none
TMG 2010. VPN site-to-site и основной шлюз. RRS feed

  • Вопрос

  • Добрый день коллеги.

    Интересует такой вопрос: возможно ли сделать так, чтобы при подключенном vpn site-to-site клиент так же мог пользоваться своим интернетом, а не гнать весь свой трафик через TMG ?

    Снятие галочки "Ичпользовать основной шлюз в удаленной сети" ничего не дало.

    8 апреля 2010 г. 16:20

Ответы

  • Damiil Khabarov а теперь я добавлю в вашу бочку с медом ложку дегтя. Не забывайте что обычные пользователи не имеют право редактировать таблицу маршрутизации (route add, route delete...). Простыми словами нужно будет юзера в админы загонять. Я это сам пробовал саздал через СМАК подключение вписал туда скрипт. Под юзером скрипт запускается и отрабатывает без ошибок, вот только таблица маршрутизации не изменяется ))). А под админом все чики пики.

    Я вот лично до сих пор не понимаю для чего себе народ жизнь усложняет, выводя VPN пользователей в отдельную подсеть. Если думают что пострадает безопасность то сильно заблуждаются. 

    ISA вполне нормально умеет различать айпишники пользователей из внутренней подсети и адреса VPN клиентов. Вот как раз для этих целей в ISA / TGM и был придуман объект-сеть VPN-клиенты. В добавок к этому можно также создавать правила для конкретных VPN пользователей и все будет нормально работать и при этом не нужно будет устнавливать клиента межсетевого экрана на клиентской машине. Ну и не забываем про то что иса умеет отслеживать подмену IP (Spoof detection).

    Козлов Артем, вот тебе пример. Нужно разрешить группе пользователей Support подключться по RDP к серверу 172.16.10.10. Внутрення сеть 172.16.10.10 -172.16.10.200 и 172.16.10.230.-172.16.10.255. Сеть VPN клиентов 172.16.10.201 - 172.16.10.229 (берем кусок из внутреннего пула адресов).

    Правило будут выглядеть примерно вот так

    Откуда VPN-клиенты Куда 172.16.10.10 Протоколы: RDP клиент Пользователи: Support

    Если боишься, что пользователи из внутренней подсети будут иметь доступ к VPN клиентам то а этом плане все ок. Дотсуп к VPN клиентам можно получить только после того как ты создашь правило доступа к этой сети, по умолчанию такого не создается. Если же конечно у тебя нету супер правила из внутренней во все стети.

    После чего подключаемся юзером, который состоит в группе Support и проверяем - все работает. Подключаемся под пользователем который не входит в эту группу - фиг.

    Ты можешь объяснить для чего ты выделяешь VPN клиентов в отдельную подсеть?

    • Помечено в качестве ответа Kozlov Artem 22 апреля 2010 г. 6:49
    16 апреля 2010 г. 9:22

Все ответы

  • "Своим интернетом" это каким?

    И под "клиентом" вы кого подразумеваете? компьютер в удаленной сети?

     

    8 апреля 2010 г. 20:28
  • Клиент - это сотрудник, который находиться вне локальной сети.

    Клиент подключается к интернету, затем инициализирует подключение ВПН, после чего весь его трафик маршрутизируется на шлюз TGM. Я создал правило, которое выпускает клиентов впн в инет.

    А можно ли сделать так, что после подключения ВПН клиента в сети я вижу, а вот выход в интернет идет через основной подключение клиента.

    Например так работает Hamachi и openvpn.

    9 апреля 2010 г. 6:40
  • на мой взгляд, тут проблема не в ТМГ, так как весь инет через впн пускает клиент, а не сервер. как вы определили, что снятие галки не принесло результатов?? если сделать tracert mail.ru, что будет на первом месте?? какая ОС у клиента??
    9 апреля 2010 г. 7:41
  • При чем здесь site-to-site VPN не пойму...

    route print покажите с отключенным и включенным VPN

     

     

    9 апреля 2010 г. 8:39
  • >>как вы определили, что снятие галки не принесло результатов??

    Если снять галку, то со стороны клиента не видно ни одного компа в сети пинги не идут даже до шлюза, хотя они разрешены. Со стороны шлюза аналогичная ситуация. Если поставить галку, то все нормально.

    >>route print покажите с отключенным и включенным VPN

    Отключен:

    C:\Users\#####>route print
    ===========================================================================
    Список интерфейсов
     11...00 1d 60 7b 58 3d ......Atheros L1 Gigabit Ethernet 10/100/1000Base-T Cont
    roller
      1...........................Software Loopback Interface 1
     15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
     12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
    ===========================================================================
    
    IPv4 таблица маршрута
    ===========================================================================
    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.2     20
            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
          192.168.1.0    255.255.255.0         On-link       192.168.1.2    276
          192.168.1.2  255.255.255.255         On-link       192.168.1.2    276
        192.168.1.255  255.255.255.255         On-link       192.168.1.2    276
            224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
            224.0.0.0        240.0.0.0         On-link       192.168.1.2    276
      255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      255.255.255.255  255.255.255.255         On-link       192.168.1.2    276
    ===========================================================================
    Постоянные маршруты:
      Отсутствует
    
