none
VPN Соединение с двумя каналами интернет RRS feed

  • Вопрос

  • Добрый день коллеги.
    Есть 2 филиала, в каждом по 2 канала в интернет, можно ли соединить филиалы VPNом с помощью
    ISA-сервера так чтобы в случае отказа одного канала vpn-соединение устанавливалось через другой канал.

    9 декабря 2009 г. 17:35

Ответы

  • У ISA плохо с "многоканальностью" вообще, так что пора перебираться на "Forefront Threat Management Gateway 2010", содержащий функционал "ISP Redundancy".
    • Помечено в качестве ответа mmOleg 10 декабря 2009 г. 15:18
    9 декабря 2009 г. 18:46
    Отвечающий

Все ответы

  • У ISA плохо с "многоканальностью" вообще, так что пора перебираться на "Forefront Threat Management Gateway 2010", содержащий функционал "ISP Redundancy".
    • Помечено в качестве ответа mmOleg 10 декабря 2009 г. 15:18
    9 декабря 2009 г. 18:46
    Отвечающий
  • А что это за функционал "ISP Redundancy", в двух словах если можно?

    9 декабря 2009 г. 19:08
  • Эта функция позволяет использовать два соединения с внешним миром для балансирования нагрузки и/или обеспечения отказоустойчивости.

    http://blogs.technet.com/isablog/archive/2009/02/16/keeping-high-availability-with-forefront-tmg-s-isp-redundancy-feature.aspx
    9 декабря 2009 г. 19:12
    Отвечающий
  • А это доступно в редакции Standard
    9 декабря 2009 г. 19:16
  • Эта функция позволяет использовать два соединения с внешним миром для балансирования нагрузки и/или обеспечения отказоустойчивости.

    http://blogs.technet.com/isablog/archive/2009/02/16/keeping-high-availability-with-forefront-tmg-s-isp-redundancy-feature.aspx

    и как это поможет с балансировкой VPN?

    -=C U=-
    9 декабря 2009 г. 19:17
  • // <...> чтобы в случае отказа одного канала vpn-соединение устанавливалось через другой канал

    Не с "балансировкой" а с отказоустойчивостью.
    9 декабря 2009 г. 19:33
    Отвечающий
  • ну мне просто очень интересено как это собственно реализутеся..
    если учесть что диапазоны удалённых сетей пересекаться не могут, то каким образом создаётся второй Site-to-site VPN? =))
    ну и собственно на втором то конце адресом подключения будет выступать IP "упавшего" канала? =)
    -=C U=-
    9 декабря 2009 г. 19:40
  • Никакого второго тоннеля не создается. Речь лишь о способности переключиться на резервный канал и установить тоннель через него.

    P.S. В принципе, нет ничего сложного, чтобы поддерживать и два VPN-тоннеля, только это не оправдано.
    9 декабря 2009 г. 21:21
    Отвечающий
  • Никакого второго тоннеля не создается. Речь лишь о способности переключиться на резервный канал и установить тоннель через него.

    P.S. В принципе, нет ничего сложного, чтобы поддерживать и два VPN-тоннеля, только это не оправдано.
    давайте ещё раз, для совсем тупых.
    есть Site-to-Site VPN.
    в нём чётко прописан IP адрес или имя хоста с которым устанавливается соединение.
    на второй стороне наналогично.
    как будет осуществляться переподключение StS на другой канал?

    по поводу двух StS VPN туннелей..
    расскажите как вы создадите 2 сети с одинаковым диапазоном?

    -=C U=-
    10 декабря 2009 г. 7:21
  • WingDog, речь идет о исходещем соединении, которое в случае, если откажет линк к одному из провайдеров, будет установлено через линк другого. А для входящих соединений можно задействовать "round robin", например.

    По поводу двух тоннелей.
    Речь, разумеется, о двух "самостоятельных" ISA с внешними интерфейсами к разным провайдерам. Так вот, с "ISP Redundancy" можно обойтись и одной.

    10 декабря 2009 г. 7:55
    Отвечающий
  • WingDog, речь идет о исходещем соединении, которое в случае, если откажет линк к одному из провайдеров, будет установлено через линк другого. А для входящих соединений можно задействовать "round robin", например.
    По поводу двух тоннелей.
    Речь, разумеется, о двух "самостоятельных" ISA с внешними интерфейсами к разным провайдерам. Так вот, с "ISP Redundancy" можно обойтись и одной.
    Дмитрий, простите за прямой вопрос:
    вы вообще видели Site-to-Site в ISA?




    -=C U=-
    10 декабря 2009 г. 7:59
  • WingDog, видел. А Вы сомневаетесь? :)
    10 декабря 2009 г. 8:18
    Отвечающий
  • WingDog, видел. А Вы сомневаетесь? :)


    тогда, может быть, вы всё таки покажете, на скриншотах, как сделать две "remote site network" с одинаковыми диапазонами адресов, в TMG=) или в ISA? =) на одном сервере =)


    -=C U=-
    10 декабря 2009 г. 8:29
  • WingDog, Вы мои сообщения внимательно читаете? Разве я утверждал|предлагал, что можно создать два соединения с определением удаленной сети с пересекающимся диапазоном адресов?


    // А это доступно в редакции Standard


    mmOleg, да, доступно. Вот оличия редакций: http://technet.microsoft.com/en-us/library/ee207137.aspx.
    10 декабря 2009 г. 8:40
    Отвечающий
  • WingDog, Вы мои сообщения внимательно читаете? Разве я утверждал, что можно создать два соединения с определением удаленной сети с пересекающимся диапазоном адресов?


    видимо произошло разночтение =)
    потому что
    // По поводу двух тоннелей.
    // Речь, разумеется, о двух "самостоятельных" ISA с внешними интерфейсами к разным провайдерам. Так вот, с "ISP Redundancy" можно обойтись и одной.

    я понял именно как так =)

    вопрос снят =)
    -=C U=-
    10 декабря 2009 г. 8:47
  • о двух сетях и двух каналах речь не идет. канал один сеть одна
    в впн тунелях l2tp и pptp пир указывать можно по fqdn и по ip, на одно имя в днс можно повесить оба ип, это и имелось ввиду.
    я правда не уверен работает ли в tmg ее isp redundancy для впн, и сработает ли днсный round robin в таком случае, иса получив рдин ип из dns будет на него ломиться, не факт что она спросит второй

    10 декабря 2009 г. 8:48
    Отвечающий
  • Спасибо за ответы, мне очень помоги ваши споры. :)
    Я провиду тесты и надеюсь разбирусь.
    10 декабря 2009 г. 15:09
  • как будет осуществляться переподключение StS на другой канал?

    Можно использовать сервис DynDNS. Его агент будет отправлять на сервис текущий IP. Удалённый сегмент должен использовать для подключения DynDNS-имя.
    6 февраля 2010 г. 11:10