Как организовать роутинг
Модераторы: Trinity admin`s, Free-lance moderator`s
Как организовать роутинг
Коллеги здравствуйте.
Нужна помощь грамотного сетевика.
Значит представте, что у меня есть 2 сетевых экрана. Установленные в разных физических местах.
Между ними vpn туннель
Выглядит это примерно так -
Итого пользователи в области 1 подключаются по Rdp к терминальному серверу в области 2. И на этом терминальном сервере выходят в интернет.
прошу в общих чертах описать:
как мне заывернуть весь трафик от терминала обратно в туннель, чтобы в интернет они выходили через 1 шлюз а не через 2.
(правильно ли я понимаю - нужно использовать метрики и статические маршруты)
Точная схема такая:
Нужна помощь грамотного сетевика.
Значит представте, что у меня есть 2 сетевых экрана. Установленные в разных физических местах.
Между ними vpn туннель
Выглядит это примерно так -
Итого пользователи в области 1 подключаются по Rdp к терминальному серверу в области 2. И на этом терминальном сервере выходят в интернет.
прошу в общих чертах описать:
как мне заывернуть весь трафик от терминала обратно в туннель, чтобы в интернет они выходили через 1 шлюз а не через 2.
(правильно ли я понимаю - нужно использовать метрики и статические маршруты)
Точная схема такая:
-
- Junior member
- Сообщения: 15
- Зарегистрирован: 04 фев 2013, 11:50
- Откуда: Moscow
Re: Как организовать роутинг
Здравствуйте. Я правильно понимаю, что Вы хотите сделать, чтобы пользователь с площадки 1 по VPN туннелю соединялся с терминальным сервером на площадке 2, потом по этому же туннелю возвращался обратно на площадку 1, и уже с нее выходил в Интерент?!
Re: Как организовать роутинг
вариант 1 - поставьте прокси-сервер в сети 1 и всем пользователям rds в настройках браузера и других программ пропишите его.
вариант 2 - создайте на rds vpn-подключение в сеть 1. в настройках протокола tcp/ip включите параметр "использовать основной шлюз в удаленной сети". в этом случае весь трафик rds, кроме относящегося к адресному пространству локальной сети, будет идти на шлюз в сети 1. добавьте задание rasdial для этого подключения в планировщик при старте системы с задержкой в 4-5 минут.
вариант 2 - создайте на rds vpn-подключение в сеть 1. в настройках протокола tcp/ip включите параметр "использовать основной шлюз в удаленной сети". в этом случае весь трафик rds, кроме относящегося к адресному пространству локальной сети, будет идти на шлюз в сети 1. добавьте задание rasdial для этого подключения в планировщик при старте системы с задержкой в 4-5 минут.
-
- Advanced member
- Сообщения: 85
- Зарегистрирован: 15 окт 2012, 11:13
- Откуда: Санкт-Петербург
- Контактная информация:
Re: Как организовать роутинг
Если шлюз знает про PBR (Policy Based Routing) или хотя бы Source Based Routing,
то можно воспользоваться этой фичей чтобы завернуть трафик
в туннель. Для полного понимания лучше бы знать, что представляет собой шлюзы на площадках.
Если в качестве шлюза на площадке без RDS используется например ISA/TMG,
то трафик на нужный шлюз можно завернуть при помощи ISA/TMG-клиента,
установленного на RDS-сервере и настроенного на использование удаленного
ISA/TMG-cервера (клиент осуществляет перехват TCP/UDP, а также
дополнительно позволяет авторизовать трафик приложений), играясь
с настройкам TMG-клиента можно разрешать/запрещать
перехват трафика приложений (по процессу), по умолчанию будет перехватываться
весь трафик TCP/UDP на TMG-сервер. Вроде как аналогичный режим работы
и клиентское ПО имеет также Sophos UTM.
то можно воспользоваться этой фичей чтобы завернуть трафик
в туннель. Для полного понимания лучше бы знать, что представляет собой шлюзы на площадках.
Если в качестве шлюза на площадке без RDS используется например ISA/TMG,
то трафик на нужный шлюз можно завернуть при помощи ISA/TMG-клиента,
установленного на RDS-сервере и настроенного на использование удаленного
ISA/TMG-cервера (клиент осуществляет перехват TCP/UDP, а также
дополнительно позволяет авторизовать трафик приложений), играясь
с настройкам TMG-клиента можно разрешать/запрещать
перехват трафика приложений (по процессу), по умолчанию будет перехватываться
весь трафик TCP/UDP на TMG-сервер. Вроде как аналогичный режим работы
и клиентское ПО имеет также Sophos UTM.
Re: Как организовать роутинг
Коллеги, во-первых спасибо Вам огромное за то что помогаете мне.
v.airapetov - да вы все правильно поняли. Пользователь на площадке 1 подключается к терминалу на площадке 2 запускает там ie и весь трафик который он генерит идет в шлюз 1, там на него действуют политики разрешающие или запрещающие что-то...
maverlife - интересные предложения буду изучать Ваши советы
chtal - pbr поддерживается, железки fortigate
v.airapetov - да вы все правильно поняли. Пользователь на площадке 1 подключается к терминалу на площадке 2 запускает там ie и весь трафик который он генерит идет в шлюз 1, там на него действуют политики разрешающие или запрещающие что-то...
maverlife - интересные предложения буду изучать Ваши советы
chtal - pbr поддерживается, железки fortigate
Re: Как организовать роутинг
Кстати только сейчас начал понимать что англоговорящяя техподдержка как раз советует мне использовать pbr...
in this case, policy route should solve this issue. You will set up two routes towards 0.0.0.0 and policy route where you specify source (wan IP) and destination (IP of the host from where you managing the unit). Because without this policy route, even the management traffic would go into the tunnel.
-
- Advanced member
- Сообщения: 85
- Зарегистрирован: 15 окт 2012, 11:13
- Откуда: Санкт-Петербург
- Контактная информация:
Re: Как организовать роутинг
PBR это довольно очевидная вещь в Вашем случае, все более
менее вменяемые маршрутизаторы этот функционал имеют,
даже некоторые МСЭ (но у некоторых типа Cisco ASA в силу
позиционирования его нет).
менее вменяемые маршрутизаторы этот функционал имеют,
даже некоторые МСЭ (но у некоторых типа Cisco ASA в силу
позиционирования его нет).
- CharlesArrah
- Junior member
- Сообщения: 3
- Зарегистрирован: 20 мар 2019, 14:41
- Откуда: Qatar
- Контактная информация:
Как организовать роутинг
я сейчас не об этом,просто хочу организовать вечеринку,подскажите просто что для ятого нада,с чего начать?
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 3 гостя