можно ли поднять vpn сервер на гейте с нат-ом?
Модератор: Модераторы
Сообщений: 17
• Страница 2 из 2 • 1, 2
Harry33 » 10 май 2005, 17:31
глобальный каталог
Дык и VPN должен быть прикручен к интерфейсу 213.x.x.x
При этом из внутреннего пула клиенту отдается адрес из частного диапазона, или непосредственно из диапазона локалки (первый вариант удобней).
Дык и VPN должен быть прикручен к интерфейсу 213.x.x.x
При этом из внутреннего пула клиенту отдается адрес из частного диапазона, или непосредственно из диапазона локалки (первый вариант удобней).
Знания, которые нельзя применить - бесполезны
- глобальный каталог
- Активный пользователь
- Сообщения: 323
- Зарегистрирован: 02 фев 2005, 19:30
глобальный каталог » 10 май 2005, 17:41
>Дык и VPN должен быть прикручен к интерфейсу 213.x.x.x
это с какой такой радости? может и сервер почтовый "должен" быть прикручен к белому фейсу? однако он у меня прикручен к 192.168.0.2 и вполне замечательно себя чувствует :-)
абсолютно он никому ничего не должен, т.к. иначе даже не было бы такого понятия в ваших исах как "публикация".
я же не просто так написал в заголовке темы слово "нат" - какой по твоему в этом смысл, если впн по твоему прикручен к белому фейсу? а никакого смысла - из заголовка темы _логически_ вытекает, что обсуждается попытка прикрутить впн именно к серому фейсу именно гейта.
как я уже говорил, поднятие впн на любом сервере в локалке проблем не вызывает (проблемы возникают во время работы), но мне нужно иметь этот сервер именно на гейте. и именно _за_ нат-ом, потому что иначе впн трафик останется неучтённым.
это с какой такой радости? может и сервер почтовый "должен" быть прикручен к белому фейсу? однако он у меня прикручен к 192.168.0.2 и вполне замечательно себя чувствует :-)
абсолютно он никому ничего не должен, т.к. иначе даже не было бы такого понятия в ваших исах как "публикация".
я же не просто так написал в заголовке темы слово "нат" - какой по твоему в этом смысл, если впн по твоему прикручен к белому фейсу? а никакого смысла - из заголовка темы _логически_ вытекает, что обсуждается попытка прикрутить впн именно к серому фейсу именно гейта.
как я уже говорил, поднятие впн на любом сервере в локалке проблем не вызывает (проблемы возникают во время работы), но мне нужно иметь этот сервер именно на гейте. и именно _за_ нат-ом, потому что иначе впн трафик останется неучтённым.
Harry33 » 10 май 2005, 18:11
глобальный каталог
| Цитата |
| это с какой такой радости? может и сервер почтовый "должен" быть прикручен к белому фейсу? однако он у меня прикручен к 192.168.0.2 и вполне замечательно себя чувствует :-)
[/quote] А зачем доставать левой рукой правое ухо и еще через голову???? Не проще ли разобраться с учетом трафика входящего на внешний интерфейс? То что ты описал, это фактически публикация внутреннего VPN сервера на внешнем гейте, который самостоятельно в состоянии принимать VPN соединения. IMHO не городи огород, разберись с учетом трафика. Все что проходит через внешний интерфейс, в том числе и VPN можно нормально считать, средств для этого достаточно. Знания, которые нельзя применить - бесполезны
>Не проще ли разобраться с учетом трафика входящего на внешний
>интерфейс? это не вопрос данной темы. >IMHO не городи огород, разберись с учетом трафика. это тоже не вопрос данной темы - у меня могут быть сотни других причин, трафик лишь одна из них - как пример. в чём собственно проблема? если это в принципе невозможно - так и скажи, но если возможно - это вопрос этой темы.
глобальный каталог
Публикация (выражаясь терминами ISA) внутреннего VPN снаружи в принципе возможна. Что касается частного случая (публикация мервисов с внутреннего интерфейса) тут могут быть свои тараканы, зависящие от конкретного ПО. Такого заворота я лично не делал, и, поэтому, не считаю себя компетентным продолжать эту дискуссию. Знания, которые нельзя применить - бесполезны
я "публиковал" таким образом терминальный сервис гейта - работает.
>То что ты описал, это фактически публикация внутреннего VPN сервера на >внешнем гейте, который самостоятельно в состоянии принимать VPN >соединения. принимать-то он в состоянии, только как я уже писал выше в таком случае почему-то во внешний фейс начинают ломиться пакеты впн подсети, dhcp запросы впн клиента и т.д. - ясен перец что файер это всё зарезает, т.е. нормальной работой это тоже назвать нельзя :-) может конечно это всё глюки вингейта, но думаю переход на ису (нормальный грамотный переход) займёт у меня не меньше недели, а может и больше - немного безрадостная перспектива :-) на вопросы поста от "Дата 10.05.2005 - 11:56" после строки ">на ISA" нет ответов?
в общем запарило - настроил pptp с авторизацией по сертификатам юзеров на внешнем интерфейсе, плюс вингейт заставил форвардить udp пакеты на порты 137, 138 - netbios name srvice + netbios datagram service - всё работает, да ещё безо всяких wins видны и рабочие группы и домен (если у тачки есть аккаунт в домене), так что хз - нужна иса, не нужна? :-)))
Сообщений: 17
• Страница 2 из 2 • 1, 2
Вернуться в Сети и сетевые технологии, сетевое оборудование. Кто сейчас на конференцииСейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 15 |