none
ISA VPN + DHCP scopes RRS feed

  • Общие обсуждения

  • Как назначит выдачу клиентам ISA VPN ip-адресов из определенного скопа?

    Вариант: поднять DHCP на ISA и заблокировать правилом остальные DHCP мне как-то не нравится.

    Какие ещё есть варианты?

    20 апреля 2010 г. 13:47

Все ответы

  • Как назначит выдачу клиентам ISA VPN ip-адресов из определенного скопа?

    Вариант: поднять DHCP на ISA и заблокировать правилом остальные DHCP мне как-то не нравится.

    Какие ещё есть варианты?

    20 апреля 2010 г. 12:07
  • Вариант: поднять DHCP на ISA и заблокировать правилом остальные DHCP мне как-то не нравится.

    Ваш вариант будет работать только в случае, если IP адрес внутреннего интерфейса ISA сервера попадает в DHCP Scope. Произвольный Scope можно задать только руками (static pool).

    ISA сервер самостоятельно не устанавливает VPN соединений и не раздаёт адреса клиентам (и не маршрутизирует трафик) - это делает RRAS. ISA в данном случае является надстройкой над RRAS. RRAS резервирует для удаленного доступа по 10 адресов в DHCP от своего имени. Это важно! Сами клиенты VPN получают от RRAS уже зарегистрированные в DHCP адреса. Поэтому RRAS и может выдать клиентам адреса только из того Scope, в котором он сам располагается.

    Static Pool создаётся обычно, если мы хотим "разместить" клиента в другой сети, отличной от ISA (RRAS) сервера. В этом случае необходимо прописать статический маршрут до сети назначения.

    RRAS and DHCP http://technet.microsoft.com/en-us/library/dd458962(WS.10).aspx

    Configure the Way RRAS Assigns IP Addresses to VPN Clients http://technet.microsoft.com/en-us/library/dd469667(WS.10).aspx

    20 апреля 2010 г. 13:49
  • Создать отдельную сеть для VPN-клиентов, настроить DHCP для выдачи адресов в этой сети - он может быть как на ISA, так и на другом компе. Настроить маршрутизацию между внутренней сетью и сетью VPN-клиентов.

    20 апреля 2010 г. 14:23
  • выделить в настроках впн им отдельный пул и иса будет выдавать из пула сама
    20 апреля 2010 г. 14:23
    Отвечающий
  • Мне надо специфические роуты передавать клиентам. Где настроить это у исы я не нашел. У dhcp это через опцию делается...
    21 апреля 2010 г. 5:35
  • а можно пояснить? Повесить на иса ещё один интерфейс и указать его как источник dhcp?
    21 апреля 2010 г. 5:38
  • Static Pool создаётся обычно, если мы хотим "разместить" клиента в другой сети, отличной от ISA (RRAS) сервера. В этом случае необходимо прописать статический маршрут до сети назначения.
    Мне нужно клиенту специфические роуты передать, при использовании статик пул это можно сделать?
    21 апреля 2010 г. 5:43
  • Мне надо специфические роуты передавать клиентам. Где настроить это у исы я не нашел. У dhcp это через опцию делается...

    На исе все роуты прописываются в системе, либо в RRAS. И, конечно, нужно будет в исе описать сети, правила отношения сетей и разрешающие правила в политике доступа.

    P.S. А ещё для VPN-клиентов маршруты можно задавать через CMAK

    21 апреля 2010 г. 6:29
  • Ай яй яй!!!

    >> поднять DHCP на ISA

    в результате работать ничего не будет такая конфигурация не поддерживается. DHCP должен быть не на ISA, а для того чтобы все нормально работало на ISA нужно настраивать DHCP Relay agent http://www.isaserver.org/tutorials/2004dhcprelay.html. Если же вы  не настроите релей, то VPN клиентоам будут назначаться только IP адреса от DHCP и другие опции не будут доступны - например вы не сможете пописать задать суффикс клиентам через DHCP и т.д..

    >> прописываются в системе, либо в RRAS

    Если пропишите в RRAS маршруты, то они будут действовать до первой перезагрузки. Это немного не по теме но если уж копнули, то на ISA маршруты пописываются только через route add -p

    Что касается назначения специальных маршрутов для VPN клиентов через DHCP вы можете попробовать воспользоваться такой штукой как User Class в DHCP, а именно Default Routing and Remote Access Class (Свойства кокретного параметра вкладка Advansed).

    21 апреля 2010 г. 7:08
  • Мне надо специфические роуты передавать клиентам. Где настроить это у исы я не нашел. У dhcp это через опцию делается...

    На исе все роуты прописываются в системе, либо в RRAS. И, конечно, нужно будет в исе описать сети, правила отношения сетей и разрешающие правила в политике доступа.

    P.S. А ещё для VPN-клиентов маршруты можно задавать через CMAK


    ему маршруты надо клиентам передавать а не на исе.
    21 апреля 2010 г. 8:05
    Отвечающий
  • ADUC (dsa.msc) -> Пользователь -> вкладка Dial-in -> Apply Static Routes

    21 апреля 2010 г. 8:57
  • А на всех сразу накатить реально?
    21 апреля 2010 г. 10:20
  • ADUC (dsa.msc) -> Пользователь -> вкладка Dial-in -> Apply Static Routes


    это не те маршруты
    26 апреля 2010 г. 10:39
    Отвечающий
  • Ну просто с ума сойти можно.

    НАРОД, ЭТОМУ ЧЕЛОВЕКУ НУЖНЫ СТАТИЧЕСКИЕ МАРШРУТЫ НА КЛИЕНТАХ !!! А не на ISA.

    odmix, в Вашем случаи задачу нужно решать или при помощи скрипта, который будет запускаться на стороне клиента и вносить изменнения в таблице маршрутизации (пользователь должен быть админом) или можно попробовать при помощи DHCP или в клиенском подключении оставить галку Использовать это подключение как основной шлюз.

    Вы вообще пробовали настроить DHCP?

    Если не хотите настраивать DHCP то оставляйте галку и будет вам счастье.

     

    28 апреля 2010 г. 6:40
  • Ну просто с ума сойти можно.

    НАРОД, ЭТОМУ ЧЕЛОВЕКУ НУЖНЫ СТАТИЧЕСКИЕ МАРШРУТЫ НА КЛИЕНТАХ !!! А не на ISA.

    поэтому я и написал что это не те маршруты :)

    про маршруты на клиентах уже все давно и не раз написали :)

    28 апреля 2010 г. 8:33
    Отвечающий
  • 2 Dmitry, я это не Вам
    28 апреля 2010 г. 11:51
  • Можете попробовать сделать это через CMAK .

    Как у вас продвигается решение проблемы?

    29 апреля 2010 г. 7:50
    Модератор