Comments 27
Поднять VPN сервер на RRAS и «На сервере терминалов ОБЯЗАТЕЛЬНО устанавливается TMG\ISA клиент, для того чтобы мы могли привязать правила к пользователям.» пункт не нужен. Да и вообще смысла в циске и отдельной подсети для VPN клиентов не вижу.
Честно говоря ничего нового и необычного не увидел в этой схеме, конфиг от циски поражает своей неинформативностью для неспециалистов в этой области и бесполезностью для специалистов. Про саму схему — то же самое, специалистам она не нужна, а неспециалистам нужно больше подробностей.
Честно говоря ничего нового и необычного не увидел в этой схеме, конфиг от циски поражает своей неинформативностью для неспециалистов в этой области и бесполезностью для специалистов. Про саму схему — то же самое, специалистам она не нужна, а неспециалистам нужно больше подробностей.
+4
Смысл в циске только один — она есть, я написал, что вполне можно терминировать pptp в другом месте, отдельная подсеть сделана для удобства, я упоминал что оба сервера развернуты на hyper-v, поэтому «сеть сервера терминалов» это просто внутренняя сеть (internal) доступная только этим двум виртуальным машинам посредством hyper-v.
0
А зачем вообще нужен VPN? Его удобно использовать, чтобы с локальной машины например на сетевые шары в офисе ходить.
Имхо вполне достаточно TS Gateway с публикацией приложений на сайте через https. Шифрование остается на том же уровне, только схема существенно упрощается — пользователь заходит на сайт с доменной учеткой, тыкает в «ярлык» подключения к серверу и вуаля — он уже на сервере терминалов.
Имхо вполне достаточно TS Gateway с публикацией приложений на сайте через https. Шифрование остается на том же уровне, только схема существенно упрощается — пользователь заходит на сайт с доменной учеткой, тыкает в «ярлык» подключения к серверу и вуаля — он уже на сервере терминалов.
+7
Помимо публикуемых приложений нам нужен именно RDP. Почитайте материалы по взлому RDP, я просто перестраховался :)
0
Но это ведь только на win2k8?
0
извращенная схема коннекта, сначала всех загонять в пптп а потом еще и в рдп. на выходе получим что удаленные клиенты с каналами в 256кбит будут ждать рефреша окон по несколько секунд.
попробуйте себе сами канал зашейпить и открыть какой нибудь пауэрпоинт презенташку с картинками. Об удаленной работе можно забыть.
а с учетом что у вас еще и 2008 сервер можно было не извращаться а публиковать через RemoteApp и получать до 10фпс картинку на выходе на весьма хилых каналах.
попробуйте себе сами канал зашейпить и открыть какой нибудь пауэрпоинт презенташку с картинками. Об удаленной работе можно забыть.
а с учетом что у вас еще и 2008 сервер можно было не извращаться а публиковать через RemoteApp и получать до 10фпс картинку на выходе на весьма хилых каналах.
+3
Сначала был 2003 сервер.
Ну и сколько там накладных расходов на pptp инкапсуляцию? 40 байт или около того на 1,5 килобайтный пакет, скорость может падать если оборудование не потянет поток.
Ну и сколько там накладных расходов на pptp инкапсуляцию? 40 байт или около того на 1,5 килобайтный пакет, скорость может падать если оборудование не потянет поток.
0
это как вы так 40 байт насчитали? трафик не шифруете? смысл тогда было городить ДМЗ?
0
А чем инкапсуляция в pptp шифрованного трафика отличается от инкапсуляции не шифрованного, кроме того, что информация шифруется и требует дополнительной обработки (соответственно накладные расходы на криптование), можно ссылкой.
-2
Ну а 40 байт это заголовок GRE и дополнительный IP заголовок, вроде так.
0
Забыть про пароли и использовать eToken!
0
Попробовали бы развернуть DirectAccess — еще красивее решение получится.
Правда ISA\TMG выполняет функции маршрутизатора, так что девайс от Cisco тут лишний.
Правда ISA\TMG выполняет функции маршрутизатора, так что девайс от Cisco тут лишний.
+1
Кстати, а голый RDP уже сломали или еще нет? Так ли уж надо его в туннель заворачивать?
0
pptp использует протокол GRE (l2tp можно настроить без использования GRE — но хаком в реестре, что противоречит условиям задачи).
Теперь скажите, какой процент маршрутизаторов «в командировке» поддерживает NAT GRE?
openvpn, батенька, openvpn — и кросплатформенно, и работает.
Теперь скажите, какой процент маршрутизаторов «в командировке» поддерживает NAT GRE?
openvpn, батенька, openvpn — и кросплатформенно, и работает.
0
Sign up to leave a comment.
Вариант удаленного доступа к корпоративной сети предприятия посредством VPN с разграничением доступа к внутренним ресурсам и аутентификацией в AD