    IPv6 таблица маршрута
    ===========================================================================
    Активные маршруты:
     Метрика   Сетевой адрес            Шлюз
     12     58 ::/0                     On-link
      1    306 ::1/128                  On-link
     12     58 2001::/32                On-link
     12    306 2001:0:5ef5:73ba:34f3:c04d:4dd3:1242/128
                                        On-link
     11    276 fe80::/64                On-link
     12    306 fe80::/64                On-link
     12    306 fe80::34f3:c04d:4dd3:1242/128
                                        On-link
     11    276 fe80::48ce:9d18:f25a:cfe9/128
                                        On-link
      1    306 ff00::/8                 On-link
     12    306 ff00::/8                 On-link
     11    276 ff00::/8                 On-link
    ===========================================================================
    Постоянные маршруты:
      Отсутствует
    
    Подключен:
    C:\Users\#####>route print
    ===========================================================================
    Список интерфейсов
     23...........................VPN TEST
     11...00 1d 60 7b 58 3d ......Atheros L1 Gigabit Ethernet 10/100/1000Base-T Cont
    roller
      1...........................Software Loopback Interface 1
     15...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP
     12...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
     16...00 00 00 00 00 00 00 e0 Адаптер Microsoft 6to4
    ===========================================================================
    IPv4 таблица маршрута
    ===========================================================================
    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0          0.0.0.0      192.168.1.1      192.168.1.2   4245
              0.0.0.0          0.0.0.0         On-link       176.16.23.5     21
         94.25.49.197  255.255.255.255      192.168.1.1      192.168.1.2   4246
            127.0.0.0        255.0.0.0         On-link         127.0.0.1   4531
            127.0.0.1  255.255.255.255         On-link         127.0.0.1   4531
      127.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
          176.16.23.5  255.255.255.255         On-link       176.16.23.5    276
          192.168.1.0    255.255.255.0         On-link       192.168.1.2   4501
          192.168.1.2  255.255.255.255         On-link       192.168.1.2   4501
        192.168.1.255  255.255.255.255         On-link       192.168.1.2   4501
            224.0.0.0        240.0.0.0         On-link         127.0.0.1   4531
            224.0.0.0        240.0.0.0         On-link       192.168.1.2   4502
            224.0.0.0        240.0.0.0         On-link       176.16.23.5     21
      255.255.255.255  255.255.255.255         On-link         127.0.0.1   4531
      255.255.255.255  255.255.255.255         On-link       192.168.1.2   4501
      255.255.255.255  255.255.255.255         On-link       176.16.23.5    276
    ===========================================================================
    Постоянные маршруты:
      Отсутствует
    IPv6 таблица маршрута
    ===========================================================================
    Активные маршруты:
     Метрика   Сетевой адрес            Шлюз
     12     58 ::/0                     On-link
      1    306 ::1/128                  On-link
     12     58 2001::/32                On-link
     12    306 2001:0:5ef5:73ba:2cd4:df0:4fef:e8fa/128
                                        On-link
     16   1025 2002::/16                On-link
     16    281 2002:b010:1705::b010:1705/128
                                        On-link
     11    276 fe80::/64                On-link
     12    306 fe80::/64                On-link
     12    306 fe80::2cd4:df0:4fef:e8fa/128
                                        On-link
     11    276 fe80::48ce:9d18:f25a:cfe9/128
                                        On-link
      1    306 ff00::/8                 On-link
     12    306 ff00::/8                 On-link
     11    276 ff00::/8                 On-link
    ===========================================================================
    Постоянные маршруты:
      Отсутствует
    П
    9 апреля 2010 г. 14:58
  • Ну что, никто не подскажет, в чем проблема зарыта? =)
    12 апреля 2010 г. 14:08
  • Добрый день,

    У вас используется IP4 в сети? Можете тогда попробовать через него выдавать адреса + другие шлюзы и маршруты. Попробовать можно, но вот, к сожалению, проверить у меня сейчас нет возможности.

    15 апреля 2010 г. 12:17
    Модератор
  • Добрый день.

    Подумал на вышеприведенным вариантом, ничего не получится так. Но есть другой вариант - вам нужно будет сделать скрипт, который будет переписывать маршруты.

    Т.е., допустим, сначала пользователь запустит один скрипт , который сохранит текущую конфигурацию, а после подключения ВПН вы должны будете выполнить другой скрипт , который перепишет маршруты, основываясь на предыдущей конфигурации. В идеале бы, написать программу, которая будет выполнять все это в одной сессии. Т.е., вы запускаете программу, которая сохраняет конфигурацию, потом устанавливает соединение с ВПН сервером, после чего переписывает маршруты.

    Предположу , что это единственный вариант. Штатными средствами TMG вы этого сделать не сможете.

    16 апреля 2010 г. 6:57
    Модератор
  • одно и тоже каждый раз обсуждают, разве это в факе нет?

