- Как подружить AD с CISCO 2921,
 Andrey, 08:45 , 17-Апр-18 (1)> и добавить
> его же DNS-ом,А вот это лишнее.
Внутренний DNS должен быть кеширующим для запросов наружу. Тогда и адреса внутренние будут резолвиться и наружу будет доступ.
- Как подружить AD с CISCO 2921, yurban, 08:58 , 17-Апр-18 (2)
>> и добавить
>> его же DNS-ом,
> А вот это лишнее.
> Внутренний DNS должен быть кеширующим для запросов наружу. Тогда и адреса внутренние
> будут резолвиться и наружу будет доступ.Внутренние DNS и так остаются, но если не добавить DNS-ом CISCO - выхода в интернет нет
- Как подружить AD с CISCO 2921, ShyLion, 10:45 , 17-Апр-18 (3)
>>> и добавить
>>> его же DNS-ом,
>> А вот это лишнее.
>> Внутренний DNS должен быть кеширующим для запросов наружу. Тогда и адреса внутренние
>> будут резолвиться и наружу будет доступ.
> Внутренние DNS и так остаются, но если не добавить DNS-ом CISCO -
> выхода в интернет нет Внутренние DNS серверы должны иметь доступ в инет как минимум по UDP/TCP 53. Использовать DNS службу на циске КРАЙНЕ не рекомендую. Процессор и количество оперативки в роутере не предназначено для таких задач. Подобные фичи в роутере "для галочки".
- Как подружить AD с CISCO 2921, Andrey, 13:12 , 17-Апр-18 (6)
>>> и добавить
>>> его же DNS-ом,
>> А вот это лишнее.
>> Внутренний DNS должен быть кеширующим для запросов наружу. Тогда и адреса внутренние
>> будут резолвиться и наружу будет доступ.
> Внутренние DNS и так остаются, но если не добавить DNS-ом CISCO -
> выхода в интернет нет Покажите вывод команды "nslookup ya.ru <AD-DNS>" с пользовательского компа.
где AD-DNS - ваш внутренний DNS сервер. Если вывод этой команды указывает правильный внешний IP ya.ru, то ничего кроме шлюза на клиентах править не надо.
Если выдает что-то типа "не удалось найти ya.ru" - настраивайте внутренний DNS как кеширующий. На клиентах править _только_ шлюз по умолчанию. DNS оставить доменный.
- Как подружить AD с CISCO 2921, yurban, 23:42 , 17-Апр-18 (16)
>[оверквотинг удален]
>>> будут резолвиться и наружу будет доступ.
>> Внутренние DNS и так остаются, но если не добавить DNS-ом CISCO -
>> выхода в интернет нет
> Покажите вывод команды "nslookup ya.ru <AD-DNS>" с пользовательского компа.
> где AD-DNS - ваш внутренний DNS сервер.
> Если вывод этой команды указывает правильный внешний IP ya.ru, то ничего кроме
> шлюза на клиентах править не надо.
> Если выдает что-то типа "не удалось найти ya.ru" - настраивайте внутренний DNS
> как кеширующий.
> На клиентах править _только_ шлюз по умолчанию. DNS оставить доменный.Конечно не пингуется внешка, внутренняя сеть за прокси (ISA 2006).
- Как подружить AD с CISCO 2921, Andrey, 09:37 , 18-Апр-18 (17)
>[оверквотинг удален]
>>> Внутренние DNS и так остаются, но если не добавить DNS-ом CISCO -
>>> выхода в интернет нет
>> Покажите вывод команды "nslookup ya.ru <AD-DNS>" с пользовательского компа.
>> где AD-DNS - ваш внутренний DNS сервер.
>> Если вывод этой команды указывает правильный внешний IP ya.ru, то ничего кроме
>> шлюза на клиентах править не надо.
>> Если выдает что-то типа "не удалось найти ya.ru" - настраивайте внутренний DNS
>> как кеширующий.
>> На клиентах править _только_ шлюз по умолчанию. DNS оставить доменный.
