none
Массив из 2 TMG + сети "site to site" + vpn-клиенты RRS feed

  • Вопрос

  • Добрый день.

    Существует массив из 2 TMG, к ним подключены несколько подразделений как "Site to Site" + несколько пользователей из дома или еще откуда. 2 подсети под "статические пулы" под VPN-клиентов.

    Появился VPN-пользователь, которому необходимо иметь доступ ко всем сетям "Site to Site" при подключении по VPN.

    Сейчас получается, что при подключении к одному из 2-ух членов массива он может работать с теми сетями "Site to Site", которые подключены к этому же серверу.

    Немного эксперементов с правилами и маршрутами между "статическими пулами" для VPN пока результата не дали.

    Прошу подсказать, куда посмотреть ...

    27 января 2015 г. 14:33

Ответы

  • Спасибо за советы.

    Решил попробовать еще раз создать правило, разрешающее траффик от "Static IP Pull"-ов до сетей "Site to Site"

    +

    все таки догнал ) добавить эти "IP Pull"-ы на TMG в филиалах (сети Site to Site)  ....

    Теперь работает )

    • Помечено в качестве ответа gevchik 29 января 2015 г. 14:13
    29 января 2015 г. 13:25

Все ответы

  • А в логах что пишется? Попадает ли этот клиент под созданное правило, или соединение блокируется последним Правилом по-умолчанию?

    MCSA

    27 января 2015 г. 17:13
  • Лог с 1 члена массива, к которому подключена нужна сеть "Site to Site":

    Тип журнала: Служба межсетевого экрана

    Состояние: Это действие не может быть выполнено, поскольку не была выполнена проверка подлинности сеанса.
    Правило: Allow Access for VPN_Administrators
    Источник: VPN-клиенты (172.20.99.72:52254)
    Назначение: Saratov (172.20.4.9:3389)
    Протокол: RDP (служба терминалов)

    Лог с 2 члена массива, к которому подключен клиент:

    Состояние: Сделана попытка выполнить операцию на сокете при отключенной сети.
    Правило: Allow Access for VPN_Administrators
    Источник: VPN-клиенты (172.20.99.72:52254)
    Назначение: Saratov (172.20.4.9:3389)
    Протокол: RDP (служба терминалов)
    Пользователь: domain\ivanov

    • Изменено gevchik 29 января 2015 г. 8:18
    29 января 2015 г. 8:15
  • Проблема ясна. Я так понимаю есть сеть VPN-клиенты и есть сеть Saratov (и др. Site-to-Site) сети?

    Попробуйте в Сеть - Сетевые правила создать новое сетевое правило между сетями VPN-клиенты и Site-to-Site сетями (или отредактировать имеющееся) таким образом, чтобы между ними было отношение сетей Маршрут, а также на закладке Выбор адреса NAT - Использовать несколько IP-адресов - Выбрать IP адреса - добавьте все имеющиеся IP-адреса членов массива.


    MCSA

    29 января 2015 г. 9:58
  • В общем то, так все и было, правда в одном правиле. Сейчас все распределил на 3 правила.

    "Выбор адреса NAT" -  а это в каком правиле необходимо добавить ?


    29 января 2015 г. 11:00
  • "Выбор адреса NAT" -  а это в каком правиле необходимо добавить ?


    Это всё не в Политика межсетевого экрана настраивается, а в Сеть - Сетевые правила

    Настройка Сетевые правила

    Там должны быть правила, устанавливающие отношения между сетями. В том числе и между сетями VPN-клиенты и вашими Site-to-Site сетями. Если таких правил нет - их надо создать. И на правиле между VPN-клиенты и сети Site-to-site правой кнопкой мыши - Свойства - Выбор адреса NAT...


    MCSA



    • Изменено ЙоЖыГ 29 января 2015 г. 11:20 Дополнение
    29 января 2015 г. 11:15
  • Отношение сетей(пример): VPN-клиенты - Saratov (маршрут) - это понятно вроде ...

    А добавить все IP-адреса в NAT ? Это где - в каком сетевом правиле .... ), учитывая это - Попробуйте в Сеть - Сетевые правила создать новое сетевое правило между сетями VPN-клиенты и Site-to-Site сетями (или отредактировать имеющееся) таким образом, чтобы между ними было отношение сетей Маршрут



    • Изменено gevchik 29 января 2015 г. 11:58
    29 января 2015 г. 11:23
  • Стоп. Есть вопросы:

    1. В сетях Site-to-Site (например, в Saratov) тоже TMG установлен?
    2. У вас настроена балансировка сетевой нагрузки для подключения из сетей Site-to-Site (например, Saratov) или эти сети подключаются только к определённым членам массива?
    3. Если VPN-пользователю нужно в дальнейшем подключаться только по RDP (служба терминалов) может есть смысл развернуть в каждом подразделении Шлюз удалённых рабочих столов и этому пользователю напрямую подсоединяться к нужному подразделению через RDP без заморочек с VPN?

    MCSA


    • Изменено ЙоЖыГ 29 января 2015 г. 12:19 Дополнение
    29 января 2015 г. 12:17
  • 1. Да, тоже TMG (в основном)

    2. На внешние IP балансировки нет.

    3. Доступ нужен к сети (не только RDP)

    29 января 2015 г. 12:31
  • Хм... без балансировки может не сработать. Поэтому, кстати, и Выбор адреса NAT в Свойствах сетевого правила нет.

    Закладка Выбор адреса NAT

    Пока соображений, к сожалению, нет, раз только RDP не устраивает. Если что придумаю - отпишусь.


    MCSA

    29 января 2015 г. 12:57
  • Спасибо за советы.

    Решил попробовать еще раз создать правило, разрешающее траффик от "Static IP Pull"-ов до сетей "Site to Site"

    +

    все таки догнал ) добавить эти "IP Pull"-ы на TMG в филиалах (сети Site to Site)  ....

    Теперь работает )

    • Помечено в качестве ответа gevchik 29 января 2015 г. 14:13
    29 января 2015 г. 13:25