Alexles Опубликовано 28 Февраля 2013 Жалоба Поделиться Опубликовано 28 Февраля 2013 Здравствуйте, подскажите в какую сторону имеет смысл копать или само решение ежели кто столкивался.Итак что имеем - 1 главный офис и порядка 10 доп. офисов по всему городу. Шлюз главного офиса - компьютер с TMG и VipNet Coordinator.Требуется - полноцнное VPN всех офисов(включая оборудование без VipNet). Что делали:1)Сначала пытались развернуть средствами VipNet все, с туннелированием ресурсов из главного офиса(в доп. офисах везде есть VipNet) появилась проблема на TMG различного рода все что получилось выжать = односторонний VPN, т.е. из главного офиса все выходит, а обратно на туннелируемые ресурсы нет, причина - TMG ругается на недостоверный источник(подмена ip). Со слов спецов с technet дальше никак не продвинуться, и все мтеоды были перепробованы результату нуль.2)Пришли к второму варианту, т.к. нужно было чтобы пользователи из удаленных сетей имели доступ на доменном уровне, с помощью виндовых настроек и TMG было создано подключение VPN клиент-сервер, без VipNet на удаленном компьютере - все пучком, домен есть, почта есть, ip-телефония пашет. Ставим VipNet - все пропадает, причем при запуске VipNet закрывает VPN соединение TMG-клиент, а если его открыть после, то уже создается по имеющемуся соединению VipNet, что возвращает нас к пункту 1-му попытокМожно конечно сделать хитрее и взять еще канал и пустить VipNet в одну сторону, а все остальное в другое, но хотелось бы совместить решения TMG и VipNet Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Kurtasanov Опубликовано 28 Февраля 2013 Жалоба Поделиться Опубликовано 28 Февраля 2013 Что мешает сделать 2 раздельные машины ? Если все ресурсы в пределах одной организации и сети, и не имеете туннелируемых ресурсов, то координатор нужен как формальная единица (рассылка писем, обновок). Выделяете для него слабую машину, у клиентов вручную или через ЦУС отключаете галочку "Использовать межсетевой экран". После этого клиенты видят друг друга только по реальным IP и соединяются напрямую и нуждаются в координаторе только для получения обновок и писем. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Alexles Опубликовано 28 Февраля 2013 Автор Жалоба Поделиться Опубликовано 28 Февраля 2013 Уже задумывался об этом, но поднимаются все равно два вопроса: 1) что делать с тем, что при старте VipNet отлетает VPN от TMG? 2) как тогда обновляться?Скажем даже так, решение высказанное это перенос координатора(как я понял), что толком нам ничего не дает(кстати говоря есть также соединение с еще 2-мя VipNet сетями нашего города, связь скоторыми должна будет налажена как-то (сейчас есть отдельная машинка с их клиентом и правилами автопроцессинга). Отключение межсетевого экрана пробовал, пробовал убирать динамическую трансляцию на координатор в надежде, что он пойдет по уже существующему соединению VPN - не помогло. VipNet у*** прикрывал VPN соединение запускал себя и уже после пытался найти\не найти координатор.Какие еще могут быть варианты? Или же нет никакой даже маломальской совместимости, чтоб работало все?Были к слову мысли и о доп. канале и разделении сетей как таковых один канал только под VipNet, второй уже под все остальное взаимодействие с внешним миром.Сегодня вечером попробую в очередной раз проэксперементировать с настройками VipNet. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Alexles Опубликовано 28 Февраля 2013 Автор Жалоба Поделиться Опубликовано 28 Февраля 2013 Итак, итог проверок - VPN отлетает только исключительно из-за Координатора, т.к. он стоит на TMG и имеет мало того что один внешний адрес с ним, так еще также один адрес с создаваемой VPN, в итоге имеем даже при отсутствии межсетевого экрана взаимодействие на уровне VipNet откуда попадаем или в ситуацию, когда TMG блочит за подмену пакетов или в ситуацию, когда надо убрать адреса и запустить VPN подключение, но вот бяда - при подключении он как-то видит, что там есть VipNet и отсюда все косяки - соединение обрубается и ничего с этим не поделать. Значит вывод - надо убрать как-то запись о координаторе или что-то похожее. Какие еще есть варианты? В кратце примерно понимаю что и как, даже понимаю что похоже самый лучший вариант это оставить VipNet для видимости.. