Лучший отвечающий
VPN site-to-site and client access

Вопрос
-
вопрос следующий, есть TMG. Есть настроенный клиентский VPN доступ. Нужно подключить 2 еще офиса. Хочу сделать site-to-site(на том конце Cisco). Как нужно настраивать, чтобы клиенты подключившись с обычным клиентским доступом, видели офисы как одну сеть?
И надо ли создавать два site-to-site или можно в одном дать возможность подключения двух офисов?- Изменено Yura V. Kim 10 мая 2013 г. 9:55
10 мая 2013 г. 9:54
Ответы
-
Если удаленные офисы не имеют связи друг с другом, нужно создавать 2 VPN соединения Site-to-site. Это соединение(я) будут представлены в TMG в виде новых объектов networks. Для клиентского VPN доступа нужно будет настроить Network Rules между VPN клиентами и новой сетью, а также создать правило доступа для этой связки. Да, в свойствах VPN туннеля на стороне удаленных офисов в encryption domain нужно добавить диапазон ip адресов выдаваемый VPN клиентам.
- Предложено в качестве ответа Alexander A RusinovModerator 12 мая 2013 г. 7:14
- Помечено в качестве ответа Elina LebedevaModerator 13 мая 2013 г. 6:15
11 мая 2013 г. 8:36 -
создатете для каждой удаленной сети свое s2s соединение по ipsec и все. http://www.isaserver.org/tutorials/Implementing-IPSEC-Site-to-Site-VPN-between-ISA-Server-2006-Beta-Cisco-PIX-501.html тут про cisco pix, если у вас роутеры то почти тоже самое
- Помечено в качестве ответа Elina LebedevaModerator 17 мая 2013 г. 13:27
14 мая 2013 г. 8:10Отвечающий
Все ответы
-
Если удаленные офисы не имеют связи друг с другом, нужно создавать 2 VPN соединения Site-to-site. Это соединение(я) будут представлены в TMG в виде новых объектов networks. Для клиентского VPN доступа нужно будет настроить Network Rules между VPN клиентами и новой сетью, а также создать правило доступа для этой связки. Да, в свойствах VPN туннеля на стороне удаленных офисов в encryption domain нужно добавить диапазон ip адресов выдаваемый VPN клиентам.
- Предложено в качестве ответа Alexander A RusinovModerator 12 мая 2013 г. 7:14
- Помечено в качестве ответа Elina LebedevaModerator 13 мая 2013 г. 6:15
11 мая 2013 г. 8:36 -
Да, офисы не связаны. DHCP на стороне за ТМГ. Дело в том, что обычные ВПН клиенты уже созданы. То есть, как я понял, необходимо создать еще два соединения S2S. Вот и возникает вопрос, как им раздавать ip, сети, разрешения? Могу ли я всех ВПН клиентов(и тех что придут через s2s и тех, что подключатся обычным клиентским ВПН) "включить" в одну сеть, или по каждой группе надо давать отдельные сетки и правила. Нужно ли правило роута между этими группами?
- Изменено Yura V. Kim 13 мая 2013 г. 6:30
13 мая 2013 г. 6:29 -
В одну подсеть включить Site-to-site клиентов не получится. Более того, ip адреса внутренних сетей, которые находятся за шлюзами не должны пересекаться. В TMG между сетями где нужны коммуникации должен быть роутинг. Соответственно, т.к. ip подсети разные, DHCP в каждом офисе должен быть свой.
13 мая 2013 г. 11:46 -
Не совсем понял. Давайте подробно. Есть 2008 домен. С дхсп, 10.0.0.0 к примеру. Смотрит наружу через TMG. На TMG настроен клиентский ВПН доступ, при этом ВПН клиенты получают ай-пи адреса из этого же (10.0.0.0) диапазона. Есть клиенты с мобильным интернетом, из кафе, чужих вайфай и т.д.
Есть 2 удаленных офиса, у них свои дхсп, 192.168.0.0 и 192.168.5.0
С ними и хочу сделать s2s. Как это должно выглядеть?
14 мая 2013 г. 6:39 -
создатете для каждой удаленной сети свое s2s соединение по ipsec и все. http://www.isaserver.org/tutorials/Implementing-IPSEC-Site-to-Site-VPN-between-ISA-Server-2006-Beta-Cisco-PIX-501.html тут про cisco pix, если у вас роутеры то почти тоже самое
- Помечено в качестве ответа Elina LebedevaModerator 17 мая 2013 г. 13:27
14 мая 2013 г. 8:10Отвечающий