none
Разрешить доступ к VPN только с определенных IP в TMG 2010

    Question

  • Здравствуйте!

    В ISA 2006 была возможность определить с каких IP адресов давать возможность соединяться по PPTP, L2TP и т.д. Да, встроенной поддержки этого "маневра" не было, но была статья и способ работал. В кратце, нужно было создать пустую внешнюю сеть, системное правило настроить на доступ из этой сети, а потом создать отдельное правило доступа с нужных IP адресов.

    Попробовал тот же способ на TMG - хоть сеть и пустая, но все равно доступ разрешен со всех IP адресов.

    Есть какой-то другой метод как достичь нужного результата?

    Friday, December 02, 2011 8:47 AM

All replies

  • но зачем?

    Friday, December 02, 2011 9:59 AM
  • У меня мудрый и очень грамотный начальник, который сам все знает лучше меня. Поэтому.
    Friday, December 02, 2011 11:26 AM
  • К сожалению ещё не было опыта настраивать доступ VPN  в TMG но в ISA 2006  при наличии такого правила как на картинки разве нельзя просто ограничить доступ указав вместо External нужный IP

    Saturday, December 03, 2011 6:06 PM
  • Именно про этот прием я и рассказывал в первом посте. Сложность заключается в том, что для того, чтобы этт прием работал необходимо обмануть системное правило, чтобы оно было активно, но при этом не работало, иначе правила созданные администратором вообще не имели бы значения. Обман системного правила достигался созданием пустой сети и настройки системного правила на прослушивание пакетов этой самой пустой сети.

    Так вот, в случае ISA при такой настройке системного правила к ВПН невозможно было подключиться, тогда в силу вступало правило как на картинке выше. В случае же с TMG, он все равно дает возможность подключиться к VPN с любого адреса.

    Я прошу кого-нибудь у кого есть TMG проверить это. Действительно ли это так как я говорю или у меня просто руки кудрявые?

    Monday, December 05, 2011 4:38 AM
  • Как то мне сложно понять не имея TMG под рукой почему не работает правило если его изменить (и системное и то которое создано админом). Может предложите начальнику что бы доступ к впн был только у членов группы которую вы создадите.
    Monday, December 05, 2011 10:37 AM
  • А доступ и так разрешен только членам группы VPN Users. Но я же говорю, начальник очень мудрый человек, поэтому "необходимо использовать все возможные средства для уменьшение вероятности доступа не авторизованных лиц к ресурсам ЛВС предприятия".

    Tuesday, December 06, 2011 12:59 PM