Каскад прокси из UTM (v.7.8.3) и ISA-server

Обсуждение вопросов связанных с шлюзом безопасности Ideco UTM. Технические вопросы пользователей, новости от разработчиков, анонсы, обсуждения недокументированных особенностей.

Модератор: administrator

Каскад прокси из UTM (v.7.8.3) и ISA-server

Сообщение гтв » 13 фев 2019, 14:21

Добрый день.
Может кто-то делал постепенную миграцию с ISA на UTM путем построения временного каскада: локальная сеть-UTM-ISA-интернет? Ситуация осложняется наличием одного ip, который сразу смотрит в инет и этот ip присвоен ISA (с одной сетевой картой). Т.е. чисто выпустить UTM в инет на постоянной основе (минуя ISA) нет возможности. Сейчас задача стоит поставить UTM между ISA и пользователями локальной сети, для того что бы учет пользовательского трафика http\https проводился на UTM, а далее трафик с его внешнего интерфейса уже шел бы на ISA. Столкнулся с проблемой регистраци лицензии Enterprise-demo на UTM, что бы активировать модуль интеграции с AD. На ISA создал правило, пропускающее весь трафик с ip присвоенного UTM (ip взят из того же сегемента сети, что и у ISA-сервера). ISA сервер настроен на прием трафика со стороны клиентов на порт 8081.
гтв
Пользователь
 
Сообщения: 5
Зарегистрирован: 13 фев 2019, 13:08

Re: Каскад прокси из UTM (v.7.8.3) и ISA-server

Сообщение ideco.dmitriy » 13 фев 2019, 17:14

Добрый день!
К ISA-серверу Ideco UTM нужно присоединять внешним интерфейсом.
Самое простое это сделать дополнительную сеть на локальном интерфейсе, не пересекающуюся с остальной.
При этом Ideco UTM не может выходить в Интернет через прокси-сервер, нужно обеспечить ему простой интернет через шлюз (или прозрачный прокси).
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2016
Зарегистрирован: 11 мар 2014, 08:43

Re: Каскад прокси из UTM (v.7.8.3) и ISA-server

Сообщение гтв » 14 фев 2019, 16:56

Добрый день.
ideco.dmitriy писал(а):К ISA-серверу Ideco UTM нужно присоединять внешним интерфейсом.

Так и делаю. В качестве шлюза в настройках внешнего интерфейса указывать ip ISA или коммутатора. куда ISA и UTM подключены?
ideco.dmitriy писал(а):Самое простое это сделать дополнительную сеть на локальном интерфейсе, не пересекающуюся с остальной.

Т.е. в настроках локального интерфейса добавить отдельный сегмент сети? Для чего это делать?
ideco.dmitriy писал(а):Добрый день!
К ISA-серверу Ideco UTM
При этом Ideco UTM не может выходить в Интернет через прокси-сервер

Т.е. все, что предлагается выше - это описаны предполагаемые настройки для маршрутизации трафика сетевых устройств, являющихся клиентами UTM? Но не для самого UTM, т.к. ему самому необходим прямой выход в интернет?
гтв
Пользователь
 
Сообщения: 5
Зарегистрирован: 13 фев 2019, 13:08

Re: Каскад прокси из UTM (v.7.8.3) и ISA-server

Сообщение ideco.dmitriy » 14 фев 2019, 17:27

Так и делаю. В качестве шлюза в настройках внешнего интерфейса указывать ip ISA или коммутатора. куда ISA и UTM подключены?


Т.е. Ideco UTM подключен не к ISA-серверу а к коммутатору и может через него выходить в интернет?
Без схемы довольно сложно сориентироваться.

Т.е. в настроках локального интерфейса добавить отдельный сегмент сети? Для чего это делать?


Я думал, что Ideco UTM должен выходить в сеть через ISA. Таким образом можно было бы внешнему интерфейсу UTM назначить отличную от локальной сети сеть.

Т.е. все, что предлагается выше - это описаны предполагаемые настройки для маршрутизации трафика сетевых устройств, являющихся клиентами UTM? Но не для самого UTM, т.к. ему самому необходим прямой выход в интернет?


Для простоты настройки желателен прямой выход. По факту, конечно, можно настроить как угодно (только не через прямые подключения к прокси для выхода в Интернет).
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2016
Зарегистрирован: 11 мар 2014, 08:43

Re: Каскад прокси из UTM (v.7.8.3) и ISA-server

Сообщение гтв » 19 фев 2019, 14:54

ideco.dmitriy писал(а):Т.е. Ideco UTM подключен не к ISA-серверу а к коммутатору и может через него выходить в интернет?

