Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   ISA Server / Microsoft Forefront TMG (http://forum.oszone.net/forumdisplay.php?f=98)
-   -   ADSL+VPN - внутренним клиентам (http://forum.oszone.net/showthread.php?t=150069)

Delirium 09-09-2009 03:18 1214467
ADSL+VPN - внутренним клиентам
 
немного сумбурное название темы, поэтому опишу вкратце:

Шаг 1. Имеется ADSL модем. Для подключения к инету необходимо создать новое подключение к Дальсвязи(провайдер), с указанием имени и пароля. После установления соединения появляется Интернет.
Шаг 2. После установления связи с инетом создается второе подключение - VPN к удаленному серверу через ИНтернет. После его подключения становится доступной моя сеть(моя сеть в одном городе, все действия проводятся в другом городе) и все файловые ресурсы + интернет начинает контролировать мой ISA Server (назовем его srv1).

Что необходимо:

В удаленном офисе установить ISA 2004 таком образом, чтобы она сама перезванивала на оба соединения в случае разрыва(встроенный Dial-up preference дает автоподключение только одного модемного соединения), и выдавала бы пользователям в сети удаленного офиса доступ к моей сети.
Если убрать VPN подключение, то доступ просто в инет раздается, все могут ходить. Мне же необходимо, чтобы был доступ только к данным VPN подключения.

Anton04 09-09-2009 10:23 1214610
Delirium,

Боже мой, ну когда же люди научатся нормально описывать задачу и имеющиеся ресурсы....

В общем так, что у тебя есть (поправьте если не так):

1. Локальная сеть и исой (иса какая? 2004, 2006 и SE или EE?), назовём сеть LAN1.
2. Удалённая локальная сеть и (с планируемой) исой (кстати зачем ставить 2004 когда есть 2006?), назовём сеть LAN2.
3. LAN2 выходит в интернет по средством ADSL модема. Для соединения с интернетом необходимо создавать подключение на иса сервера LAN2.

Необходимо настроить VPN по схеме Site to Site между LAN2 и LAN1.

Так?

Delirium 10-09-2009 01:12 1215247
Цитата:
Цитата Anton04
Так? »
нет :). Точнее не совсем.
Цитата:
Цитата Anton04
иса какая? 2004, 2006 и SE или EE?), »
2004 SE SP3.
Цитата:
Цитата Anton04
стати зачем ставить 2004 когда есть 2006? »
У кого есть, у кого нет :)
Цитата:
Цитата Anton04
LAN2 выходит в интернет по средством ADSL модема. Для соединения с интернетом необходимо создавать подключение на иса сервера LAN2. »
Согласен, это не проблема.
Цитата:
Цитата Anton04
Необходимо настроить VPN по схеме Site to Site между LAN2 и LAN1. »
VPN тоже работает. Суть в чем:
Мне необходимо, чтобы ISA в LAN2 выдавала пользователям доступ не просто в ИНтернет, а только на ресурсы, доступные через VPN подключение.
Рассмотрим ситуацию без ISA в LAN2. Т.е. просто машину с подключенным модемом.
Подключаю я интернет, затем подключаю VPN соединение. После подключения я выставляю в настройках IE в качестве прокси сервера - удаленный сервер LAN1. И после этого пользуюсь ресурсами LAN1 и, что самое главное, я могу просматривать только те страницы интернета, которые разрешены мне (мною же :) ) на ISA в LAN1. В частности, народ таким образом смотрит некоторые технологические параметры через http, которые расположены в третьем городе.

И вот мне необходимо, чтобы такая схема работала не только для машины с ADSL модемом, а для всех пользователей сети LAN2.

Цитата:
Цитата Anton04
Боже мой, ну когда же люди научатся нормально описывать задачу и имеющиеся ресурсы.... »
Да я вроде бы не страдаю излишней косноязычностью :) Приношу извинения :)

El Scorpio 10-09-2009 01:45 1215255
Цитата:
Цитата Delirium
В удаленном офисе установить ISA 2004 таком образом, чтобы она сама перезванивала на оба соединения в случае разрыва(встроенный Dial-up preference дает автоподключение только одного модемного соединения), и выдавала бы пользователям в сети удаленного офиса доступ к моей сети. »
"Позвонить" на ADSL-соединение для его активации нельзя. Что можно?
1. Перевести ADSL-модемы в режим маршрутизатора. Тогда он сам при обрыве связи он автоматически будет пытаться восстановить PPPoE-соединение. Разрешить одному модему проброс портов VPN-соединения на VPN-сервер. Также в "личном кабинете" Дальсвязи включить режим постоянного IP-адреса.
2. На "прокси-серверах" создать входящее и исходящее VPN-соединения.

Dimas_83 11-09-2009 00:12 1216193
Вот вы тут уважаемые нагородили. Я вообще не вижу проблемы настроить site-to-site, сделать правила для трафика между lan2 и lan 1, а на удаленной исе разрешить VPn клиентам доступ в инет.
Это как я понял.

А вообще просьба к Delirium: Нарису плиз, а то не до конца понятно. Проще оперировать картинками.

Delirium 11-09-2009 01:07 1216225
Вложений: 1
Схему примерную привел.
Самое главное условие - дать клиентам LAN2 доступ в мою сеть LAN1 и ничего более того, что разрешено на ISA LAN1. Т.е. никакого интернета, только локалка.

Dimas_83 11-09-2009 22:32 1216888
Ну тогда всё просто.
Надо объединить две сети. VPN для этого и сделан.

1. создать на каждой исе подключение типа site-to-site с использованием L2TP over IPSEC (с ключом). PPTP вообще не рассматриваю, а чистый L2TP (сертификаты) настроить посложнее. Но можно.
2. Создать на каждой исе новую сеть. Т.е. для исы из LAN1 создаем сеть "LAN2_VPN", вносим в нее удаленные IP адреса: диапазон и адрес внешнего IP удаленной исы, для LAN2 аналогично
3. Создаем правила на каждой исе "LAN1->LAN2_VPN и LAN2_VPN->LAN1 ну и для LAN2 соответственно. ПРотоколы можно подстроить под себя.

Собственно и всё. Если шлюз в сети один, то роутинг можно не настраивать.
Данная настройка не мешает внутренним юзерам ходить в инет, не позволяет удалённым сетям ходить в инет, и клиенты из LAN2 акромя этого "канала" ничего не будут иметь

Ну а поддерживать канал рабочим - это вообще не задача для ИСЫ... имею ввиду "звонить при разрыве"... Проще дозвон для провайдера отдать ADSL модему...

Delirium 14-09-2009 03:27 1218301
Всем спасибо, буду пробовать. О результатах оповещу.


Время: 06:16.

Время: 06:16.
© OSzone.net 2001-