[vitozillo]

Цитата Denis Dyagilev:

Как вариант, можно рассмотреть создание на шлюзе политики IPSec, требующую проходить аутентификацию в домене. http://technet.microsoft.com/en-us/l.../bb742429.aspx »

спасибо за ссылку, наедаюсь поможет

Брандмауэр, IPsec, RADIUS вот чем я пробовал запретить интернет пользователям не входящих в домен.

Все же попробую поиграться с TMG и буду снова пробовать настроить без стороннего софта.

нашел похожую темку и вот что там советуют:

Внедрите в домене политику IPSec с протоколом AH (чтобы не заниматься шифрованием трафика) и аутентификацией Kerberos для всего или для части IP-трафика. Тогда посторонние компьютеры точно не смогут подключиться к ресурсам домена, даже если вводить правильные логин и пароль. Для доступа в Интернет можно на втором сервере настроить VPN-сервер, так чтобы пользователи проходили аутентификацию на нем, и только через VPN-подключение получали доступ в Интернет.

Так значит все же можно обойтись без привлечения стороннего софта??