ISA это виртуальная машина в самой простой конфигурации с одним сетевым адаптером, которому присвоен ip-адрес, с которого разрешен выход в интернет. UTM тоже виртуальная машина, развернутая по инструкции с 2 сетевыми адаптерами (один основной, другой внешний). Внешнему адаптеру UTM присвоен ip-адрес из того же сегмента сети, что и у ISA сервера (т.е. шлюз у них одинаковый). Вот я и хотел бы узнать, есть ли настройка в UTM, которая позволяет ему направлять весь трафик на вышестоящий прокси (в моем случае это ISA-server), в том числе и трафик при попытке активации продкта UTM.
ideco.dmitriy писал(а):Я думал, что Ideco UTM должен выходить в сеть через ISA. Таким образом можно было бы внешнему интерфейсу UTM назначить отличную от локальной сети сеть.

Все верно, конечная цель именно такая. Согласно инструкции настройки UTM, я изначально назначаю внешнему интрефейсу UTM ip-адрес из нашего ДМЗ (оттуда же взят и ip для ISA - выше я написал, что у ISA и внешнего интерфейса UTM ip-адреса из одного диапазона (наш ДМЗ)) и он естественно не пересекается с диапазоном для внутреннего интерфейса UTM.

ideco.dmitriy писал(а):Для простоты настройки желателен прямой выход. По факту, конечно, можно настроить как угодно (только не через прямые подключения к прокси для выхода в Интернет).

Вот этот момент видимо является камнем преткновения, т.к. у нас нет возможности одномоментно забрать в пользу UTM у ISA-server ip с которого разрешен выход в инет, по причине того, что на нем (ISA-server) маршрутизируется клиентский трафик большим кол-вом правил, которые в дальнейшем предполагалось перенести на UTM.

P.S. Еще одно затруднение имеется. Кратковременно присваивал ip ISA-сервера на внешний интрефейс UTM'а и пытался провести активацию, что бы хоть попробовать интреграцию с АД, но выдало ошибку. Техподдержка говорит, что не разрешается имя сервера лицензировния, хотя с консоли адрес my.ideco.ru разрешается nslookup во внешний адрес. Коллеги-сетевики утверждают. что ssl-bump'а нет, иначе бы трафик у нас https не ходил бы.

Есть еще мысль (если бы активация с разрешенного ip прошла бы) поставить UTM выше ISA, как бы в качестве прозрачного прокси для ISA. А после этого попрбовать на него правила маршрутизации с ISA перенести и по итогу переноса отключить ISA-сервер.
гтв
Пользователь
 
Сообщения: 5
Зарегистрирован: 13 фев 2019, 13:08

Re: Каскад прокси из UTM (v.7.8.3) и ISA-server

Сообщение ideco.dmitriy » 19 фев 2019, 18:25

На Ideco UTM вы можете сделать такой маршрут (в Сервисы - Маршрутизация).
Все поля оставьте пустые, только в качестве шлюза укажите IP-адрес локального интерфейса ISA-сервера.

Абсолютно весь трафик пойдет через ISA-сервер.

Но при этом для клиентов работать Ideco UTM будет только в режиме прямых подключений к прокси-серверу. В таком режиме: https://doc.ideco.ru/pages/viewpage.act ... Id=6357079
Как шлюз работать не сможет, из-за несимметричной маршрутизации пакетов в такой сети.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2016
Зарегистрирован: 11 мар 2014, 08:43

Re: Каскад прокси из UTM (v.7.8.3) и ISA-server

Сообщение гтв » 27 фев 2019, 12:51

ideco.dmitriy писал(а):клиентов работать Ideco UTM будет только в режиме прямых подключений к прокси-серверу. В таком режиме: https://doc.ideco.ru/pages/viewpage.act ... Id=6357079

Нужно ли в таком случае повторно разворачивать виртуальную машину, что бы по умолчанию был только один сетевой интрефейс или достаточно нажать кнопку "Отключить", что бы деактивировать внешний интрефейс и он не учитывался в дальнейшей маршрутизации трафика?
гтв
Пользователь
 
Сообщения: 5
Зарегистрирован: 13 фев 2019, 13:08

Re: Каскад прокси из UTM (v.7.8.3) и ISA-server

Сообщение ideco.dmitriy » 27 фев 2019, 13:39

Можно отключить внешний интерфейс, машину повторно разварачивать не нужно. Либо в такой конфигурации "лишний" интерфейс все равно мешать не будет, можно оставить его чтобы не было предупреждения о не настроенном внешнем интерфейсе.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2016
Зарегистрирован: 11 мар 2014, 08:43

Re: Каскад прокси из UTM (v.7.8.3) и ISA-server

Сообщение гтв » 27 фев 2019, 15:18

Не получается ни обнулить и сохранить конфигурацию, ни отключить без обнуления настроек - пишет, что основной интерфейс в активном состоянии нельзя отключить...
Оставить как есть?
гтв
Пользователь
 
Сообщения: 5
Зарегистрирован: 13 фев 2019, 13:08

Re: Каскад прокси из UTM (v.7.8.3) и ISA-server

Сообщение ideco.dmitriy » 27 фев 2019, 16:32

А да, основной интерфейс "защищен" от внезапного отключения.
Можно так оставить.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2016
Зарегистрирован: 11 мар 2014, 08:43


Вернуться в Шлюз безопасности Ideco UTM 7.x

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron