我想build立一个configuration,连接到我的Forefront TMG的VPN客户端可以访问我的内部networking的所有资源,而无需在VPN的TCP / IP Ipv4高级设置中使用“在远程networking上使用默认网关”选项。 这对我来说很重要,因为他们可以在通过VPN访问我的networking的同时使用他们自己的networking(这个安全隐患在我的日记中是可以接受的)
我的内部networking在10.50.75.x上运行,我将Forefront TMG设置为将内部networking的DHCP中继给VPN客户端,从而获得与内部networking相同范围的IP。 这个设置最初起作用,VPN客户端使用自己的互联网,并且可以访问内部networking上的任何东西。 但是,一段时间后,来自内部networking的HTTP代理stream量开始被路由到RRAS拨入接口的IP,而不是内部networking网关的IP。 发生这种情况时,HTTP代理服务器会因显而易见的原因而被拒绝。
我的第一个问题是:是否发生这种情况是因为Forefront TMG不是为了处理上面描述的内容而devise的,它会“自行消失”?
我的第二个问题是:有没有办法通过configuration或防火墙策略来解决这个问题?
我的第三个问题是:如果没有办法可以与上面的内容一起工作,是否有另一个解决我的问题的解决scheme,并做我想做的事情呢?
以下是我的networking路线:
1 => Local Host Access => Route => Local Host => All Networks 2 => VPN Clients to Internal Network => Route => VPN Clients => Internal 3 => Internet Access => NAT => Internal, Perimeter, VPN Clients => External 4 => Internal to Perimeter => Route => Internal, VPN Clients => Perimeter TKS!
我从来没有使用Forefront,但使用相同的IP范围为您的VPN客户端作为您的内部networking只复杂化问题。 (正如你所发现的那样)你应该为VPN客户端使用不同的范围,并且只要在Forefront框中把它们的DHCP IPs递给他们,而不是把他们的请求传递给你的内部DHCP服务器。 让VPN客户端“使用自己的互联网”是通过分割隧道实现的 ,我相信Forefront框应该能够完成。