Я недавно установил TMG2010 и считаю, что что-то не так со своей конфигурацией. Я не хочу убегать что-нибудь дополнительно помимо настройки веб-публикации / обратного прокси.
Мой Интернет идет на ASA, это порт 80 внешнего статического сигнала на 10.1.20.5 (машина TMG - из сети dmz 10.1.20.0 на asa), машина TMG имеет второй nic (10.1.10.x со шлюзом 10.1.10.1) для внутреннего подключения к веб-серверам.
Каков самый простой способ убедиться, что внутренние / внешние сетевые группы настроены правильно (что, я думаю, является моей текущей проблемой), проверить, что мой веб-прослушиватель работает правильно, а затем опубликовать несколько сайтов на разных внутренних IP-адресах.
Я видел несколько руководств по настройке веб-пересылки, но все они предполагают, что сетевые группы настроены правильно. Мои определенно так не кажутся.
Я изменил внутреннюю сеть на 10.1.10.0 - 10.1.10.255, внешняя сеть кажется неконфигурируемой, и я не уверен, нужны ли мне другие.
Спасибо!
Это диапазоны, которые я получаю, когда пытаюсь добавить «внутренний» адаптер к «внутренней» сетевой группе:
0.0.0.1 - 10.1.19.255
10.1.21.0 - 126.255.255.255
128.0.0.0 - 223.255.255.255
240.0.0.0 - 255.525.255.254
Когда я добавляю адаптер DMZ, я получаю ту же первую, третью и четвертую группы, но вторая группа:
10.1.11.0 - 126.255.255.255
Я чувствую, что это не должны быть адреса из группы «Внутренняя» сети. Их нет в списке "Локальный хост", "Карантин" или "Клиенты VPN".
Основываясь на том, что я прочитал, вы сможете продолжить свой текущий маршрут.
Одна вещь, которая очень важна, если вы используете TMG с двойным подключением, - это использование опции «изменить IP-адрес источника» в ваших правилах публикации. Без него ваш трафик будет перенаправлен обратно на устройство Cisco и, вероятно, будет сброшен, поскольку у него нет установленного соединения. Это укусило меня в большем количестве постановок, чем я хотел бы признать.
При использовании TMG строго в качестве обратного прокси-сервера я настоятельно рекомендую вам использовать единый сетевой интерфейс, как описано Вот. Я считаю, что с этой установкой намного проще управлять.
При этом будьте осторожны при использовании Forefront. Его основная поддержка заканчивается в начале 2015 года, и сигнатуры обнаружения вторжений станут бесполезными. Хотя сейчас вам просто нужен обратный прокси, станет ли это правдой через год? Или два?