> Конечно не пингуется внешка, внутренняя сеть за прокси (ISA 2006).Где-то было про ping?
Как уже посоветовали - ищите шефскую помощь в вашей местности.
Или читайте книги по сетям.
- Как подружить AD с CISCO 2921, eek, 11:19 , 17-Апр-18 (4)
> ISA 2006. Есть маршрутизатор CISCO 2921. Как сделать, чтобы подсеть "администрация"
> выходила в интернет через CISCO 2921, а остальные через ISA 2006. Задача понятная и решаемая; решений есть больше одного. Самое простое решение: Используйте маршрутизатор как маршрутизатор, а прокси как прокси. (Тут возможны проблемы если у вас есть NAT на ISA).
Оптимальное решение зависит от конкретных задач и функционала который вы используете на ISA.
На пальцах объяснять не получится. Расписать подробно требует времени. Если есть бюджет на задачу, пишите в скайп: eek_ru
- Как подружить AD с CISCO 2921, yurban, 12:57 , 17-Апр-18 (5)
>> ISA 2006. Есть маршрутизатор CISCO 2921. Как сделать, чтобы подсеть "администрация"
>> выходила в интернет через CISCO 2921, а остальные через ISA 2006.
> Задача понятная и решаемая; решений есть больше одного.
> Самое простое решение: Используйте маршрутизатор как маршрутизатор, а прокси как прокси.
> (Тут возможны проблемы если у вас есть NAT на ISA).
> Оптимальное решение зависит от конкретных задач и функционала который вы используете на
> ISA.
> На пальцах объяснять не получится.
> Расписать подробно требует времени. Если есть бюджет на задачу, пишите в скайп:
> eek_ru Мы бюджетная организация (образовательная). Поэтому бюджет не просто ограничен - его нет. А оборудование осталось (та же CISCO 2921) ещё с той войны.
- Как подружить AD с CISCO 2921, ShyLion, 14:15 , 17-Апр-18 (7)
Вы сами по себе или являетесь частью какой-то сети? Для чего циска используется, каков масштаб домена?
- Как подружить AD с CISCO 2921, yurban, 14:19 , 17-Апр-18 (8)
> Вы сами по себе или являетесь частью какой-то сети? Для чего циска
> используется, каков масштаб домена?Мы бюджетная образовательная организация. Студентам закрыто почти всё, даже поисковики. А администрация не может работать. Хотелось бы администрацию пустить по другому каналу - через CISCO.
- Как подружить AD с CISCO 2921, ShyLion, 14:28 , 17-Апр-18 (9)
А как вы собрались защищаться от подмены адресов студентами, например?
- Как подружить AD с CISCO 2921, yurban, 14:34 , 17-Апр-18 (10)
> А как вы собрались защищаться от подмены адресов студентами, например?У них другая подсеть. И потом у них ограничены права.
- Как подружить AD с CISCO 2921, ShyLion, 15:22 , 17-Апр-18 (11)
>> А как вы собрались защищаться от подмены адресов студентами, например?
> У них другая подсеть. И потом у них ограничены права.Что в вашем понимании "подсеть" ?
Они в отдельном изолированом вилане? Чем осуществляется маршрутизация между виланами? ПС: просто чтобы что-то конкретное советовать нужно в полной мере понимать текущую ситуацию.
- Как подружить AD с CISCO 2921, yurban, 15:27 , 17-Апр-18 (12)
>>> А как вы собрались защищаться от подмены адресов студентами, например?
>> У них другая подсеть. И потом у них ограничены права.
> Что в вашем понимании "подсеть" ?
> Они в отдельном изолированом вилане? Чем осуществляется маршрутизация между виланами?
> ПС: просто чтобы что-то конкретное советовать нужно в полной мере понимать текущую
> ситуацию.Да у них разные VLAN. 2 DNS сервера, которые поддерживает две подсети.
- Как подружить AD с CISCO 2921, ShyLion, 16:02 , 17-Апр-18 (13)
>>>> А как вы собрались защищаться от подмены адресов студентами, например?
>>> У них другая подсеть. И потом у них ограничены права.
