Я хотел бы настроить конфигурацию, в которой клиенты VPN, подключающиеся к моему Forefront TMG, могут получить доступ ко всем ресурсам моей внутренней сети, не используя параметр «Использовать шлюз по умолчанию в удаленной сети» в расширенных настройках TCP / IP Ipv4 VPN. Это важно для меня, так как они могут использовать свой собственный Интернет при доступе к моей сети через VPN (последствия этого для безопасности приемлемы для моего cenario)
Моя внутренняя сеть работает на 10.50.75.x, и я настроил Forefront TMG для ретрансляции DHCP моей внутренней сети клиентам VPN, чтобы они получали IP-адреса из того же диапазона, что и внутренняя сеть. Эта настройка изначально работает, и клиенты VPN используют свой собственный Интернет и могут получить доступ ко всему, что находится во внутренней сети. Однако через некоторое время HTTP-прокси-трафик из внутренней сети начинает перенаправляться на IP-адрес интерфейса удаленного доступа RRAS, а не на IP-адрес шлюза внутренней сети. Когда это происходит, HTTP-прокси начинает получать отказ по очевидным причинам.
Мой первый вопрос: происходит ли это из-за того, что Forefront TMG не был разработан для обработки описанного выше cenario, и он «теряет себя»?
Мой второй вопрос: есть ли способ решить эту проблему с помощью настроек или политик брандмауэра?
Мой третий вопрос: если нет способа, которым он может работать с указанным выше cenario, есть ли другой cenario, который решит мою проблему и сделает то, что я хочу, чтобы он делал правильно?
Ниже приведены мои сетевые маршруты:
1 => Local Host Access => Route => Local Host => All Networks
2 => VPN Clients to Internal Network => Route => VPN Clients => Internal
3 => Internet Access => NAT => Internal, Perimeter, VPN Clients => External
4 => Internal to Perimeter => Route => Internal, VPN Clients => Perimeter
Ткс!
Я никогда не использовал Forefront, но использование того же диапазона IP-адресов для ваших клиентов VPN, что и ваша внутренняя сеть, только усложняет проблемы. (как вы выясняете) Вы должны использовать другой диапазон для VPN-клиентов, и просто попросите Forefront передать им их IP-адреса DHCP вместо передачи их запросов на ваш внутренний DHCP-сервер. Клиенты VPN «используют свой собственный Интернет» достигаются через раздельное туннелирование, что я уверен, что коробка Forefront должна быть в состоянии выполнить.