    либо оставлять галку

    либо выдавать адреса из диапазона локальной сетки

    либо вписывать маршруты (руками, скриптом, CMAK)

    16 апреля 2010 г. 7:01
    Отвечающий
  • Damiil Khabarov а теперь я добавлю в вашу бочку с медом ложку дегтя. Не забывайте что обычные пользователи не имеют право редактировать таблицу маршрутизации (route add, route delete...). Простыми словами нужно будет юзера в админы загонять. Я это сам пробовал саздал через СМАК подключение вписал туда скрипт. Под юзером скрипт запускается и отрабатывает без ошибок, вот только таблица маршрутизации не изменяется ))). А под админом все чики пики.

    Я вот лично до сих пор не понимаю для чего себе народ жизнь усложняет, выводя VPN пользователей в отдельную подсеть. Если думают что пострадает безопасность то сильно заблуждаются. 

    ISA вполне нормально умеет различать айпишники пользователей из внутренней подсети и адреса VPN клиентов. Вот как раз для этих целей в ISA / TGM и был придуман объект-сеть VPN-клиенты. В добавок к этому можно также создавать правила для конкретных VPN пользователей и все будет нормально работать и при этом не нужно будет устнавливать клиента межсетевого экрана на клиентской машине. Ну и не забываем про то что иса умеет отслеживать подмену IP (Spoof detection).

    Козлов Артем, вот тебе пример. Нужно разрешить группе пользователей Support подключться по RDP к серверу 172.16.10.10. Внутрення сеть 172.16.10.10 -172.16.10.200 и 172.16.10.230.-172.16.10.255. Сеть VPN клиентов 172.16.10.201 - 172.16.10.229 (берем кусок из внутреннего пула адресов).

    Правило будут выглядеть примерно вот так

    Откуда VPN-клиенты Куда 172.16.10.10 Протоколы: RDP клиент Пользователи: Support

    Если боишься, что пользователи из внутренней подсети будут иметь доступ к VPN клиентам то а этом плане все ок. Дотсуп к VPN клиентам можно получить только после того как ты создашь правило доступа к этой сети, по умолчанию такого не создается. Если же конечно у тебя нету супер правила из внутренней во все стети.

    После чего подключаемся юзером, который состоит в группе Support и проверяем - все работает. Подключаемся под пользователем который не входит в эту группу - фиг.

    Ты можешь объяснить для чего ты выделяешь VPN клиентов в отдельную подсеть?

    • Помечено в качестве ответа Kozlov Artem 22 апреля 2010 г. 6:49
    16 апреля 2010 г. 9:22
  • Уважаемые коллеги, в первую очередь выражаю вам свою благодарность за то, что моя тема ожила, а то я уже думал переходить на Openvpn.

    В отдельную подсетку хочу вывести по одной простой системе - нехватка ip.

    А если изнутри локальной сети подключаться самому по VPN (при это и у себя и у клиентов убрать галочку "Использовать основной шлюз в удаленной сети") то при этом я смогу получить доступ и к своим локальным ресурсам и к клиентам VPN ?

    Сейчас проверить просто не могу, поэтому это спрашиваю.

    16 апреля 2010 г. 17:44
  • ты хоть что нибудь читал про сети, в частности про адресацию и маршрутизацию, прежде чем за готовый продукт браться?

    тебе выше уже все расписали по три раза. локалка у тебя это одна сеть, впнклиенты получают адреса абсолютно из другой сети, впн это или просто сетки - не имеет значения, главное что для прохождения трафика в любом случае нужны маршруты в ту и другую сторону. локальные компы не знают про существование впнклиентов, но у них маршрут по умолчанию идет на ису, а она знает где у нее впн клиенты. а вот у последних маршрута нет, а тот что по умолчанию, указывает не на ису, поэтому они не знают что такое локалка и где она. если поставить галку, то про локалку они все равно не узнают, но их маршрут по умолчанию будет через ису а та в курсе где это, ибо локалка подключена к ней.

    а на твой вопрос есть простой ответ да - к локальным ресурсам ты пойдешь через локальный интерфейс а не через впн, потому что он по маршрутизации гораздо ближе, а впн клиентов ты должен увидеть через впн интерфейс, потому как вы в одной сети. поэтому этот твой эксперимент не имеет никакого смысла :)

    17 апреля 2010 г. 6:13
    Отвечающий
  • >> В отдельную подсетку хочу вывести по одной простой системе - нехватка ip.

    Почитай, что есть маска подсети.

    19 апреля 2010 г. 6:44
  • Добрый день,

    установка галочки точно не спасает отца русской демократии? Что-нить пингуется, или нет? С ДНС проблемы - нормально.

    19 апреля 2010 г. 9:00
    Модератор
  • Уважаемый Kozlov Artem Медали пользователя Медали пользователя Медали пользователя , как продвигается решение проблемы?
    21 апреля 2010 г. 8:26
    Модератор
  • Разгреб подсети в офисе и выдал клиентам ip из локальной сети.
    22 апреля 2010 г. 6:48
  • Дорогие коллеги!

    Попрошу прекратить данную дискуссию, и не переходить на личности, удаляю данные посты во избежание продолжения флуда

    22 апреля 2010 г. 10:18
    Модератор