>> Что в вашем понимании "подсеть" ?
>> Они в отдельном изолированом вилане? Чем осуществляется маршрутизация между виланами?
>> ПС: просто чтобы что-то конкретное советовать нужно в полной мере понимать текущую
>> ситуацию.
> Да у них разные VLAN. 2 DNS сервера, которые поддерживает две подсети. Коллега, если хотите получить реальную помощь - пишите нормальные, развернутые ответы.
Покачто непонятно на кой хрен в вашей сети циска вообще. Все ваши хотелки легко делаются и на IAS.
- Как подружить AD с CISCO 2921, eek, 17:19 , 17-Апр-18 (14)
>> На пальцах объяснять не получится.
>> Расписать подробно требует времени. Если есть бюджет на задачу, пишите в скайп:
>> eek_ru
> Мы бюджетная организация (образовательная). Поэтому бюджет не просто ограничен - его нет.
> А оборудование осталось (та же CISCO 2921) ещё с той войны. По ответам которые вы дали коллегами ниже - понятно, что вы в вопросе "плаваете", либо есть кто-то еще кто все это настраивает и поддерживает. Если этот "кто-то" это как раз вы - мои соболезнования. Тут вам вряд-ли помогут. Попробуйте найти кого-нибудь поближе кто в рамках шефской помощи приедет к вам на объект и сделает что нужно. Вы территориально где?
- Как подружить AD с CISCO 2921, yurban, 23:37 , 17-Апр-18 (15)
>[оверквотинг удален]
>>> Расписать подробно требует времени. Если есть бюджет на задачу, пишите в скайп:
>>> eek_ru
>> Мы бюджетная организация (образовательная). Поэтому бюджет не просто ограничен - его нет.
>> А оборудование осталось (та же CISCO 2921) ещё с той войны.
> По ответам которые вы дали коллегами ниже - понятно, что вы в
> вопросе "плаваете", либо есть кто-то еще кто все это настраивает и
> поддерживает. Если этот "кто-то" это как раз вы - мои соболезнования.
> Тут вам вряд-ли помогут. Попробуйте найти кого-нибудь поближе кто в рамках шефской
> помощи приедет к вам на объект и сделает что нужно.
> Вы территориально где?Если бы я знал все ответы то зачем бы я обращался за помощью? А территориально мы в Приморском крае.
- Как подружить AD с CISCO 2921, Pofigist, 10:51 , 19-Апр-18 (18)
>[оверквотинг удален]
>>> Мы бюджетная организация (образовательная). Поэтому бюджет не просто ограничен - его нет.
>>> А оборудование осталось (та же CISCO 2921) ещё с той войны.
>> По ответам которые вы дали коллегами ниже - понятно, что вы в
>> вопросе "плаваете", либо есть кто-то еще кто все это настраивает и
>> поддерживает. Если этот "кто-то" это как раз вы - мои соболезнования.
>> Тут вам вряд-ли помогут. Попробуйте найти кого-нибудь поближе кто в рамках шефской
>> помощи приедет к вам на объект и сделает что нужно.
>> Вы территориально где?
> Если бы я знал все ответы то зачем бы я обращался за
> помощью? А территориально мы в Приморском крае.Короче по хорошему вам нужно сделать 2 VLAN, каждому назначить свою IP-подсеть, одна для администрации, другая - для студентов. И на брандмауре - применять разные правили для трафика из этих подсетей.
В качестве фаервола можно оставить туже ISA, можно - ее выкинуть и настроить все это на кошке с помощью zbfw. Но так как вы хотите делать - делать не надо. Доступно?
- Как подружить AD с CISCO 2921, yurban, 11:24 , 19-Апр-18 (19)
>[оверквотинг удален]
>>> помощи приедет к вам на объект и сделает что нужно.
>>> Вы территориально где?
>> Если бы я знал все ответы то зачем бы я обращался за
>> помощью? А территориально мы в Приморском крае.
> Короче по хорошему вам нужно сделать 2 VLAN, каждому назначить свою IP-подсеть,
> одна для администрации, другая - для студентов. И на брандмауре -
> применять разные правили для трафика из этих подсетей.
