[VladDV]

Цитата kim-aa:

Я настойчиво рекомендую, повесить таковой на отдельную "ногу" (сетевую карту) к ISA, и собирать VPN-тунели на однотипных средствах. »

Каюсь, не совсем понял, зачем нужна отдельная сетевая карта на исе для подключения ВПН-сервера?

[kim-aa]

Смотрите рисунок. Изображены два варианта:
- VPN концентратор в отдельном сегменте
- VPN-Концентратор в общем сегменте

Во-втором случае ISA не сможет контролировать трафик, т.к будет видеть только шифрованную часть.

[VladDV]

О, блин. Прикольно. А VPN-концентратор разве может работать с одной сетевой картой? Это как? На карту 2 IP вешать?

[kim-aa]

А зачем ему вторая карта?

Реально будут существовать следующие интерфейсы:
Физический
Виртуальный IPSec

Будут установлены следующие соединения:

VPN-шлюз филиала <--IPSec--> VPN-шлюз Офиса

Клиент---->[физ. интерфейс]{VPN-шлюз филиала}[Вирт. интерфейс]----->[Вирт.интерфейс]{VPN-шлюз офиса}[Физ.интерфейс] --->Сервер

Кстати, если нет требований, что весь филиал должен ходить в центральный офис, то можно использовать стандартного VPN-клиента на рабочей станции. Соответственно у вы можете не мучатся, а просто коннектить Windows c ISA

[VladDV]

Получается, что мне нужно на исе опубликовать порты IPSec моего VPN-сервера, чтобы к нему могли подключиться филлиалы, а на физическом интерфейсе задать ip из подсети офиса. А как иса-шлюз узнает, что пакеты от VPN-сервера нужно слать в локальную сеть? Ведь я не могу прописать маршрут, в котором было бы сказано, что пакеты с адресом назначения из своей подсети пересылать на другой интерфейс. Теперь если клиент по VPNу отсылает пакет в офис допусти на адрес 192.168.1.10, то каким образом пакет с офисного VPN-сервера передастся в локальную сеть?

[kim-aa]

У вас будет:

Сеть филиала внутренняя
Сеть офиса внутренняя
Сеть (IP) филиала внешний
Сеть (IP) офиса внешний

Не обязательно:
Сеть VPN-тунеля
--------------------------------------------
А теперь расшифруйте предложение:

Цитата VladDV:

А как иса-шлюз узнает, что пакеты от VPN-сервера нужно слать в локальную сеть? »

Из какой сети в какую должен идти пакет для которого нужно прописать правило на ISA?

[VladDV]

[Клиент филлиала (отправка для ip-локальной сети офиса)] -> VPN -> {Внутренний ip}[Шлюз]{внешний ip} -> {внешний ip}[ISA офиса]{карта для сервера VPN} -> {внутренний ip VPN-сервера} -> [тут пакет расшифровался и у него адрес назначения - локальная сеть офиса] -> *** путь только на ISA, но физический адрес сервера VPN тоже из подсети офиса, отсюда вопрос - куда дальше идти пакету? Нужно, чтобы он прошел через ISA и попал во внутреннюю сеть офиса.

Из офиса соответственно пакеты должны маршрутизироваться через ISA сервер на VPN-сервер. Опять же, если подсети совпалают, то пакет не выйдет за пределы локально сети офиса.

Надеюсь не сильно перемудрил с описанием?

[kim-aa]

Цитата VladDV:

[Клиент филлиала (отправка для ip-локальной сети офиса)] -> VPN -> {Внутренний ip}[Шлюз]{внешний ip} -> {внешний ip}[ISA офиса]{карта для сервера VPN} -> {внутренний ip VPN-сервера} -> [тут пакет расшифровался и у него адрес назначения - локальная сеть офиса] -> *** путь только на ISA, но физический адрес сервера VPN тоже из подсети офиса, »

Кто сказал?
На рисунке 1 изображено, что VPN концентратор находится в отдельном сегменте 3-го уровня (сети).
Хотя это и не важно.

Даже если, VPN-концентратор находится в общей сети, то все равно будет работать.

На ISA просто прописывается простое правило маршрутизации
route add <внутренняя сеть филиала> <интерфейс VPN-концентратора>

На VPN-концентраторе офиса прописывается
route add <внутренняя сеть филиала> <виртуальный интерфейс>

На VPN-шлюзе филиала прописывается
route add <внутренняя сеть офиса> <виртуальный интерфейс>

[VladDV]

Цитата kim-aa:

На рисунке 1 изображено, что VPN концентратор находится в отдельном сегменте 3-го уровня (сети). »

Это я понял. Просто думал, что адреса там нужно задавать такие же, как в локальной сети. Теперь вроде ясно, что достаточно поиграться с маршрутами, чтоб все заработало. Думаю, чтобы лучше понять, нужно попробовать. Завтра на работе разверну виртуалки по такой схеме и проверю, если что-то непонятно, то сразу всплывет
В роли VPN концентратора все таки использую Debian, т.к. в филлиалах планирую его и как шлюз использовать (разделять VPN и шлюз в филлиалах не вижу особой надобности). Как что-то получится/не получится - отпишусь. Если кому-то это интересно, могут потом выложить сюда все конфиги, вдруг кому еще пригодится.

Цитата kim-aa:

Кстати, если нет требований, что весь филиал должен ходить в центральный офис, то можно использовать стандартного VPN-клиента на рабочей станции. Соответственно у вы можете не мучатся, а просто коннектить Windows c ISA »

Такое требование обязательное. Ради этого все и делается

[Anton04]

Цитата VladDV:

Теперь вроде ясно, что достаточно поиграться с маршрутами, чтоб все заработало. Думаю, чтобы лучше понять, нужно попробовать. Завтра на работе разверну виртуалки по такой схеме и проверю, если что-то непонятно, то сразу всплывет »

Сразу хочется обратить внимание, что задавать вопросы по маршрутизации в этот раздел не стоит, т.к. иса не занимается маршрутизацией этим занимается Windows.