[kim-aa]

Гетерогенные комбинации крайне тяжелы в развертывании.
Я, честно говоря, не припомню примеров внятной работы:
Пробовал:
Cisco - ISA
BSD - ISA

Рекомендую выделить самую старую, чахлую и никому не нужную машину и поднять на ней Linux VPN-шлюз.
Либо купить две аппартные коробочки D-Link только для этих целей.

[VladDV]

Дело в том, что ISA сейчас стоит в центральном офисе. Там созданы достаточно сложные правила доступа в интернет (по пользователям домена, по ип-адресам, разрешения на уровне протоколов и т.п.), плюс ко всему собраны ВПНы со всех филлиалов (получается звезда). Не уверен, что такое нормально можно сделать на линуксе (просто я начинающий в *NIX системах). Иса вполне обеспечивает этот функционал, к тому же она куплена. Не хотелось бы ее выбрасывать. А вот на филлиалы покупать дорогостоящую ису для 10-20 компов в каждом накладно. Вот и появилось желание перевести на Linux, который обеспечит только выход в интернет и связь с офисом по ВПН. Больше от него задач не требуется.

kim-aa, а Вы написали, что был опыт использования связки BSD - ISA. С какими проблемами Вы столкнулись? И почему именно BSD, а не Linux?

[slaine]

VladDV, а, что такое VPN? подозреваю, что это pptp или ipsec.
Linux это умеет.

[VladDV]

На данный момент использую pptp для связи между исами. Пробовал ставить Debian и поднимать на нем pptpd, клиенты в лице Windows Server 2003 коннектятся без проблем, а вот иса ругается на пользователя/пароль (их сто раз проверил и перебил). Собственно почему возник вопрос о возможности.

Про IPSec только сейчас подумал. Вот сижу курю гугл на эту тему. Правда про связь с исой опять же ничего нет.

[kim-aa]

Цитата VladDV:

Пробовал ставить Debian и поднимать на нем pptpd, клиенты в лице Windows Server 2003 коннектятся без проблем, а вот иса ругается на пользователя/пароль (их сто раз проверил и перебил). »

Тут проблема в сквозной аутентификации. ISA признает только NTLM.
Base- аутентификация (даже если бы она была) не подходит так как хеши поразному формируются в разных системах

У Debian-клиентов какие режимы шифрования и аутентификации присутствуют?

[VladDV]

Для шифрования использую - MPPE.
Для аутентификации - MS-CHAPv2.

[kim-aa]

Цитата VladDV:

Для шифрования использую - MPPE. 1) Для аутентификации - MS-CHAPv2. »

Это для Debian?

2) Для ISA какие свойства выставлены для PPTP?

4) При идентификации используются локальные учетные записи или доменные?

[VladDV]

Ага, для Debian. Даже правильнее сказать - для службы pptpd, которая может работать под разными дистрибутивами линукса.

Для ISA выставлена аутентификация только MS-CHAPv2. Протокол pptp. Пользователь и пароль локальные. В качестве домена в настройка соединения ISA указываю внешний ip debian (по аналогии, когда windows машина не в домене, можно указывать ip\username).

[kim-aa]

Цитата VladDV:

kim-aa, а Вы написали, что был опыт использования связки BSD - ISA. С какими проблемами Вы столкнулись? И почему именно BSD, а не Linux? »

Те же самые. Я пробовал IPSec. Соединения нет, как отлаживать - не понятно. Настройки разные.
FreeBSD я лучше знал. Есть Русский хелп (правда обычно от прошлой ветки
Система портов, устранаяет проблемы с зависимостями.
Вообще сетевой стек более внятный.

Вообще же, обычно я рекомендую для этих целей сетевые дистрибутивы типа vyatta
http://forum.oszone.net/thread-172176.html

2)

Цитата VladDV:

Дело в том, что ISA сейчас стоит в центральном офисе. Там созданы достаточно сложные правила доступа в интернет (по пользователям домена, по ип-адресам, разрешения на уровне протоколов и т.п.), плюс ко всему собраны ВПНы со всех филлиалов (получается звезда). »

Вообще, класической схемой является выделение отдельного устройства - VPN-концентратора.
Совмещение фаервола и VPN-концентратора - это по бедности.
Я настойчиво рекомендую, повесить таковой на отдельную "ногу" (сетевую карту) к ISA, и собирать VPN-тунели на однотипных средствах.