пересылка-все другие DNS-домены-IP адрес Cisco. День-полет нормальный. Всем спасибо за участие.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor