TMG и VPN-канал через другой шлюз.

Mitchel · Отправлено: **12:27, 28-05-2015** | #11

Цитата cameron:

таким образом FWC доволен, всё что может перехватывает и пихает на ISA/TMG (для mstsc нужно исключение в FWC, для SMB нет), то, что он не ловит всё равно придёт на ISA/TMG если нужно в инет, а если нужно в site-to-site то уедет туда через железяки. »

Если для MSTSC исключение в FWC, то как RDP коннектится к внешним серверам? Ведь у вас - дефолтный шлюз не ТМГ. Железка разрешает ?

cameron · Конфигурация компьютера

Цитата Mitchel:

Ведь у вас - дефолтный шлюз не ТМГ. Железка разрешает ? »

выше же написано:

Цитата cameron:

так как у меня похожая ситуация (ISA/TMG/etc только как NAT\Proxy, а железяки для Site-to-site), то я сделала немного по-другому - шлюзом по умолчанию поставила железяки, а на них всё что не в туннели - на ISA/TMG. »

Mitchel · Отправлено: **13:51, 28-05-2015** | #13

А, ну у вас железки разрешают ходить в интернет )

cameron · Конфигурация компьютера

Цитата Mitchel:

А, ну у вас железки разрешают ходить в интернет ) »

нет..
где вы это вычитали? О_о

Mitchel · Отправлено: **15:50, 28-05-2015** | #15

MSTSC как наружу проходит, если у вас Default getway - железный маршрутизатор, в параметрах FWC - mstsc disabled 0 ?

cameron · Конфигурация компьютера

Цитата Mitchel:

MSTSC как наружу проходит, если у вас Default getway - железный маршрутизатор, в параметрах FWC - mstsc disabled 0 ? »

в третий раз пишу, как всё ходит наружу:
железный маршрутизатор получает все пакеты, так как он DG для клиентов.
если пакетик бежит куда-то в Site-to-Site он идёт через этот маршрутизатор, и его туннельный интерфейс.
если пакетик бежит куда-то кроме этих Site-to-Site - он роутится на ISA/TMG, и дальше его обрабатывает ISA/TMG/etc.

итого:железяка только роутит, НАТа на ней нет вообще.
всё, что доступно через туннельные интерфейсы (у меня это 192.168.x.0/24) - гоним туда (если нет ACL), всё что не входит в 192.168.0.0/16 роутим на ISA/TMG, чтобы она разбиралась.

Mitchel · Отправлено: **16:00, 28-05-2015** | #17

А, ну у вас железка роутит пакеты, т.е. Клиент-железка-ТМГ-Интернет.

cameron · Конфигурация компьютера

Цитата Mitchel:

А, ну у вас железка роутит пакеты, т.е. Клиент-железка-ТМГ-Интернет. »

именно

Mitchel · Отправлено: **16:32, 28-05-2015** | #19

Тогда иду по схеме, как расписал, у меня времени на отключение очень мало )
Спасибо за беседу, отпишу по мере вопросов/конфигурирования

Mitchel · Отправлено: **16:10, 04-06-2015** | #20

Итак, отключил VPN на TMG, сделал на клиентах маршруты через фряхи, сделал исключения в FWC для приложений (их, кстати, около 30 вышло..)
Но, в филиале, например, стоит веб-сервер (местный портал справочный), и , соот-но, FWC направляет его на TMG, а TMG не знает куда направить трафик..
Если делать на TMG route add 192.168.5.0 mask 255.255.255.0 192.168.8.254, то не пингуется даже шлюз 192.168.5.254 (с клиентов все ок). Сделал Подсети А и Б, разрешил между ними весь трафик.