Доступ в ИНет через локальную подсеть.

[Семеныч]

имеем:

1. неуправляемый, недоступный сервер имеющий выход в инет и локальный адрес 192.168.107.1, настроена маршрутизация на доступ в инет. (то есть компы с адресами (192.168.107.*) получают ничем ни ограниченный доступ в инет.
2. сервер имеющий подключение к вышеуказанному серваку (через сетвую с адресом 192.168.107.2) и вторую сетевую с адресом 192.168.0.1. Установлена Win2k3 sp2. Функции - основной контроллер AD, сервер DHCP, сервер DNS, сервер SAV, SQL-сервер, Файл-сервер, ISA2k6-сервер (в процессе настройки)
3. сервер с адресом 192.168.0.2. Установлена Win2k3 sp2. Функции - дополнительный контроллер AD, сервер терминалов.
4. 10 компов пользователей.

требуется:
настроить систему так что бы все пользователи имели доступ в Инет (и локальным серверам (1) и (2)), но данные проходили через ISA для сбора информации (по моему -собственно в нем и есть вся проблема, никак не могу сделать чтобы пользователи получали IP, так как ISA не пропускает на сервак неподключенных а чтобы подключится нужен IP из посети 192.168.0.* (маска подсети 255.255.255.0))
сейчас лопачу информацию по ISA, но пока ничего существенного по данному вопросу не нарыл, если у кого есть мысли по этой проблеме - прошу поделится.

события ранее - все компы входили в подсеть 192.168.107.*. когда пользователи прочухали халяву на доступ в инет накачали такую прорву что писец (тариф ни хрена не анлим)... сервак (1) находится под управлением ОЧЕНЬ далеких от меня админов (у них таких серваков много поэтому на внимание ко мне я не рассчитваю). начальство обязало меня обеспечить контроль за доступом в инет (isa сервер для этого и поднимается, вижу его первый раз в жизни, до этого сталкивался только с Траффик инспектором). Логически помыслив решил что система описанная выше должна работать, осталось только воплотить эти мысли...

[PLAstic]

А как у тебя люди получают выход в инет просто меняя адрес? Ты догадался воткнуть неуправляемый сервер в свитч? А нафига тогда поднимаешь вторую ису? Вероятно, ты в курсе, что такое DMZ. Так вот. Первый рубеж у тебя - это 107.1. Далее от воткнут кроссом в интерфейс 107.2 (без свичей, напрямую!). На 107.2 нет ни домена, ни других служб кроме исы. Можешь вторичный DNS на нём развернуть и всё. Далее от 0.1 (она же 107.2) хвост в свитч. На 0.2 стоят все службы. Машина с 0.1 введена в домен рядовым сервером и на исе включена авторизация исходящих соединений. На 0.2, получается, DC, DNS и DHCP. Первый месяц рассылаешь поконторе бумажку, что "все соединения логируются и качайте сколько хотите, но перелимит будет вычитаться из вашей зарплаты в трёхкратном размере". Для примера можешь привести расчёт суммы вычета по особо наглому сотруднику.
По исе что могу сказать - как там правила создавать, это понятно по примерам станет. А какие правила создавать (т.е. что иса режет), это видно в мониторинге в режиме реального времени.

[Семеныч]

Цитата: Сообщение от PLAstic А как у тебя люди получают выход в инет просто меняя адрес? Ты догадался воткнуть неуправляемый сервер в свитч? А нафига тогда поднимаешь вторую ису? Вероятно, ты в курсе, что такое DMZ. Так вот. Первый рубеж у тебя - это 107.1. Далее от воткнут кроссом в интерфейс 107.2 (без свичей, напрямую!). На 107.2 нет ни домена, ни других служб кроме исы. Можешь вторичный DNS на нём развернуть и всё. Далее от 0.1 (она же 107.2) хвост в свитч. На 0.2 стоят все службы. Машина с 0.1 введена в домен рядовым сервером и на исе включена авторизация исходящих соединений. На 0.2, получается, DC, DNS и DHCP. Первый месяц рассылаешь поконторе бумажку, что "все соединения логируются и качайте сколько хотите, но перелимит будет вычитаться из вашей зарплаты в трёхкратном размере". Для примера можешь привести расчёт суммы вычета по особо наглому сотруднику. По исе что могу сказать - как там правила создавать, это понятно по примерам станет. А какие правила создавать (т.е. что иса режет), это видно в мониторинге в режиме реального времени.

неуправляемый сервак стоит под FREEBSD. Что и как на нем настроено - величина неизвестная.
в принципе не имея доступа к инету (ИСА все резала) по логике настроил почти так же как Вы описали... теперь разбираться буду с правилами и отчетами.... очень мне нужен полный отчет по траффику...

немного отклоняющийся от темы вопрос - насколько критична загруженность компа с ИСА для пропускной способности?

[Zhlobny Hmur]

Цитата: Сообщение от Семеныч ISA2k6-сервер (в процессе настройки)

А в чем проблема, собственно? пользователей переводим на подсеть 192.168.0.* (придется делать опредленные перекомутации в проводном хозяйстве)
Устанавливаем/настраиваем роутинг на серваке и правильно пишем IP параметры на локалке.

И весь усерский трафик радостно идет через ISA.... И настраиваете ее как хотите!