none
Forefront TMG: отказоустойчивый VPN "сеть-сеть" (без NLB) - возможно? RRS feed

  • Вопрос

  • Имеется два офиса, подключенных к сети Интернет через "Forefront TMG 2010 Standard". Между офисами орагнизован
    VPN-канал типа "сеть-сеть" средствами "Forefront". Возможно ли так
    настроить Forefront, чтобы организовать отказоустойчивый VPN-канал,
    используя функцию "ISP Redundancy" с обеих сторон? То есть при обрыве
    связи по одному интерфейсу (например, WAN1) автоматически бы
    "поднимался" VPN-канал по другому интерфейсу (например, WAN2). Отмечу,
    что в обоих офисах технология балансировки нагрузки сети (NLB) не
    используется.

    "Правила работы с разделом. Читать ВСЕМ!" - читал. Информацию в других источниках не нашел.
    21 марта 2011 г. 6:34

Ответы

  • TNG Вам тут не поможет. Нужно на сетевом уровне решать эту задачу, т.е. маршрутизацию у TMG отбирать. Еще лучше что-то типа DMVPN задуйствовать. В общем, никакого резервирования, а тем более тоннелей - в TMG нет!
    • Помечено в качестве ответа Dymkov Vasily 24 марта 2011 г. 5:16
    22 марта 2011 г. 15:34
    Отвечающий
  • я так думаю что тмг работает как иса, а иса не позволит создать два site-to-site с одинаковыми адресами удаленной сети. такие вещи действительно делаются нормальными впн шлюзами (или роутерами с функционалом впн)
    • Помечено в качестве ответа Dymkov Vasily 24 марта 2011 г. 5:16
    23 марта 2011 г. 9:50
    Отвечающий

Все ответы

  • Имеется два офиса, подключенных к сети Интернет через "Forefront TMG 2010 Standard". Между офисами орагнизован
    VPN-канал типа "сеть-сеть" средствами "Forefront". Возможно ли так
    настроить Forefront, чтобы организовать отказоустойчивый VPN-канал,
    используя функцию "ISP Redundancy" с обеих сторон? То есть при обрыве
    связи по одному интерфейсу (например, WAN1) автоматически бы
    "поднимался" VPN-канал по другому интерфейсу (например, WAN2). Отмечу,
    что в обоих офисах технология балансировки нагрузки сети (NLB) не
    используется.

    "Правила работы с разделом. Читать ВСЕМ!" - читал. Информацию в других источниках не нашел.
    в качестве бреда - может сделать несколько туннелей, а маршруты раздать с разными метриками ?

    Ilya Shipitsin
    21 марта 2011 г. 6:48
  • Вы имеете в виду поднять параллельный впн-канал?

    То есть в итоге 2 канала:

    office 1, wan 1 <-> office 2, wan 1

    и

    office 1, wan 2 <-> office 2, wan 2

    Я правильно понял идею?

    21 марта 2011 г. 7:48
  • "Правила работы с разделом. Читать ВСЕМ!" - читал. Информацию в других источниках не нашел.

    в качестве бреда - может сделать несколько туннелей, а маршруты раздать с разными метриками ?

    Ilya Shipitsin

    Чесно говоря, не видел в TMG функции балансировки/отказоустойчивости Site-to-Site.

    Но вариант с двумя туннелями, я думаю можно реализовать: ничто не мешает сделать два Site-to-Site на разные внешние ip-адреса TMG.

    Только вариант не полнофункциональный: автоматическое переключение/поднятие резервного работать не будет - надо экспериментировать :-)


    Сазонов Илья http://www.itcommunity.ru/blogs/sie-wl/
    22 марта 2011 г. 6:26
    Модератор
  •   Я администратор того удаленного офиса, до которого требуется настроить VPN с резервированием. Мы уже пробовали поднимать два тоннеля на разные внешние адреса. TMG не дает этого сделать, объясняя это тем, что не может быть настроено несколько vpn-каналов на одинаковые локальные адреса удаленной сети. 
    22 марта 2011 г. 12:07
  • TNG Вам тут не поможет. Нужно на сетевом уровне решать эту задачу, т.е. маршрутизацию у TMG отбирать. Еще лучше что-то типа DMVPN задуйствовать. В общем, никакого резервирования, а тем более тоннелей - в TMG нет!
    • Помечено в качестве ответа Dymkov Vasily 24 марта 2011 г. 5:16
    22 марта 2011 г. 15:34
    Отвечающий
  • я так думаю что тмг работает как иса, а иса не позволит создать два site-to-site с одинаковыми адресами удаленной сети. такие вещи действительно делаются нормальными впн шлюзами (или роутерами с функционалом впн)
    • Помечено в качестве ответа Dymkov Vasily 24 марта 2011 г. 5:16
    23 марта 2011 г. 9:50
    Отвечающий
  • Благодарю за ответы!
    24 марта 2011 г. 5:16