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Kurtasanov Опубликовано 1 Марта 2013 Жалоба Поделиться Опубликовано 1 Марта 2013 Скорее всего на одном сервере ничего работать не будет. И тут надо решить: переносить сервер c координатором или может построить vpn на базе випнет и tmg поставить за координатор. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Alexles Опубликовано 1 Марта 2013 Автор Жалоба Поделиться Опубликовано 1 Марта 2013 хм, ну сейчас две идеи по сути:- убрать связь удаленных офисов с координатором, главные проблемы - отсутствие связи именно средствами VipNet(а может и нет кстати ведь видеть они должны же друг друг по VPN от TMG) - убрать координатор вовнутрь, тогда его как-то надо вывести в свет опубликовать или еще что, т.к. потеря с вншними сетями более критична, весь обмен по сути идет через него или координаторы других сетей-таки докупить еще один канал и вывести VipNet отдельной сетьюпока склоняюсь к 1-му варианту, 2-й очень неохото делать Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Kurtasanov Опубликовано 3 Марта 2013 Жалоба Поделиться Опубликовано 3 Марта 2013 а что сложного в публикации координатора наружу ? там всего-то надо пробросить udp 55777, udp 2046-7, tcp 5000-5002. Но опять же не понятен этот велосипед. У нас происходит так:1) пользователь настраивает средствами виндовс подключение по VPN;2) после настроек цепляется к нашему TMG серверу;3) запускает ViPNet и работает с нашими ресурсами. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Alexles Опубликовано 4 Марта 2013 Автор Жалоба Поделиться Опубликовано 4 Марта 2013 Вот это уже поинтереснее описание,VPN у нас всеже поднимается изначально на старте винды(для входа в домен), VipNet службы я убрал при запуске системы, потом собсно при подключенном VPN выскакивает вход в клиент и вот тут бяда откуда-то при входе сразу кроется VPN соединеие..Решение видимо дествительно только одно - перенеси координатор. В публикации сложности по сути нет, у нас опубликован клиент не нашей VipNet сети, работает исправно, но опубликован он по принципу "связь только с координатором", для бОльшей безопасности.Я правильно понимаю, что у вас TMG и VipNet на разных машинах и TMG является шлюзом,а не VipNet? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Kurtasanov Опубликовано 4 Марта 2013 Жалоба Поделиться Опубликовано 4 Марта 2013 Да TMG и VipNet на разных машинах и TMG является шлюзом. Дополнительно тогда еще можно посмотреть трафика исходящий от клиента и сервера при помощи Microsoft Network Monitor (он ловит трафик который исходит после драйвера iplir, а не до него как Wireshark) . Может чего интересного можно будет увидеть. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Alexles Опубликовано 4 Марта 2013 Автор Жалоба Поделиться Опубликовано 4 Марта 2013 А вот такой вот вопросик небольшой к той же тематике, как мне сообщили, это решения не является безопасным для федеральных органов, т.к. на шлюзе обязательно должен стоять координатор предотвращая потенциально опасное сетевое соединение. Я считал все время, что основополагающим является защитить сами ПДн и пользователей, которые работают с этими ПДн по сети. Кто прав в итоге?В остальном спасибо, такая схема обязано просто рабтать, другое дело аргументировать почему она выбрана и поставлена... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Kurtasanov Опубликовано 5 Марта 2013 Жалоба Поделиться Опубликовано 5 Марта 2013 В данном случае данная схема у нас выбрана для подключения пользователей из дома, а защищаемые ресурсы находятся за координатором. Различные компании подключаем через внешний координатор. С другой стороны как ваша схема не может удовлетворять требованиям безопасности - таким макаром даже простой GRE туннель, который пролегает по пути следования трафика ViPNet, будет нелегальным. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.