[cameron]

ещё одну сетевушку в ISA, к ней WiFi AP, сетка отличная от Internal.
всё.

[Joni]

Дороговато, HP Proliant 1U свободный слот PCI-E 1x.
USB - кажись будет откажись от стабильности и отказоустойчивости )))

[cameron]

Цитата Joni:

Дороговато, HP Proliant 1U свободный слот PCI-E 1x. »

VLAN'ы.

[Joni]

То есть как мне это реализовать?
У меня нет умных свичей и доп оборудование поддерживающие Vlan

[cameron]

тогда можно попытаться сделать так (это кривовато, но по-моему будет работать)
- на внутреней сетевушке ISA прописываем ещё один IP. (только IP и MASK, ничего больше), предположим 192.168.20.1
- в сети Internal прописываем этот диапазон (192.168.20.0/24)
- на WiFI AP указываем IP 192.168.20.2 а гейтом 192.168.20.1
- делаем явно запрещающее правило для subnet/address range в FW Policy ISA, что бы траффик между этими сабнетами не ходил.

проверьте, я не уверена что это "взлетит"

Цитата Joni:

Дороговато, HP Proliant 1U свободный слот PCI-E 1x. »

кстати сетевушка стоит вовсе не дорого
хотя купить один раз свитч с поддержкой вланов - всяко правильнее.

[Delirium]

Согласен с cameron, вариант с "левым" IP адресом будет гораздо проще и удобней. На крайний случай покупается USB сетевая, ей дается "левый" IP, и вперед разграничивать права в ISA.

[cameron]

Цитата Delirium:

вариант с "левым" IP адресом будет гораздо проще и удобней »

это черевато периодическим срабатыванием TCP Stateful Filter и дропе пакетов в связи со спуфингом.
там есть какая-то совершенно простая тонкость, но я вспомнить не могу

[zai]

Я пробовал кучу всяких вариантов с wi-fi, что бы оградить пользователей (не офиса, а приходящих) - все это полная лажа. В итоге заказал в МТС безлимит (скорость 5 Мбит за 4т. руб. в месяц) на АДСЛ модем, который подключили к АТС - теперь все (приходящие и офисные) пользователи могут хоть закачаться, а если основной интернет откажет, то переключить провод с одного роутера на другой займет менее 5 сек.

[cameron]

Цитата zai:

Я пробовал кучу всяких вариантов с wi-fi, что бы оградить пользователей (не офиса, а приходящих) - все это полная лажа. »

это решается вланами на ура.
если нет вланов - отдельными сетевыми или отдельными портами роутера.
просто оборудование нужно не SOHO, вот и всё.

Цитата zai:

а если основной интернет откажет, то переключить провод с одного роутера на другой займет менее 5 сек. »

это тоже реализуется с помощью как софтовых роутеров так и железяк.
при этом железяки копеечные.