none
TMG VPN RRS feed

  • Вопрос

  • Такая задачка: 

    Есть TMG с двумя сетевухами: одна локалка другая инет, локалка - 192.168.0.0/24 

    поднимаю VPN, если в настройках присвоения IP указать DHCP, то клиенты подключаются, и видят сеть, IP выделяет сервер DHCP который в сети, ресурсы доступны, но вот если сделать  раздавать IP , самим сервером, из диапазона к примеру сети 10.10.0.0 , то VPN клиенты не видят ресурсы, вообще сеть не доступна. 

    Подскажите что нужно сделать чтобы заработало, если раздавать IP из диапазона? 

    25 декабря 2017 г. 13:09

Ответы

  • Нужно настроить на клиенте маршрут в сеть 192.168.0.0/24 через VPN.

    Для клиентов под Windows vожно сделать это, либо создав подключение, содержащее нужный маршрут, через "Пакет администрирования диспетчера подключений" (это можно сделать на сервере или на рабочей станции администратора) и установив его вместо подключения VPN на всех клиентах, либо настроив выдачу маршрута по DHCP (только нужно разрешить прохождение запросов и ответов DHCP через TMG).


    Слава России!

    25 декабря 2017 г. 13:31
  • Я имел в виду, что адреса нужно выдавать из пула (который настраивается на TMG), а DHCP использовать только для выдачи опций (клиент VPN в Windows запрашивает их с помощью DHCPInform). Для этого надо на сервере DHCP создать дополнительную область, соответствующую пулу, на TMG настроить DHCP Relay Agent и разрешить правилами файервола прохождение запросов и ответов DHCP. Настройка TMG делается аналогично настройке предыдущей версии продукта - ISA Server

    Слава России!

    25 декабря 2017 г. 14:56

Все ответы

  • Нужно настроить на клиенте маршрут в сеть 192.168.0.0/24 через VPN.

    Для клиентов под Windows vожно сделать это, либо создав подключение, содержащее нужный маршрут, через "Пакет администрирования диспетчера подключений" (это можно сделать на сервере или на рабочей станции администратора) и установив его вместо подключения VPN на всех клиентах, либо настроив выдачу маршрута по DHCP (только нужно разрешить прохождение запросов и ответов DHCP через TMG).


    Слава России!

    25 декабря 2017 г. 13:31
  • Так клиенту VPN адрес тогда будет из сети 192.168.0.0. , а нужно чтобы адрес был из  сети 10.10.0.0. и доступ был к сети 192.168.0.0 
    25 декабря 2017 г. 14:02
  • Я имел в виду, что адреса нужно выдавать из пула (который настраивается на TMG), а DHCP использовать только для выдачи опций (клиент VPN в Windows запрашивает их с помощью DHCPInform). Для этого надо на сервере DHCP создать дополнительную область, соответствующую пулу, на TMG настроить DHCP Relay Agent и разрешить правилами файервола прохождение запросов и ответов DHCP. Настройка TMG делается аналогично настройке предыдущей версии продукта - ISA Server

    Слава России!

    25 декабря 2017 г. 14:56
  • Если TMG в Вашей сети является шлюзом, то проблем быть не должно. Если же TMG - не шлюз, то надо на вашем шлюзе указать маршрут, чтобы целевой компьютер (к которому пытаетесь подключиться) знал где ему искать сеть 10.10.0.0. Можно сделать грабли и прописать маршрут на конечном компьютере, что 10.10.0.0 находится за TMG сервером.

    Ну и правила, я надеюсь, в Firewall Policy Вы указали, которые бы разрешали доступ "Сеть Internal" <-> "VPN Clients"?

    26 декабря 2017 г. 9:41
  • Да правила все указаны
    26 декабря 2017 г. 13:02
  • Да правила все указаны

    А с маршрутами все ок?

    У меня настроено именно так, как Вам требуется. Клиенты подключаются и с доступом в локальную сеть проблем нет. Но у меня шлюз не ТМГ, а Cisco. Пока маршрута на шлюзе не было, то естественно доступа не было.

    27 декабря 2017 г. 11:40
  • TMG шлюз
    27 декабря 2017 г. 13:45
  • TMG шлюз
    А он в курсе, что нужно маршрутизировать пакеты? Ну и вообще, traceroute с клиента где заканчивается? Можете попробовать и сбросить результат?
    27 декабря 2017 г. 13:58
  • TMG шлюз

    А он в курсе, что нужно маршрутизировать пакеты? Ну и вообще, traceroute с клиента где заканчивается? Можете попробовать и сбросить результат?

    он то в курсе. клиенты не в курсе. легко проверяется route print

    Для клиентов под Windows vожно сделать это, либо создав подключение, содержащее нужный маршрут, через "Пакет администрирования диспетчера подключений" (это можно сделать на сервере или на рабочей станции администратора) и установив его вместо подключения VPN на всех клиентах, либо настроив выдачу маршрута по DHCP (только нужно разрешить прохождение запросов и ответов DHCP через TMG).

    или ещё третий вариант ничего не меняя на сервере, а вот на клиенте поставить галочку "использовать VPN как шлюз по умолчанию". При этом может пострадать скорость при доступе ресурсам в интернете.

    скажите MaksiLM если есть ещё Apple OS X клиенты. Подскажу как там роутинг сделать.


    27 декабря 2017 г. 14:17
    Модератор