TMG и VPN-канал через другой шлюз. [Версия для КПК] - стр. 2

Показать полную графическую версию : TMG и VPN-канал через другой шлюз.

Страниц : 1 [2]

cameron

04-06-2015, 16:21

Если делать на TMG route add 192.168.5.0 mask 255.255.255.0 192.168.8.254, то не пингуется даже шлюз 192.168.5.254 (с клиентов все ок) »
что-то не уловила.
Сделал Подсети А и Б, разрешил между ними весь трафик. »
не могу телепатировать где вы это сделали.
и , соот-но, FWC направляет его на TMG, а TMG не знает куда направить трафик.. »
можно исключить обращение к сетям/доменам в настройках Internal Network через прокси и сделать их прямыми.
а чтобы это работало, нужно эти сети прописать в Internal сети TMG.
появится ругань в Alert'ах, что нет маршрута - забейте на неё.

Mitchel

04-06-2015, 17:30

Цитата Mitchel:
Если делать на TMG route add 192.168.5.0 mask 255.255.255.0 192.168.8.254, то не пингуется даже шлюз 192.168.5.254 (с клиентов все ок) »
что-то не уловила. »
Итак: на клиентах сети А - route add 192.168.5.0 mask 255.255.255.0 192.168.8.254 (Freebsd c VPN), в Б - route add 192.168.8.0 mask 255.255.255.0 192.168.5.254 (FreeBSD VPN).
На TMG - в параметрах FWC сделаны исключения для приложений, например, 1С disabled 1, чтобы клиент из сети А попадал в базу сеть Б.
На TMG удалили VPN site-to-site А-Б, включая правила, и объекты типа сеть.
Ес-но, из сети А не виден ТМГ в сети Б, и наоборот.
Если на ТМг добавить руками маршруты по аналогии с клиентами, то все равно, пинги на ТМГ и с ТМГ не идут.
2. Т.е. в параметре на ТМг А "Внутренняя сеть" я добавляю адреса сети Б ?

cameron

04-06-2015, 19:51

Если на ТМг добавить руками маршруты по аналогии с клиентами, то все равно, пинги на ТМГ и с ТМГ не идут. »
да, потому что они режутся файерволом.
2. Т.е. в параметре на ТМг А "Внутренняя сеть" я добавляю адреса сети Б ? »
и vice versa.

а потом создаёте объект Subnet (тот же, что у вас в роут адд) и прописываете туда-обратно в FW правилах.

вопрос: видимость сабнетов с самой ТМГ это критическая необходимость? :)

Mitchel

05-06-2015, 10:01

Гипотетически видимость бы и не нужна, но это нужно для , скажем, удаленного подключения к ТМГ из другого филиала. Или, каждая сеть - это свой , отдельный домен, т.е. все сети - домены с довериями, и в некоторых сетях, например, А, есть компьютеры и пользователи из домена Б..соот-но, в правилах ТМГ добавлены группы пользователей с доступом в интернет или к каким-то ресурсам из "тех" доменов.

Mitchel

22-06-2015, 01:29

Камерон, спасибо за помощь! Переключил, были нюансы, решались на ходу, в целом заработало..по этому поводу заслуженно грею кости на берегу моря )