Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 27
Поднять VPN сервер на RRAS и «На сервере терминалов ОБЯЗАТЕЛЬНО устанавливается TMG\ISA клиент, для того чтобы мы могли привязать правила к пользователям.» пункт не нужен. Да и вообще смысла в циске и отдельной подсети для VPN клиентов не вижу.
Честно говоря ничего нового и необычного не увидел в этой схеме, конфиг от циски поражает своей неинформативностью для неспециалистов в этой области и бесполезностью для специалистов. Про саму схему — то же самое, специалистам она не нужна, а неспециалистам нужно больше подробностей.
Честно говоря ничего нового и необычного не увидел в этой схеме, конфиг от циски поражает своей неинформативностью для неспециалистов в этой области и бесполезностью для специалистов. Про саму схему — то же самое, специалистам она не нужна, а неспециалистам нужно больше подробностей.
Смысл в циске только один — она есть, я написал, что вполне можно терминировать pptp в другом месте, отдельная подсеть сделана для удобства, я упоминал что оба сервера развернуты на hyper-v, поэтому «сеть сервера терминалов» это просто внутренняя сеть (internal) доступная только этим двум виртуальным машинам посредством hyper-v.
А зачем вообще нужен VPN? Его удобно использовать, чтобы с локальной машины например на сетевые шары в офисе ходить.
Имхо вполне достаточно TS Gateway с публикацией приложений на сайте через https. Шифрование остается на том же уровне, только схема существенно упрощается — пользователь заходит на сайт с доменной учеткой, тыкает в «ярлык» подключения к серверу и вуаля — он уже на сервере терминалов.
Имхо вполне достаточно TS Gateway с публикацией приложений на сайте через https. Шифрование остается на том же уровне, только схема существенно упрощается — пользователь заходит на сайт с доменной учеткой, тыкает в «ярлык» подключения к серверу и вуаля — он уже на сервере терминалов.
Помимо публикуемых приложений нам нужен именно RDP. Почитайте материалы по взлому RDP, я просто перестраховался :)
Но это ведь только на win2k8?
извращенная схема коннекта, сначала всех загонять в пптп а потом еще и в рдп. на выходе получим что удаленные клиенты с каналами в 256кбит будут ждать рефреша окон по несколько секунд.
попробуйте себе сами канал зашейпить и открыть какой нибудь пауэрпоинт презенташку с картинками. Об удаленной работе можно забыть.
а с учетом что у вас еще и 2008 сервер можно было не извращаться а публиковать через RemoteApp и получать до 10фпс картинку на выходе на весьма хилых каналах.
попробуйте себе сами канал зашейпить и открыть какой нибудь пауэрпоинт презенташку с картинками. Об удаленной работе можно забыть.
а с учетом что у вас еще и 2008 сервер можно было не извращаться а публиковать через RemoteApp и получать до 10фпс картинку на выходе на весьма хилых каналах.
Сначала был 2003 сервер.
Ну и сколько там накладных расходов на pptp инкапсуляцию? 40 байт или около того на 1,5 килобайтный пакет, скорость может падать если оборудование не потянет поток.
Ну и сколько там накладных расходов на pptp инкапсуляцию? 40 байт или около того на 1,5 килобайтный пакет, скорость может падать если оборудование не потянет поток.
это как вы так 40 байт насчитали? трафик не шифруете? смысл тогда было городить ДМЗ?
А чем инкапсуляция в pptp шифрованного трафика отличается от инкапсуляции не шифрованного, кроме того, что информация шифруется и требует дополнительной обработки (соответственно накладные расходы на криптование), можно ссылкой.
Ну а 40 байт это заголовок GRE и дополнительный IP заголовок, вроде так.
Забыть про пароли и использовать eToken!
Попробовали бы развернуть DirectAccess — еще красивее решение получится.
Правда ISA\TMG выполняет функции маршрутизатора, так что девайс от Cisco тут лишний.
Правда ISA\TMG выполняет функции маршрутизатора, так что девайс от Cisco тут лишний.
Кстати, а голый RDP уже сломали или еще нет? Так ли уж надо его в туннель заворачивать?
pptp использует протокол GRE (l2tp можно настроить без использования GRE — но хаком в реестре, что противоречит условиям задачи).
Теперь скажите, какой процент маршрутизаторов «в командировке» поддерживает NAT GRE?
openvpn, батенька, openvpn — и кросплатформенно, и работает.
Теперь скажите, какой процент маршрутизаторов «в командировке» поддерживает NAT GRE?
openvpn, батенька, openvpn — и кросплатформенно, и работает.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Вариант удаленного доступа к корпоративной сети предприятия посредством VPN с разграничением доступа к внутренним ресурсам и аутентификацией в AD