Juste pour confirmation en français car je ne trouve l'info qu'en anglais et sur des cas spécifique.

Peut-on dans ForeFront TMG avoir la config suivante :
- Lan A -> Forefront -> WAN A
- Lan B -> Forefront -> WAN B

le but est de greffer à notre proxy un autre réseau avec sa propre connexion wan. Ce réseau est dans notre domaine mais doit disposer d'une connexion internet indépendante tout en étant sécurité, tracé et filtré au minimum.

Je lis de nombreux post anglais qui confirme que Forefront ne peut gérer qu'une seule connexion "Externe", sauf avec un package mais qui ne permet de faire que du LoadBalancing.

résolu : utiliser la fonction ISP et le NAT sur chaque réseau, cf réponses de Kariboo33

je me réponds après avoir éplucher le site US/UK.
Forefront tmg ne peut pas gérer 2 destinations "Externe" sauf en LoadBalancing

Bonjour,
 
Effectivement, TMG ne propose qu'une seule entité "externe".
 
En revanche, et cela devrait répondre en partie à ta problématique, il est malgré tout possible d'utiliser le Load-Balancing.
 
En effet, pour le trafic sortant, on peut définir pour chaque réseau les adresses IP de sortie préférentielles (Propriétés de ta règle de réseau, onglet "Sélection d'adresse NAT" ).
Du coup, la quasi totalité de ton trafic sera dirigé vers l'ISP de ton choix, SAUF en cas d'indisponibilité de celui-ci.
Ce ne sera donc pas un cloisonnement total, mais ca fait bien le boulot quand même.
 
Pour le trafic entrant, la question ne se pose pas , puisque tu peux définir toi-même les réseaux de publication au cas par cas.
On peut également jouer sur les "serveurs dédiés" pour chaque ISP.
 
Bien cordialement
 
PS : attention lors de l'activation du load-balancing, la première IP disponible sur la plage de chaque ISP est utilisé par TMG pour son micmac interne, et certains services publiés dessus n'aiment pas trop cela, il vaut mieux libérer cette IP pour le seul usage interne de TMG (ceci dit, je n'ai trouvé aucune doc la dessus, c'est purement spéculatif, le fruit de mes propres tests et erreurs)

j'avais compris le principe du loadbalancing d'où mon choix du mot "Environnement" pour bien expliquer la distinction. Le 2ieme environnement DOIT utiliser son propre accès.

Ok, mais juste pour être sûr de s'être bien compris, je synthétise :
 
En jouant sur le Sélecteur NAT des relations réseau, tu peux donc obtenir que :
 

• Tout ton trafic LAN1 ira vers WAN1
• Tout ton trafic LAN2 ira vers WAN2

SAUF si l'un des ISP est indisponible (ce qui va donc a l'encontre de ton "DOIT" )

Et en y réfléchissant à posteriori, il doit même y avoir moyen de mettre en place une règle de restriction pour que si un ISP tombe, le trafic soit droppé avant de basculer vers l'autre.
Je ne l''ai pas testé ceci dit.

 
j'veux bien l'explication en détail. Forefront est un peu une usine. Mais ce genre de solution est bien plus intéressante qu'un 2ieme proxy

Je ne suis pas certain jusqu'à quel point tu veux que je détailles, mais je vais tenter :
 
Je suppose que tes 2 réseaux internes sont déjà définis, appelons les LAN1 et LAN2
Je suppose que tes 2 NICs WAN sont définies avec leurs plages IP respectives
 
Il suffit de mettre en place la redondance ISP, sur du 50/50 par exemple, ca importe peu.
Ensuite dans "Gestion de réseaux" -> "Règles de réseaux" tu vas avoir 2 règles de type LAN1 vers externe, et LAN2 vers externe (a créer/modifier au besoin)
Sur chacune de ces règles, tu vas aller dans "Propriétés" -> "Sélection d'adresse NAT" et tu spécifies le ou les adresses IP que tu veux utiliser, et non pas celle par défaut.
Donc dans la règle LAN1 vers externe, tu sélectionneras une IP de ta NIC WAN1, et dans la règle LAN2 vers externe, tu sélectionneras une IP de ta NIC WAN2.
Cela forcera le trafic à passer par l'IP spécifiée, SAUF en cas d'indisponibilité de l'ISP en question.
 
A toi ensuite de voir si effectivement tu souhaites que le trafic bascule dans ce cas là, ou sinon on doit pouvoir scinder les règles d'accès de chaque LAN pour se bloquer mutuellement et empêcher cette bascule (je n'ai pas testé ce point là).
 
Et voilà le tour est joué pour ton trafic sortant.
Dans l'onglet redondance ISP, tu peux vouloir remplir "serveurs dédiés", avec par exemple les serveurs DNS de ton ISP1 sur WAN1 et de ton ISP2 sur WAN2.
 
Pour le trafic entrant, il suffit de modifier tes règles de publication ou d'accès en conséquence, ce point là ne devrait pas poser de problèmes particuliers.
 

merci pour l'info. Je confirme que ça ressemble fortement à ce que l'on souhaite.
Je teste et je te confirme.

Pour t'éviter les mêmes désagréments que moi, essayes de ne pas utiliser la première IP de chaque carte WAN pour publier des services, TMG s'en sert.
Si ton ISP1 te donne par exemple la plage 80.80.80.0 à 80.80.80.7, avec 80.80.80.1 comme passerelle, tu définis les IPs 80.80.80.2 à 80.80.80.6 sur ta NIC WAN1 pour tes publis, mais n'utilises pas la 80.80.80.2 ! Laisses la pour TMG

bon j'ai testé et ça ne fonctionne pas.
Je ne peux pas choisir l'IP de ma NIC WAN 2 dans le NAT.
Elle n’apparaît simplement pas et je ne trouve pas où je peux l'ajouter puisque l'objet 'Externe' est dynamique (et du coup pourquoi il connait wan1 et pas wan2)

Mais si cela fonctionne    
Relis mon post, ne cherches pas à modifier ton objet "externe", tu ne peux pas.
Ce sont les règles de réseaux que tu dois modifier, LAN1 vers "externe", et LAN2 vers "externe".
Dans chacune de ces règles, modifies l'onglet "Sélection d'adresse NAT", en choisissant le (ou les) IP à utiliser.
Bien entendu, il faut que ta redondance ISP soit en place au préalable, sinon il ne te proposera pas les 2 plages ISP.

c'est bien ce que je fais.
ISP actif avec le double paramétrage d'ip publique mais lorsque je veux modifier mes règles NAT, je ne peux choisir autre IP que celle du lien WAN de la passerelle par défaut

Curieux.
 
On est bien d'accord que seules tes NICs WAN ont une Gateway (celle de leur routeur ISP respectives), tes NICs internes et DMZ ne doivent pas en avoir (ca fait partie des best practices)

toutafay.
Pour les nics internes, pas de gateway. Uniquement des routes qui pointent vers les LAN respectifs pour les sites distants.

je me réponds
le fait que les 2 wan soit sur 2 IP totalement différentes (2 Ip publique de 2 opérateurs) ne pose pas de problème ?
Forefront ne reconnait qu'une seule des 2 IP, celle de la passerelle par défaut (il ne peut y en avoir qu'une)

/slap me
ça ne fonctionnait pas parce que j'avais laissé un des wan configuré dans 'Réseaux'