Доброго времени суток.
задача: необходимо заходить через VPN извне в локалку с возможностью выхода в инет как любой пользователь из этой локалки.есть сервер с двумя сетевыми интерфейсами на ОС windows 2003 server, на нем установлен и развернут контроллер домена и поднята служба "маршрутизация и удаленный доступ". делал как написано тут: http://www.smart-soft.ru/?page=vpnser.
но ситуация такая что сервак стоит за циской, то есть без внешнего айпи. циска ASA 5510.
айпи 1-го интерфейса - 10.0.6.5 - к нему привязан ДНС
айпи 2-го интерфейса - 10.0.6.6 - под него собственно VPN настраивался2 вопроса:
1. исходя из перведенной ссылки, достаточно ли тех настроек для VPN сервера?
2. на циске кроме как правил для проброса порта для VPN нужно ли еще что то прописывать?
прописал такие правила:
static (inside,outside) tcp *.*.*.* 1723 10.0.6.6 1723 netmask 255.255.255.255
access-list outside_access_in extended permit tcp any host *.*.*.* eq 1723,
где 1723 порт VPN для PPTP соединенияпросто при поиске о решении данной проблемы наткнулся что возможно необходито на циске маршрутизацию приходящих пакетов на данный айпишник(что то вроде этого)
заранее благодарен за любую помощь
тебе ещё gre нужно пробросить и fixup protocol pptp 1723, но советую на асе поднять pptp, авторизацию можешь тех же пользователей домена через радиус виндовый забрать
>тебе ещё gre нужно пробросить и fixup protocol pptp 1723, но советую
>на асе поднять pptp, авторизацию можешь тех же пользователей домена через
>радиус виндовый забратьрадиуса виндовго просто нет :(
и уточняю на счет первых двух фраз ваших,
"тебе ещё gre нужно пробросить и fixup protocol pptp 1723" - этого хватит
или все-таки поднимать pptp-fвторизацию на асе еще?на счет пользователей VPN, они будут из АД браться, те кому позволю
>тебе ещё gre нужно пробросить и fixup protocol pptp 1723, но советую
>на асе поднять pptp, авторизацию можешь тех же пользователей домена через
>радиус виндовый забратьи еще у меня циска только перед VPN сервером стоит, там откуда я буду заходить ее не будет или я не буду иметь к ней доступа, то есть заходить нужно откуда получится(грубо говоря)