> В качестве фаервола можно оставить туже ISA, можно - ее выкинуть и
> настроить все это на кошке с помощью zbfw. Но так как
> вы хотите делать - делать не надо. Доступно?У нас так и сделано конечно, но законами РФ всё сильнее и сильнее ограничивают контент для учащихся. Раньше мы фильтровали контент только ISA и KES. Но сейчас за ISA до выхода в интернет поставили аппаратный
брандмауэр, но его оказалось тоже мало поэтому подключили ещё сервис SkyDNS. Поэтому и думали пустить администрацию в интернет по другому внешнему IP адресу через CISCO. Подключили, настроили выход в интернет, настроили VPN для подключения через интернет в локалку. И почти всё работает кроме проблем которые описаны - на машинах на которых настраиваешь выход в интернет через CISCO начинаются проблемы с локалкой - подключения только по IP, а не по доменному имени.
- Как подружить AD с CISCO 2921, Pofigist, 13:40 , 19-Апр-18 (20)
>[оверквотинг удален]
> сильнее ограничивают контент для учащихся. Раньше мы фильтровали контент только ISA
> и KES. Но сейчас за ISA до выхода в интернет поставили
> аппаратный
> брандмауэр, но его оказалось тоже мало поэтому подключили ещё сервис SkyDNS. Поэтому
> и думали пустить администрацию в интернет по другому внешнему IP адресу
> через CISCO. Подключили, настроили выход в интернет, настроили VPN для подключения
> через интернет в локалку. И почти всё работает кроме проблем которые
> описаны - на машинах на которых настраиваешь выход в интернет через
> CISCO начинаются проблемы с локалкой - подключения только по IP, а
> не по доменному имени.Ну и в чем проблема? Настраивает NAT для учебной подсети на один IP, для административной сети делаете другой NAT через другой IP. Не знаю как в ISA (сто лет с ней дела не имел), но в кошке это элементарно:
ip nat inside source list <nat-acl-admin> interface <name-1> overload
ip nat inside source list <nat-acl-student> interface <name-2> overload
Это через разные интерфейсы вообще, но можно и просто через конкретные адреса, точнее - через пулы адресов, их может быть более одного.
Ну и соответственно надо определить два ACL - один определяет студенческую подсеть, второй - административную, что-то в стиле:
ip access-list extended <nat-acl-name>
permit ip 192.168.1.0 0.0.0.255 any
Ну и не обязательно экстендет вариант использовать - простой поменьше проца жрать будет, его тоже можно...
Кстати ису можно поставить ПЕРЕД кошкой и фильтровать... то есть сначала будет кошка, в которую приходят обе сетки, там они натятся через разные интерфейсы - один в инет напрямую подключается, другой - через ису... Кривовато конечно, но зато не надо переделывать правила на исе...
- Как подружить AD с CISCO 2921, yurban, 14:28 , 19-Апр-18 (21)
>[оверквотинг удален]
> Ну и соответственно надо определить два ACL - один определяет студенческую подсеть,
> второй - административную, что-то в стиле:
> ip access-list extended <nat-acl-name>
> permit ip 192.168.1.0 0.0.0.255 any
> Ну и не обязательно экстендет вариант использовать - простой поменьше проца жрать
> будет, его тоже можно...
> Кстати ису можно поставить ПЕРЕД кошкой и фильтровать... то есть сначала будет
> кошка, в которую приходят обе сетки, там они натятся через разные
> интерфейсы - один в инет напрямую подключается, другой - через ису...
> Кривовато конечно, но зато не надо переделывать правила на исе...ISA и без кошки прекрасно работает, только между ней и интернетом аппаратный брандмауэр и SkyDN. А в кошку и так приходят 2 VLAN (две подсети), на всякий случай. Но в ISA они идут не через кошку, а напряумую. Инет прекрасно работает. Почему не правильно работает DNS, точнее с локальными адресами?
