none
VPN site-to-site and client access RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти

    вопрос следующий, есть TMG. Есть настроенный клиентский VPN доступ. Нужно подключить 2 еще офиса. Хочу сделать site-to-site(на том конце Cisco). Как нужно настраивать, чтобы клиенты подключившись с обычным клиентским доступом, видели офисы как одну сеть?
    И надо ли создавать два site-to-site или можно в одном дать возможность подключения двух офисов?

    10 мая 2013 г. 9:54
    |

Ответы

  • Question
    Нужно войти
    1
    Нужно войти
    Если удаленные офисы не имеют связи друг с другом,  нужно создавать 2 VPN соединения Site-to-site. Это соединение(я) будут представлены в TMG в виде новых объектов networks. Для клиентского VPN доступа нужно будет настроить Network Rules между VPN клиентами и новой сетью,  а также создать правило доступа для этой связки. Да, в свойствах VPN туннеля на стороне удаленных офисов в encryption domain нужно добавить диапазон ip адресов выдаваемый VPN клиентам.
    11 мая 2013 г. 8:36
    |
  • Question
    Нужно войти
    1
    Нужно войти

    создатете для каждой удаленной сети свое s2s соединение по ipsec и все. http://www.isaserver.org/tutorials/Implementing-IPSEC-Site-to-Site-VPN-between-ISA-Server-2006-Beta-Cisco-PIX-501.html тут про cisco pix, если у вас роутеры то почти тоже самое

    14 мая 2013 г. 8:10
    |
    Отвечающий

Все ответы

  • Question
    Нужно войти
    1
    Нужно войти
    Если удаленные офисы не имеют связи друг с другом,  нужно создавать 2 VPN соединения Site-to-site. Это соединение(я) будут представлены в TMG в виде новых объектов networks. Для клиентского VPN доступа нужно будет настроить Network Rules между VPN клиентами и новой сетью,  а также создать правило доступа для этой связки. Да, в свойствах VPN туннеля на стороне удаленных офисов в encryption domain нужно добавить диапазон ip адресов выдаваемый VPN клиентам.
    11 мая 2013 г. 8:36
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Да, офисы не связаны. DHCP на стороне за ТМГ. Дело в том, что обычные ВПН клиенты уже созданы. То есть, как я понял, необходимо создать еще два соединения S2S. Вот и возникает вопрос, как им раздавать ip, сети, разрешения? Могу ли я всех ВПН клиентов(и тех что придут через s2s и тех, что подключатся обычным клиентским ВПН) "включить"  в одну сеть, или по каждой группе надо давать отдельные сетки и правила. Нужно ли правило роута между этими группами?


    13 мая 2013 г. 6:29
    |
  • Question
    Нужно войти
    0
    Нужно войти

    В одну подсеть включить Site-to-site клиентов не получится. Более того, ip адреса внутренних сетей, которые находятся за шлюзами не должны пересекаться. В TMG между сетями где нужны коммуникации должен быть роутинг. Соответственно, т.к. ip подсети разные, DHCP в каждом офисе должен быть свой.

    13 мая 2013 г. 11:46
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Не совсем понял. Давайте подробно. Есть 2008 домен. С дхсп, 10.0.0.0 к примеру. Смотрит наружу через TMG. На TMG настроен клиентский ВПН доступ, при этом ВПН клиенты получают ай-пи адреса из этого же (10.0.0.0) диапазона. Есть клиенты с мобильным интернетом, из кафе, чужих вайфай и т.д. 

    Есть 2 удаленных офиса, у них свои дхсп, 192.168.0.0 и 192.168.5.0 

    С ними и хочу сделать s2s. Как это должно выглядеть?

    14 мая 2013 г. 6:39
    |
  • Question
    Нужно войти
    1
    Нужно войти

    создатете для каждой удаленной сети свое s2s соединение по ipsec и все. http://www.isaserver.org/tutorials/Implementing-IPSEC-Site-to-Site-VPN-between-ISA-Server-2006-Beta-Cisco-PIX-501.html тут про cisco pix, если у вас роутеры то почти тоже самое

    14 мая 2013 г. 8:10
    |
    Отвечающий