Прочее

QRS · Отправлено: **21:38, 11-10-2010** | #2

Цитата asnisarenko:

VPN DFL-210(192.168.155.0/24) в DI-804HV(192.168.157.0/24) и наоборот работает исключительно в обе стороны. Тоесть граничные фаерволы видят друг друга по внешних IP сетевых карт (пинг и все разрешенное с ISA2006 на TMG проходить по внешних IP без каких либо проблем, ping на 192.168.157.2 с 192.168.155.2 и наоборот Ответ от 192.168.157.2: число байт=32 время=64мс TTL=126), также пинг идет с внутренней сети центрального офиса 192.168.1.0/24 в сеть 192.168.157.0/24 (внешняя сеть к VPN тунелю филиала), и наоборот с с внутренней сети филиала 192.168.2.0/24 в сеть 192.168.155.0/24 (внешняя сеть к VPN центрального офиса). »

Подозреваю, что ISA и TMG настроены в режиме NAT, т.о. весь трафик, покидающий защищаемые сети проходит трансляцию адресов, т.о. сеть 192.168.2.0 никогда не увидит сеть 192.168.1.0.
Варианты решения:
1) TMG - публикация не-web серверов;
2) Уберите VPN Dlinka и настройте site-to-site VPN между ISA и TMG.

В текущей конфигурации даже если Вы настроете маршрутизацию вместо NAT для прохождения через TMG на адреса удаленной сети, то вероятно столкнетесь с проблемой, когда настройка VPN Dlinka не будет заворачивать трафик предназначенной для удаленной сети в канал VPN. Это обусловлено тем, что обычно (не помню про методику VPN у DLink) настройка site-to-site предполагает указание локального сайта и удаленного сайтов способом адрес+маска; в важем случае скрестить 192.168.1.0\24 и 192.168.155.0\24 в одну подсеть не получится.

Вариант N 2, очевидно, предпочтителен

asnisarenko · Отправлено: **21:05, 12-10-2010** | #3

Цитата QRS:

1) TMG - публикация не-web серверов; »

а можно подробнее как сделать в 1-м варианте, 2-й вариант намного проще, но хотелось бы первый, раз по нему пошли

El Scorpio · Отправлено: **02:18, 13-10-2010** | #4

Цитата asnisarenko:

на границе внутренней сети филиала стоит фаервол с ISA2006 (2 сетевых интерфейса: 192.168.2.100 внутренняя сеть, 192.168. 157.2 внешняя сеть к DI-804HV)
и
на границе внутренней сети центрального офиса стоит фаервол с TMG2010 (2 сетевых интерфейса: 192.168.1.1 внутренняя сеть, 192.168. 155.2 внешняя сеть к DFL-210) на филиале »

вопрос - проходит ли пинг с одного маршрутизатора на внутренний адрес другого?
Если "да", значит нужно просто прописать на клиентах маршруты, указав внутренний IP "своего" маршрутизатора шлюзом для другой сети. Прописывать одновременно нужно на обоих клиентах - иначе пинг обратно вернуться не сможет.
Проще всего маршруты раздать с DHCP-сервера

asnisarenko · Отправлено: **01:20, 14-10-2010** | #5

Цитата El Scorpio:

вопрос - проходит ли пинг с одного маршрутизатора на внутренний адрес другого? »

вопрос - проходит ли пинг с одного маршрутизатора на внутренний адрес другого?
нет, пинги губяться.

Пинги проходять с DFL-210 на внутренний адрес центрального офиса, но не на филиал, также и на филиале видит свою внутреннюю.

Цитата El Scorpio:

Прописывать одновременно нужно на обоих клиентах - иначе пинг обратно вернуться не сможет. »

Да но если не идет ответка я могу на ISA или TMG посмотреть пришёл ли запрос !