- Как подружить AD с CISCO 2921, Andrey, 15:20 , 19-Апр-18 (22)
>[оверквотинг удален]
>> будет, его тоже можно...
>> Кстати ису можно поставить ПЕРЕД кошкой и фильтровать... то есть сначала будет
>> кошка, в которую приходят обе сетки, там они натятся через разные
>> интерфейсы - один в инет напрямую подключается, другой - через ису...
>> Кривовато конечно, но зато не надо переделывать правила на исе...
> ISA и без кошки прекрасно работает, только между ней и интернетом
> аппаратный брандмауэр и SkyDN. А в кошку и так приходят 2
> VLAN (две подсети), на всякий случай. Но в ISA они идут
> не через кошку, а напряумую. Инет прекрасно работает. Почему не правильно
> работает DNS, точнее с локальными адресами?Изучите вопрос "кеширующий DNS сервер".
- Как подружить AD с CISCO 2921, yurban, 23:38 , 19-Апр-18 (23)
>[оверквотинг удален]
>>> Кстати ису можно поставить ПЕРЕД кошкой и фильтровать... то есть сначала будет
>>> кошка, в которую приходят обе сетки, там они натятся через разные
>>> интерфейсы - один в инет напрямую подключается, другой - через ису...
>>> Кривовато конечно, но зато не надо переделывать правила на исе...
>> ISA и без кошки прекрасно работает, только между ней и интернетом
>> аппаратный брандмауэр и SkyDN. А в кошку и так приходят 2
>> VLAN (две подсети), на всякий случай. Но в ISA они идут
>> не через кошку, а напряумую. Инет прекрасно работает. Почему не правильно
>> работает DNS, точнее с локальными адресами?
> Изучите вопрос "кеширующий DNS сервер".Кеширующий DNS сервер на кошке настраивали, но это не помогло.
- Как подружить AD с CISCO 2921, Andrey, 09:17 , 20-Апр-18 (24)
>[оверквотинг удален]
>>>> кошка, в которую приходят обе сетки, там они натятся через разные
>>>> интерфейсы - один в инет напрямую подключается, другой - через ису...
>>>> Кривовато конечно, но зато не надо переделывать правила на исе...
>>> ISA и без кошки прекрасно работает, только между ней и интернетом
>>> аппаратный брандмауэр и SkyDN. А в кошку и так приходят 2
>>> VLAN (две подсети), на всякий случай. Но в ISA они идут
>>> не через кошку, а напряумую. Инет прекрасно работает. Почему не правильно
>>> работает DNS, точнее с локальными адресами?
>> Изучите вопрос "кеширующий DNS сервер".
> Кеширующий DNS сервер на кошке настраивали, но это не помогло.Еще раз. Маршрутизация и DNS - разные технологии.
В вашем случае DNS на Cisco не нужен. От Cisco требуется только маршрутизация. Настройте внутренние DNS как кеширующие, а маршрутизацию для нужных хостов заверните на Cisco.
- Как подружить AD с CISCO 2921, yurban, 09:26 , 20-Апр-18 (25)
>[оверквотинг удален]
>>>> аппаратный брандмауэр и SkyDN. А в кошку и так приходят 2
>>>> VLAN (две подсети), на всякий случай. Но в ISA они идут
>>>> не через кошку, а напряумую. Инет прекрасно работает. Почему не правильно
>>>> работает DNS, точнее с локальными адресами?
>>> Изучите вопрос "кеширующий DNS сервер".
>> Кеширующий DNS сервер на кошке настраивали, но это не помогло.
> Еще раз. Маршрутизация и DNS - разные технологии.
> В вашем случае DNS на Cisco не нужен. От Cisco требуется только
> маршрутизация. Настройте внутренние DNS как кеширующие, а маршрутизацию для нужных хостов
> заверните на Cisco.Решено. DHCP раздает шлюзом администрации IP Cisco. На контролере домена на сервере DNS-пересылка-все другие DNS-домены-IP адрес Cisco. День-полет нормальный. Всем спасибо за участие.
|
Версия для распечатки
Как подружить AD с CISCO 2921, 
