Назад | Перейти на главную страницу

TMG 2010: дополнительная внешняя ниша, выделенная для VPN

Мы небольшая компания с брандмауэром TMG в довольно удаленном месте, где линия DSL, которая у нас есть, не может быть увеличена до более высокой пропускной способности. С этой асимметричной линией DSL у нас обычно есть правильный опыт просмотра, кроме случаев, когда загрузка занимает полосу пропускания.

Во время загрузки клиенты VPN становятся очень медленными и не реагируют на запросы. У нас есть вторая линия DSL, и я хотел бы передать весь трафик VPN по этой второй линии DSL и оставить первую для всего обычного интернет-трафика.

Это поддерживаемая конфигурация TMG?

Я ожидал, что шаги будут такими:

Я искал в Интернете и не нашел ничего о втором внешнем нике, посвященном VPN. Может ли это TMG? У кого-нибудь есть опыт работы с этим типом конфигурации?

добавить дополнительный ник на сервере, настроить с фиксированным IP, без шлюза (TMG может иметь только один шлюз)

Правильно, но я полагаю, вы имеете в виду дефолт шлюз. Это не TMG, у которого может быть только один шлюз, это просто принцип работы сети. Любое устройство, независимо от того, сколько у него интерфейсов, может иметь только один дефолт шлюз.

подключите этот новый ник ко второй линии DSL, перенаправьте порт VPN на маршрутизатор DSL

Если у вас есть только коробка TMG на этом втором маршрутизаторе, я бы не использовал маршрутизатор в качестве маршрутизатора, я бы просто использовал его как модем. Переведите его в режим моста и настройте соединение PPPoE на самом хосте TMG. Затем у вас есть ваш общедоступный IP-адрес, подключенный непосредственно к вашему серверу, и вы устраняете огромную головную боль в VPN (NAT) и упрощаете свою маршрутизацию.

  • в TMG создайте новую сеть (с именем, например, External-VPN) и выберите новый nic
  • в TMG> Политика удаленного доступа> Выберите Сети доступа и выберите эту новую сеть «Внешняя VPN».
  • проверить / обновить правила брандмауэра

Отсюда моя память TMG довольно нечеткая, но в основном да. Самые большие проблемы, с которыми вам придется столкнуться:

  • Транспортные потоки в через один интерфейс (2-е ADSL-соединение), но вне через другой интерфейс (оригинальный модем). Это не является незаконным с точки зрения TCP / IP, но большинство брандмауэров немедленно отбрасывают этот исходящий пакет, потому что он не распознает соединение. Кроме того, вам нужно, чтобы исходящий пакет проходил через исходный интерфейс, чтобы вы не использовали свою драгоценную полосу пропускания ADSL. Я на 90% уверен, что Windows справится с этим нормально, но эти 10% могут стать кошмаром для отладки.

  • TMG ужасно плохо дает вам полезную обратную связь в журналах брандмауэра. Вы получаете всевозможные неоднозначные сбои и сообщения об ошибках, которые просто не имеют смысла.

Тем не менее, я знать что это можно сделать, как я видел это в прошлом. Я просто не помню подробностей.