none
VPN site-to-site and client access RRS feed

  • Вопрос

  • вопрос следующий, есть TMG. Есть настроенный клиентский VPN доступ. Нужно подключить 2 еще офиса. Хочу сделать site-to-site(на том конце Cisco). Как нужно настраивать, чтобы клиенты подключившись с обычным клиентским доступом, видели офисы как одну сеть?
    И надо ли создавать два site-to-site или можно в одном дать возможность подключения двух офисов?

Ответы

  • Если удаленные офисы не имеют связи друг с другом,  нужно создавать 2 VPN соединения Site-to-site. Это соединение(я) будут представлены в TMG в виде новых объектов networks. Для клиентского VPN доступа нужно будет настроить Network Rules между VPN клиентами и новой сетью,  а также создать правило доступа для этой связки. Да, в свойствах VPN туннеля на стороне удаленных офисов в encryption domain нужно добавить диапазон ip адресов выдаваемый VPN клиентам.
  • создатете для каждой удаленной сети свое s2s соединение по ipsec и все. http://www.isaserver.org/tutorials/Implementing-IPSEC-Site-to-Site-VPN-between-ISA-Server-2006-Beta-Cisco-PIX-501.html тут про cisco pix, если у вас роутеры то почти тоже самое

    Отвечающий

Все ответы

  • Если удаленные офисы не имеют связи друг с другом,  нужно создавать 2 VPN соединения Site-to-site. Это соединение(я) будут представлены в TMG в виде новых объектов networks. Для клиентского VPN доступа нужно будет настроить Network Rules между VPN клиентами и новой сетью,  а также создать правило доступа для этой связки. Да, в свойствах VPN туннеля на стороне удаленных офисов в encryption domain нужно добавить диапазон ip адресов выдаваемый VPN клиентам.
  • Да, офисы не связаны. DHCP на стороне за ТМГ. Дело в том, что обычные ВПН клиенты уже созданы. То есть, как я понял, необходимо создать еще два соединения S2S. Вот и возникает вопрос, как им раздавать ip, сети, разрешения? Могу ли я всех ВПН клиентов(и тех что придут через s2s и тех, что подключатся обычным клиентским ВПН) "включить"  в одну сеть, или по каждой группе надо давать отдельные сетки и правила. Нужно ли правило роута между этими группами?


  • В одну подсеть включить Site-to-site клиентов не получится. Более того, ip адреса внутренних сетей, которые находятся за шлюзами не должны пересекаться. В TMG между сетями где нужны коммуникации должен быть роутинг. Соответственно, т.к. ip подсети разные, DHCP в каждом офисе должен быть свой.

  • Не совсем понял. Давайте подробно. Есть 2008 домен. С дхсп, 10.0.0.0 к примеру. Смотрит наружу через TMG. На TMG настроен клиентский ВПН доступ, при этом ВПН клиенты получают ай-пи адреса из этого же (10.0.0.0) диапазона. Есть клиенты с мобильным интернетом, из кафе, чужих вайфай и т.д. 

    Есть 2 удаленных офиса, у них свои дхсп, 192.168.0.0 и 192.168.5.0 

    С ними и хочу сделать s2s. Как это должно выглядеть?

  • создатете для каждой удаленной сети свое s2s соединение по ipsec и все. http://www.isaserver.org/tutorials/Implementing-IPSEC-Site-to-Site-VPN-between-ISA-Server-2006-Beta-Cisco-PIX-501.html тут про cisco pix, если у вас роутеры то почти тоже самое

    Отвечающий