[winbond]

Фряху в отдельную сеть (полный аналог тээмгэшной VPN сети, только руками). На TMG маршрут к ней. FWC проксирует трафик приложения на TMG, TMG отправляет его на фряху. Правила нужно еще будет создать для обоих направлений.

[Mitchel]

Спасибо за ответ.
Но:
1. перезагрузка сервера с TMG, или его зависание приведет также к падению связи между офисами (практически 24*7 режим)
2. Почему фряхе (например сети А) выделять на внутреннем интерфейсе другую подсеть? Чем отличается от того, что если бы я маршрут в подсеть Б прописал бы через шлюз из того же диапазона сети А?

[winbond]

1. Вообще-то перезагрузка фряхи или её зависание даст точно такой же эффект ) Ладно. Где-то в настройках агента в консоли ТМГ можно найти поведение FWC при неудаче коннекта с TMG и прописать там альтернативный шлюз. По умолчанию, там прямой доступ к системному default gateway.
2. Если так сделать, то TMG будет ругаться на то, что адрес фряхи принадлежит сети "Внутренняя" и он не будет из внутренней во внутреннюю маршрутизировать. Поэтому надо её адрес из адресов внутренней исключить и создать отдельную логическую сеть, для которой делать свою маршрутизацию и свои правила. Если присмотритесь к встроенному VPN, то увидите как это сделано.

Вообще можно еще создать список исключений для FWC, чтобы он не трогал внутренние приложения, которым требуется только site-to-site.

[Mitchel]

1. Ну эт редко будет, надеюсь..и запускается быстро)
Системный гейтвэй - TMG. Т.е. если я пропишу доп шлюз адрес фряхи, FWC пакеты будет безо всяких авторизаций заворачивать?
2. Условно - я меняю внутренний адрес фряхи например 192.168.20.1, и на внутреннем интерфейсе TMG дописываю дополнительный IP , например 192.168.20.5 (без указания шлюза). При этом с другой стороны подсеть внутренняя на фряхе не должна быть 192.168.20.0 ?
Да, на каждом узле с TMG VPN выдает разные подсети (я не использую DHCP)

[cameron]

Цитата Mitchel:

.е. казалось бы задал всем стат маршрут через групповые политики »

не надо так делать.
google --> DHCP option 121/249

Цитата Mitchel:

пинг и netbios например, идут через шлюзы на фряхах, минуя ису, т.е. напрямую, а вот практически любое приложение никак, все заворачиваются на ТМГ. »

давайте определимся о каких приложениях идёт речь.
ведь, скорее всего, приложний которые работают между двумя площадками маловато, тогда их можно прописать в исключения FWC и всё будет ок.

[Mitchel]

Да, опции эти курились, бывало..Может быть ситуация, когда не всем нужны маршруты в удаленные сети, а точнее некоторое кол-во клиентов туда и не ходит.
Приложения навскидку:
Файловые сервера >>> запуск оттуда файлов Excel, Word, JPG, PSD и другие.
1С, mstsc, ERP (несколько разных исполняемых файлов), Outlook (Exchange), radmin, антивирусный софт- обновление баз с сервера центрального филиала (один вендор).
+ ну еще что-то может быть.

[cameron]

Цитата Mitchel:

Да, опции эти курились, бывало..Может быть ситуация, когда не всем нужны маршруты в удаленные сети, а точнее некоторое кол-во клиентов туда и не ходит. »

простите, и вы это разруливаете через ГПО?
IMHO проще иметь маршрут у всех, а дальше (если уж очень хочется), режем ACL. на мой взгляд это идеологически верней чем резать маршрутами.

Цитата Mitchel:

Файловые сервера >>> запуск оттуда файлов Excel, Word, JPG, PSD и другие. 1С, mstsc, ERP (несколько разных исполняемых файлов), Outlook (Exchange), radmin, антивирусный софт- обновление баз с сервера центрального филиала (один вендор). + ну еще что-то может быть. »

так как у меня похожая ситуация (ISA/TMG/etc только как NAT\Proxy, а железяки для Site-to-site), то я сделала немного по-другому - шлюзом по умолчанию поставила железяки, а на них всё что не в туннели - на ISA/TMG.
таким образом FWC доволен, всё что может перехватывает и пихает на ISA/TMG (для mstsc нужно исключение в FWC, для SMB нет), то, что он не ловит всё равно придёт на ISA/TMG если нужно в инет, а если нужно в site-to-site то уедет туда через железяки.

[Mitchel]

Ну на самом деле не критично, я погорячился, все клиенты, конечно.. - почта и минимум антивирус у всех точно есть)
Сетей всего - 3.
По шагам:
1. DHCP option использую обе, клиенты ХР и 7, 8.1, на серверах и на некоторых статичных машинах - маршруты ручками.
2. Удаляю VPN (правило, отношения сетей, сеть) из двух сетей в не сильно нагруженное время.
3. Шлюзами по дефолту оставляю TMG (через ТМГ, например, работает ФПСУ-клиенты, более 50 правил доступа снаружи (проброшены RDP к ПК сотрудников напрямую (удобно, если сотрудник в командировке, то как будто натурально находится за своим привычным рабочим местом), публикация почты, ФТП, обмен данными с внешними контрагентами). Фри в этом отношении не люблю, ее, конечно, обслуживают, но когда выдал список того, что мне нужно, развели ручками...
4. Создаю в ТМГ сети А объект сеть( или другую сетевую сущность?) (Б) и наоборот. Делаю правило - весь трафик разрешить для всех (резать ничего не нужно, считай локальная сеть..) Отношения сетей не делаю, получается, т.к. маршруты на клиентах. Хотя, скорее всего, видимость ТМГ нужна, если, например, человек из офиса А приехал в офис Б с ноутом и у него есть интернет через ТМг родительской сети. Соот-но, в настройки FWC нужно добавить обе сети?
5. Пишу исключения в FWC - достаточно filename.exe disabled 0 ?

[cameron]

Цитата Mitchel:

3. Шлюзами по дефолту оставляю TMG (через ТМГ, например, работает ФПСУ-клиенты, более 50 правил доступа снаружи (проброшены RDP к ПК сотрудников напрямую (удобно, если сотрудник в командировке, то как будто натурально находится за своим привычным рабочим местом), публикация почты, ФТП, обмен данными с внешними контрагентами). Фри в этом отношении не люблю, ее, конечно, обслуживают, но когда выдал список того, что мне нужно, развели ручками... »

при моей схеме всё так и остаётся

Цитата Mitchel:

4. Создаю в ТМГ сети А объект сеть( или другую сетевую сущность?) (Б) и наоборот. Делаю правило - весь трафик разрешить для всех (резать ничего не нужно, считай локальная сеть..) Отношения сетей не делаю, получается, т.к. маршруты на клиентах. Хотя, скорее всего, видимость ТМГ нужна, если, например, человек из офиса А приехал в офис Б с ноутом и у него есть интернет через ТМг родительской сети. Соот-но, в настройки FWC нужно добавить обе сети? »

сабнеты и траффик в обе стороны в FW правилах.
ну и route add bla bla /p на самой TMG, чтобы она не тупила, что сеть неизвестно где.

Цитата Mitchel:

5. Пишу исключения в FWC - достаточно filename.exe disabled 0 ? »

да