dertowa
Goto Top

Gibt es ein "best practice"? - Router + TMG 2010 + WebServices + sDSL IPs

Hallo Leute,

ich stehe hier vor einem Grundsatzproblem.
Aktuell ist eingerichtet ein TMG 2010 im "Edgefirewall"-Mode, also 1 interne & 1 externe NIC.
Auch wenn der TMG wenig konfiguriert ist, da Neueinrichtung und in dem Netz aktuell nur
Internet nötig sein sollte, sowie den WSUS erreichbar zu machen, drehen sich nun die Anforderungen.

Der zukünftige Exchange 2013 soll als MX aus dem Internet erreichbar sein, es wird ein
AD FS (Federal Service) bzw. zu deutsch eine Verbundstellung geben, welche durch ihre 2 Proxies
ach vom Netz aus erreichbar sein soll.

So hänge ich nun über folgender Überlegung.

Wir haben vom ISP einen IP Bereich von 8 Adressen (5 nutzbar), unser altes Netz benötigt aktuell
für VPN und OWA 1 IP (welche auch fix bleiben muss), diese läuft über eine separate Domain und
landet an einem ISA 2006 :D

Nun suche ich also nach einem best practice und da kam mir eine TMG Konfiguration mit
3-Leg-Permimeternetwork (3-Wege-Umkreisnetzwerk) in den Sinn.
Ich würde also gern wie folgt verteilen (Beispieladressen):
Netz-IP: 207.46.130.103
Gateway: 207.46.130.104
IP 1: 207.46.130.105 --> ISA 2006 (in use)
IP 2: 207.46.130.106 --> TMG 2010
IP 3: 207.46.130.107 --> AD FS Proxy NLB
IP 4: 207.46.130.108 --> Exchange 2013
IP 5: 207.46.130.109 --> nicht belegt
Broadcast: 207.46.130.110
Subnetz: 255.255.255.248

Nun stellen sich mir folgende Fragen:
1. macht es Sinn ein Umkreisnetzwerk im TMG zu eröffnen, was dann Exchange und AD FS Proxies beinhaltet?
2. bekommt der TMG die Anfragen dann von der öffentlichen IP und leitet die in sein Umkreisnetzwerk weiter, oder benötigen Exchange und AD FS Proxy direkte Wege auf die öffentlichen IPs?
3. auf den Exchange soll nachher selbstverständlich von intern, wie auch extern zugegriffen werden...

Als weitere Möglichkeit habe ich noch einen Netgear SRX5308 hier, über diesen läuft z.Z. auch die Kommunikation
mit 3 VLANs (1 ist u.a. der ISA 2006), macht es Sinn dort die zusätzlichen IPs zu hinterlegen und ein VLAN mit TMG einzurichten?
Finde dort allerdings keine Option um bei einem VLAN "Routing" einzustellen und beim Rest bei "NAT" zu bleiben?

Für einen Schubs in die richtige Richtung wäre ich sehr dankbar. face-smile

Content-Key: 274428

Url: https://administrator.de/contentid/274428

Ausgedruckt am: 29.03.2024 um 08:03 Uhr