none
Доступ к другой сети через vpn RRS feed

  • Вопрос

  • Вроде уже обсуждалось, но не нашел....

    Интернет --- ISA 2006 --- Внутренняя сеть (172.16.0.0) --- DFL-800 --- Другая сеть (10.0.0.0)

    Задача: через vpn соединение из Интернета получить доступ к ресурсам сети (10.0.0.0)

     

     

    20 июля 2010 г. 5:40

Ответы

  • Надо В Internal ее добавлять.  Одна сеть - один интерфейс. Сеть за сетью еще раз повторяю.

    А если компы 172.16.0.0 имеют шлюз по умолчанию DFL то это вообще просто. Чем ISA c ее внутренним интерфейсом с адресом 172.16.х.х отличается от такого же компа с адресом 172.16.y.y?? . Еще одну сеть не надо. Добавь в Интернал еще один диапазон и route print смотри.

    • Помечено в качестве ответа Ivan Bogachev 20 июля 2010 г. 11:57
    20 июля 2010 г. 11:34

Все ответы

  • Надо route add на клиенте и правила на ISA соответствующие. Сеть 10.0.0.0 на ISA прописана?
    20 июля 2010 г. 6:29
  • route add 10.0.0.0 mask 255.0.0.0 [шлюз что?, внутренний адрес DFL?]

    Зачем сеть 10.0.0.0 на ISA прописывать? ISA не смотрит напрямую в эту сеть.

     

     

     

    20 июля 2010 г. 6:40
  • http://yandex.ru/yandsearch?text=ISA+%D1%81%D0%B5%D1%82%D1%8C+%D0%B7%D0%B0+%D1%81%D0%B5%D1%82%D1%8C%D1%8E&lr=10752
    20 июля 2010 г. 6:42
  • спасибо, интересные статьи (например, http://www.isadocs.ru/articles/detail.php?ID=20812&phrase_id=494355)

    Но в моем случае сеть 10.0.0.0 - большая сеть, которая тоже имеет выход в интернет, но через другие шлюзы, т.е. задачи выпускать пользователей из сети в 10.0.0.0 в Интернет через ISA нет.

    На DFL шлюзом на внешнем интерфейсе прописан шлюз в этой 10.0.0.0 сети , а не наш ISA сервер.

    Как направить трафик с ISA через DFL в 10.0.0.0?

    20 июля 2010 г. 8:45
  • Я и не предлагал пускать 10.0.0.0 в Инет через ISA. Ссылка была ответом на вопрос надо ли в ISA прописать сеть 10.0.0.0. Топология сеть за сетью.

     А точный рецепт какие кнопки нажать это  сделать исходя из вашего вопроса невозможно. Вам виднее же где какие у вас шлюзы по умолчанию. route add там где это необходимо, возможно включая dfl 800,отношения сетей в ISA и правила доступа. Этого достаточно для решения.

    "На DFL шлюзом на внешнем интерфейсе прописан шлюз в этой 10.0.0.0 сети , а не наш ISA сервер."

    route add как раз пускает трафик не по умолчанию

    "Как направить трафик с ISA через DFL в 10.0.0.0"

    ISA что нибудь знает про сеть 10.0.0.0?

    Галка Использовать шлюз по умолчанию в удаленной сети в каком состоянии?

    "Но в моем случае сеть 10.0.0.0 - большая сеть, которая тоже имеет выход в интернет, но через другие шлюзы"

    тогда маршруты надо и на компах сети 10.0.0.0 прописывать

    Крупную задачу, к которой бывает сложно подступиться, легче решать если раздробить ее на мелкие подзадачки. Для начала я бы настроил доступ в сеть 10.0.0.0 с ISA или даже с одного из компов сети 172.16.0.0. А потом можно и клиентов по VPN подключать.  Попробуй с ISA сначала до 10.0.0.0 достучаться. Для этого надо 10.0.0.0 в Internal добавить и правила соответствующие сделать на ISA и скорее всего на DFI 800 и на компах 10.0.0.0 настроить маршруты

     

    20 июля 2010 г. 9:32
  • доступ из сети 172.16.0.0 в сеть 10.0.0.0 есть, кроме как с сервера ISA (это понятно, т.к. шлюз по умолчанию у него другой)

    Я создал в ISA сеть 10.0.0.0, создал разрешающее правило с localhost в сеть 10. Прописал маршрут route add 10.0.0.0 mask 255.0.0.0 172.16.0.1 (адрес DFL). Но пакеты не ходят

    20 июля 2010 г. 11:00
  • Надо В Internal ее добавлять.  Одна сеть - один интерфейс. Сеть за сетью еще раз повторяю.

    А если компы 172.16.0.0 имеют шлюз по умолчанию DFL то это вообще просто. Чем ISA c ее внутренним интерфейсом с адресом 172.16.х.х отличается от такого же компа с адресом 172.16.y.y?? . Еще одну сеть не надо. Добавь в Интернал еще один диапазон и route print смотри.

    • Помечено в качестве ответа Ivan Bogachev 20 июля 2010 г. 11:57
    20 июля 2010 г. 11:34
  • Все получилось. Спасибо!

    20 июля 2010 г. 11:57
  • А при несколько другой конфигурации:

    LAN1 --- ISA 2006 (1) --- Internet (site-to-site vpn) --- ISA 2006 (2) - LAN2

    Сеть LAN1 указана как отдельная сеть в настройках ISA 2. Т.е в Internal ее добавлять не нужно.

    Задача такая же: vpn клиенты должны иметь доступ к обоим сетям

    22 июля 2010 г. 14:01