TMG 2010: дополнительный внешний никель, выделенный для VPN

Question

TMG 2010: дополнительный внешний никель, выделенный для VPN

Мы - небольшая компания с брандмауэром TMG, расположенным в довольно удаленном месте, где наша линия DSL не может быть обновлена до более высокой пропускной способности. С этой асимметричной линией DSL мы, как правило, имеем корректный просмотр, за исключением случаев, когда загрузка занимает полосу пропускания.

Во время загрузки VPN клиенты становятся очень медленными и не реагируют. У нас есть вторая линия DSL, и я хотел бы передать весь VPN-трафик на эту вторую линию DSL и оставить первую для всего обычного интернет-трафика.

Это поддерживаемая конфигурация TMG?

Я ожидаю, что шаги будут:

добавить дополнительный ник на сервере, настроить с фиксированным IP, без шлюза (у TMG может быть только один шлюз)
подключите этот новый ник ко второй линии DSL, перешлите VPN-порт на маршрутизаторе DSL
в TMG создайте новую сеть (названную, например, External-VPN) и выберите новый ник
в TMG > Политика удаленного доступа> Выберите "Сети доступа" и выберите эту новую сеть "External-VPN".
проверить / обновить правила брандмауэра

Я искал в Интернете и не нахожу много о втором внешнем никеле, посвященном VPN. Это то, что TMG может сделать? У кого-нибудь есть опыт работы с этим типом конфига?

0

networking vpn microsoft-ftmg-2010 tmg

Источник

NicoMT 04 мар '16 в 18:01

1 ответ

Другие вопросы по тегам networking vpn microsoft-ftmg-2010 tmg

Mark Henderson 04 мар '16 в 18:32 2016-03-04 18:32 · Answer 1 · 2016-03-04 18:32

добавить дополнительный ник на сервере, настроить с фиксированным IP, без шлюза (у TMG может быть только один шлюз)

Правильно, но я предполагаю, что вы имеете в виду шлюз по умолчанию. Это не TMG, который может иметь только один шлюз, просто работает сеть. Любое устройство, независимо от того, сколько интерфейсов оно имеет, может иметь только один шлюз по умолчанию.

подключите этот новый ник ко второй линии DSL, перешлите VPN-порт на маршрутизаторе DSL

Если у вас есть только коробка TMG на этом втором маршрутизаторе, то я бы не использовал маршрутизатор в качестве маршрутизатора, я бы просто использовал его в качестве модема. Переведите его в режим моста и настройте соединение PPPoE на самом хосте TMG. Затем ваш общедоступный IP-адрес подключается непосредственно к вашему серверу, и вы устраняете сильную головную боль в VPN (NAT) и упрощаете маршрутизацию.

в TMG создайте новую сеть (названную, например, External-VPN) и выберите новый ник
в TMG > Политика удаленного доступа> Выберите "Сети доступа" и выберите эту новую сеть "External-VPN".
проверить / обновить правила брандмауэра

Отсюда моя память TMG довольно размыта, но в основном да. Самые большие проблемы, с которыми вы столкнетесь:

Трафик поступает через один интерфейс (второе ADSL-соединение), но через другой интерфейс (оригинальный модем). Это не является незаконным с точки зрения TCP/IP, но большинство брандмауэров немедленно отбрасывают этот исходящий пакет, потому что он не распознает соединение. Кроме того, вам нужно, чтобы исходящий пакет прошел через исходный интерфейс, чтобы вы не использовали драгоценную полосу пропускания ADSL. Я на 90% уверен, что Windows справится с этим, но 10% могут стать кошмаром для отладки.
TMG ужасно плохо дает вам полезную обратную связь в журналах брандмауэра. В результате вы получите множество неоднозначных ошибок и сообщений об ошибках, которые просто не имеют смысла.

Тем не менее, я знаю, что это можно сделать, как я видел в прошлом. Я просто не помню специфику.