在內部網路和 VPN 客戶端之間共享同一子網
我想設置一個配置,使連接到我的 Forefront TMG 的 VPN 客戶端可以訪問我的內部網路的所有資源,而無需使用 VPN 的 TCP/IP Ipv4 高級設置上的選項“在遠端網路上使用預設網關”。這對我來說很重要,因為他們可以在通過 VPN 訪問我的網路時使用自己的網際網路(在我的場景中,這對安全的影響是可以接受的)
我的內部網路在 10.50.75.x 上執行,我設置 Forefront TMG 將內部網路的 DHCP 中繼到 VPN 客戶端,因此它們從與內部網路相同的範圍內獲取 IP。此設置最初有效,VPN 客戶端使用自己的網際網路,並且可以訪問內部網路上的任何內容。但是,一段時間後,來自內部網路的 HTTP 代理流量開始路由到 RRAS 撥入介面的 IP,而不是內部網路網關的 IP。發生這種情況時,HTTP 代理開始被拒絕,原因很明顯。
我的第一個問題是:發生這種情況是因為 Forefront TMG 不是為處理我上面描述的場景而設計的,而且它“迷失了自己”嗎?
我的第二個問題是:有沒有辦法解決這個問題,無論是通過配置還是防火牆策略?
我的第三個問題是:如果它無法與上面的場景一起使用,是否有另一個場景可以解決我的問題,並做我想做的事情?
以下是我的網路路由:
1 => Local Host Access => Route => Local Host => All Networks 2 => VPN Clients to Internal Network => Route => VPN Clients => Internal 3 => Internet Access => NAT => Internal, Perimeter, VPN Clients => External 4 => Internal to Perimeter => Route => Internal, VPN Clients => Perimeter
謝!
我從未使用過 Forefront,但是為您的 VPN 客戶端使用與您的內部網路相同的 IP 範圍只會使問題複雜化。(正如您所發現的)您應該為 VPN 客戶端使用不同的範圍,並且只需讓 Forefront 框將其 DHCP IP 交給他們,而不是將他們的請求傳遞給您的內部 DHCP 伺服器。讓 VPN 客戶端“使用自己的網際網路”是通過split-tunneling完成的,我相信 Forefront 盒子應該能夠完成。