Vipnet + Tmg + Vpn

[Alexles]

Здравствуйте, подскажите в какую сторону имеет смысл копать или само решение ежели кто столкивался.

Итак что имеем - 1 главный офис и порядка 10 доп. офисов по всему городу. Шлюз главного офиса - компьютер с TMG и VipNet Coordinator.

Требуется - полноцнное VPN всех офисов(включая оборудование без VipNet).

Что делали:

1)Сначала пытались развернуть средствами VipNet все, с туннелированием ресурсов из главного офиса(в доп. офисах везде есть VipNet) появилась проблема на TMG различного рода все что получилось выжать = односторонний VPN, т.е. из главного офиса все выходит, а обратно на туннелируемые ресурсы нет, причина - TMG ругается на недостоверный источник(подмена ip). Со слов спецов с technet дальше никак не продвинуться, и все мтеоды были перепробованы результату нуль.

2)Пришли к второму варианту, т.к. нужно было чтобы пользователи из удаленных сетей имели доступ на доменном уровне, с помощью виндовых настроек и TMG было создано подключение VPN клиент-сервер, без VipNet на удаленном компьютере - все пучком, домен есть, почта есть, ip-телефония пашет. Ставим VipNet - все пропадает, причем при запуске VipNet закрывает VPN соединение TMG-клиент, а если его открыть после, то уже создается по имеющемуся соединению VipNet, что возвращает нас к пункту 1-му попыток

Можно конечно сделать хитрее и взять еще канал и пустить VipNet в одну сторону, а все остальное в другое, но хотелось бы совместить решения TMG и VipNet

[Kurtasanov]

Что мешает сделать 2 раздельные машины ? Если все ресурсы в пределах одной организации и сети, и не имеете туннелируемых ресурсов, то координатор нужен как формальная единица (рассылка писем, обновок). Выделяете для него слабую машину, у клиентов вручную или через ЦУС отключаете галочку "Использовать межсетевой экран". После этого клиенты видят друг друга только по реальным IP и соединяются напрямую и нуждаются в координаторе только для получения обновок и писем.

[Alexles]

Уже задумывался об этом, но поднимаются все равно два вопроса: 1) что делать с тем, что при старте VipNet отлетает VPN от TMG? 2) как тогда обновляться?

Скажем даже так, решение высказанное это перенос координатора(как я понял), что толком нам ничего не дает(кстати говоря есть также соединение с еще 2-мя VipNet сетями нашего города, связь скоторыми должна будет налажена как-то (сейчас есть отдельная машинка с их клиентом и правилами автопроцессинга). Отключение межсетевого экрана пробовал, пробовал убирать динамическую трансляцию на координатор в надежде, что он пойдет по уже существующему соединению VPN - не помогло. VipNet у*** прикрывал VPN соединение запускал себя и уже после пытался найти\не найти координатор.

Какие еще могут быть варианты? Или же нет никакой даже маломальской совместимости, чтоб работало все?

Были к слову мысли и о доп. канале и разделении сетей как таковых один канал только под VipNet, второй уже под все остальное взаимодействие с внешним миром.

Сегодня вечером попробую в очередной раз проэксперементировать с настройками VipNet.

[Alexles]

Итак, итог проверок - VPN отлетает только исключительно из-за Координатора, т.к. он стоит на TMG и имеет мало того что один внешний адрес с ним, так еще также один адрес с создаваемой VPN, в итоге имеем даже при отсутствии межсетевого экрана взаимодействие на уровне VipNet откуда попадаем или в ситуацию, когда TMG блочит за подмену пакетов или в ситуацию, когда надо убрать адреса и запустить VPN подключение, но вот бяда - при подключении он как-то видит, что там есть VipNet и отсюда все косяки - соединение обрубается и ничего с этим не поделать. Значит вывод - надо убрать как-то запись о координаторе или что-то похожее. Какие еще есть варианты? В кратце примерно понимаю что и как, даже понимаю что похоже самый лучший вариант это оставить VipNet для видимости..

[Kurtasanov]

Скорее всего на одном сервере ничего работать не будет. И тут надо решить: переносить сервер c координатором или может построить vpn на базе випнет и tmg поставить за координатор.

[Alexles]

хм, ну сейчас две идеи по сути:

- убрать связь удаленных офисов с координатором, главные проблемы - отсутствие связи именно средствами VipNet(а может и нет кстати ведь видеть они должны же друг друг по VPN от TMG)

- убрать координатор вовнутрь, тогда его как-то надо вывести в свет опубликовать или еще что, т.к. потеря с вншними сетями более критична, весь обмен по сути идет через него или координаторы других сетей

-таки докупить еще один канал и вывести VipNet отдельной сетью

пока склоняюсь к 1-му варианту, 2-й очень неохото делать

[Kurtasanov]

а что сложного в публикации координатора наружу ? там всего-то надо пробросить udp 55777, udp 2046-7, tcp 5000-5002. Но опять же не понятен этот велосипед. У нас происходит так:

1) пользователь настраивает средствами виндовс подключение по VPN;

2) после настроек цепляется к нашему TMG серверу;

3) запускает ViPNet и работает с нашими ресурсами.

[Alexles]

Вот это уже поинтереснее описание,VPN у нас всеже поднимается изначально на старте винды(для входа в домен), VipNet службы я убрал при запуске системы, потом собсно при подключенном VPN выскакивает вход в клиент и вот тут бяда откуда-то при входе сразу кроется VPN соединеие..

Решение видимо дествительно только одно - перенеси координатор. В публикации сложности по сути нет, у нас опубликован клиент не нашей VipNet сети, работает исправно, но опубликован он по принципу "связь только с координатором", для бОльшей безопасности.

Я правильно понимаю, что у вас TMG и VipNet на разных машинах и TMG является шлюзом,а не VipNet?

[Kurtasanov]

Да TMG и VipNet на разных машинах и TMG является шлюзом. Дополнительно тогда еще можно посмотреть трафика исходящий от клиента и сервера при помощи Microsoft Network Monitor (он ловит трафик который исходит после драйвера iplir, а не до него как Wireshark) . Может чего интересного можно будет увидеть.

[Alexles]

А вот такой вот вопросик небольшой к той же тематике, как мне сообщили, это решения не является безопасным для федеральных органов, т.к. на шлюзе обязательно должен стоять координатор предотвращая потенциально опасное сетевое соединение. Я считал все время, что основополагающим является защитить сами ПДн и пользователей, которые работают с этими ПДн по сети. Кто прав в итоге?

В остальном спасибо, такая схема обязано просто рабтать, другое дело аргументировать почему она выбрана и поставлена...

[Kurtasanov]

В данном случае данная схема у нас выбрана для подключения пользователей из дома, а защищаемые ресурсы находятся за координатором. Различные компании подключаем через внешний координатор. С другой стороны как ваша схема не может удовлетворять требованиям безопасности - таким макаром даже простой GRE туннель, который пролегает по пути следования трафика ViPNet, будет нелегальным.