Jump to content

Recommended Posts

Здравствуйте, подскажите в какую сторону имеет смысл копать или само решение ежели кто столкивался.

Итак что имеем - 1 главный офис и порядка 10 доп. офисов по всему городу. Шлюз главного офиса - компьютер с TMG и VipNet Coordinator.

Требуется - полноцнное VPN всех офисов(включая оборудование без VipNet).

Что делали:

1)Сначала пытались развернуть средствами VipNet все, с туннелированием ресурсов из главного офиса(в доп. офисах везде есть VipNet) появилась проблема на TMG различного рода все что получилось выжать = односторонний VPN, т.е. из главного офиса все выходит, а обратно на туннелируемые ресурсы нет, причина - TMG ругается на недостоверный источник(подмена ip). Со слов спецов с technet дальше никак не продвинуться, и все мтеоды были перепробованы результату нуль.

2)Пришли к второму варианту, т.к. нужно было чтобы пользователи из удаленных сетей имели доступ на доменном уровне, с помощью виндовых настроек и TMG было создано подключение VPN клиент-сервер, без VipNet на удаленном компьютере - все пучком, домен есть, почта есть, ip-телефония пашет. Ставим VipNet - все пропадает, причем при запуске VipNet закрывает VPN соединение TMG-клиент, а если его открыть после, то уже создается по имеющемуся соединению VipNet, что возвращает нас к пункту 1-му попыток

Можно конечно сделать хитрее и взять еще канал и пустить VipNet в одну сторону, а все остальное в другое, но хотелось бы совместить решения TMG и VipNet

Share this post


Link to post
Share on other sites

Что мешает сделать 2 раздельные машины ? Если все ресурсы в пределах одной организации и сети, и не имеете туннелируемых ресурсов, то координатор нужен как формальная единица (рассылка писем, обновок). Выделяете для него слабую машину, у клиентов вручную или через ЦУС отключаете галочку "Использовать межсетевой экран". После этого клиенты видят друг друга только по реальным IP и соединяются напрямую и нуждаются в координаторе только для получения обновок и писем.

Share this post


Link to post
Share on other sites

Уже задумывался об этом, но поднимаются все равно два вопроса: 1) что делать с тем, что при старте VipNet отлетает VPN от TMG? 2) как тогда обновляться?

Скажем даже так, решение высказанное это перенос координатора(как я понял), что толком нам ничего не дает(кстати говоря есть также соединение с еще 2-мя VipNet сетями нашего города, связь скоторыми должна будет налажена как-то (сейчас есть отдельная машинка с их клиентом и правилами автопроцессинга). Отключение межсетевого экрана пробовал, пробовал убирать динамическую трансляцию на координатор в надежде, что он пойдет по уже существующему соединению VPN - не помогло. VipNet у*** прикрывал VPN соединение запускал себя и уже после пытался найти\не найти координатор.

Какие еще могут быть варианты? Или же нет никакой даже маломальской совместимости, чтоб работало все?

Были к слову мысли и о доп. канале и разделении сетей как таковых один канал только под VipNet, второй уже под все остальное взаимодействие с внешним миром.

Сегодня вечером попробую в очередной раз проэксперементировать с настройками VipNet.

Share this post


Link to post
Share on other sites

Итак, итог проверок - VPN отлетает только исключительно из-за Координатора, т.к. он стоит на TMG и имеет мало того что один внешний адрес с ним, так еще также один адрес с создаваемой VPN, в итоге имеем даже при отсутствии межсетевого экрана взаимодействие на уровне VipNet откуда попадаем или в ситуацию, когда TMG блочит за подмену пакетов или в ситуацию, когда надо убрать адреса и запустить VPN подключение, но вот бяда - при подключении он как-то видит, что там есть VipNet и отсюда все косяки - соединение обрубается и ничего с этим не поделать. Значит вывод - надо убрать как-то запись о координаторе или что-то похожее. Какие еще есть варианты? В кратце примерно понимаю что и как, даже понимаю что похоже самый лучший вариант это оставить VipNet для видимости..

Share this post


Link to post
Share on other sites

Скорее всего на одном сервере ничего работать не будет. И тут надо решить: переносить сервер c координатором или может построить vpn на базе випнет и tmg поставить за координатор.

Share this post


Link to post
Share on other sites

хм, ну сейчас две идеи по сути:

- убрать связь удаленных офисов с координатором, главные проблемы - отсутствие связи именно средствами VipNet(а может и нет кстати ведь видеть они должны же друг друг по VPN от TMG)

- убрать координатор вовнутрь, тогда его как-то надо вывести в свет опубликовать или еще что, т.к. потеря с вншними сетями более критична, весь обмен по сути идет через него или координаторы других сетей

-таки докупить еще один канал и вывести VipNet отдельной сетью

пока склоняюсь к 1-му варианту, 2-й очень неохото делать

Share this post


Link to post
Share on other sites

а что сложного в публикации координатора наружу ? там всего-то надо пробросить udp 55777, udp 2046-7, tcp 5000-5002. Но опять же не понятен этот велосипед. У нас происходит так:

1) пользователь настраивает средствами виндовс подключение по VPN;

2) после настроек цепляется к нашему TMG серверу;

3) запускает ViPNet и работает с нашими ресурсами.

Share this post


Link to post
Share on other sites

Вот это уже поинтереснее описание,VPN у нас всеже поднимается изначально на старте винды(для входа в домен), VipNet службы я убрал при запуске системы, потом собсно при подключенном VPN выскакивает вход в клиент и вот тут бяда откуда-то при входе сразу кроется VPN соединеие..

Решение видимо дествительно только одно - перенеси координатор. В публикации сложности по сути нет, у нас опубликован клиент не нашей VipNet сети, работает исправно, но опубликован он по принципу "связь только с координатором", для бОльшей безопасности.

Я правильно понимаю, что у вас TMG и VipNet на разных машинах и TMG является шлюзом,а не VipNet?

Share this post


Link to post
Share on other sites

Да TMG и VipNet на разных машинах и TMG является шлюзом. Дополнительно тогда еще можно посмотреть трафика исходящий от клиента и сервера при помощи Microsoft Network Monitor (он ловит трафик который исходит после драйвера iplir, а не до него как Wireshark) . Может чего интересного можно будет увидеть.

Share this post


Link to post
Share on other sites

А вот такой вот вопросик небольшой к той же тематике, как мне сообщили, это решения не является безопасным для федеральных органов, т.к. на шлюзе обязательно должен стоять координатор предотвращая потенциально опасное сетевое соединение. Я считал все время, что основополагающим является защитить сами ПДн и пользователей, которые работают с этими ПДн по сети. Кто прав в итоге?

В остальном спасибо, такая схема обязано просто рабтать, другое дело аргументировать почему она выбрана и поставлена...

Share this post


Link to post
Share on other sites

В данном случае данная схема у нас выбрана для подключения пользователей из дома, а защищаемые ресурсы находятся за координатором. Различные компании подключаем через внешний координатор. С другой стороны как ваша схема не может удовлетворять требованиям безопасности - таким макаром даже простой GRE туннель, который пролегает по пути следования трафика ViPNet, будет нелегальным.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site, you agree to our Terms of Use.