URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4126
[ Назад ]

Исходное сообщение
"VPN-сервер на windows 2003 server + cisco asa 5510"
Отправлено s1onik , 04-Фев-09 20:21

Доброго времени суток.
задача: необходимо заходить через VPN извне в локалку с возможностью выхода в инет как любой пользователь из этой локалки.
есть сервер с двумя сетевыми интерфейсами на ОС windows 2003 server, на нем установлен и развернут контроллер домена и поднята служба "маршрутизация и удаленный доступ". делал как написано тут: http://www.smart-soft.ru/?page=vpnser.
но ситуация такая что сервак стоит за циской, то есть без внешнего айпи. циска ASA 5510.
айпи 1-го интерфейса - 10.0.6.5 - к нему привязан ДНС
айпи 2-го интерфейса - 10.0.6.6 - под него собственно VPN настраивался
2 вопроса:
1. исходя из перведенной ссылки, достаточно ли тех настроек для VPN сервера?
2. на циске кроме как правил для проброса порта для VPN нужно ли еще что то прописывать?
прописал такие правила:
static (inside,outside) tcp *.*.*.* 1723 10.0.6.6 1723 netmask 255.255.255.255
access-list outside_access_in extended permit tcp any host *.*.*.* eq 1723,
где 1723 порт VPN для PPTP соединения
просто при поиске о решении данной проблемы наткнулся что возможно необходито на циске маршрутизацию приходящих пакетов на данный айпишник(что то вроде этого)
заранее благодарен за любую помощь

Содержание

VPN-сервер на windows 2003 server + cisco asa 5510,Mikhail, 22:19 , 04-Фев-09
- VPN-сервер на windows 2003 server + cisco asa 5510,s1onik, 09:38 , 05-Фев-09
- VPN-сервер на windows 2003 server + cisco asa 5510,s1onik, 09:50 , 05-Фев-09

Сообщения в этом обсуждении

"VPN-сервер на windows 2003 server + cisco asa 5510"
Отправлено Mikhail , 04-Фев-09 22:19

тебе ещё gre нужно пробросить и fixup protocol pptp 1723, но советую на асе поднять pptp, авторизацию можешь тех же пользователей домена через радиус виндовый забрать

"VPN-сервер на windows 2003 server + cisco asa 5510"
Отправлено s1onik , 05-Фев-09 09:38

>тебе ещё gre нужно пробросить и fixup protocol pptp 1723, но советую
>на асе поднять pptp, авторизацию можешь тех же пользователей домена через
>радиус виндовый забрать
радиуса виндовго просто нет :(
и уточняю на счет первых двух фраз ваших,
"тебе ещё gre нужно пробросить и fixup protocol pptp 1723" - этого хватит
или все-таки поднимать pptp-fвторизацию на асе еще?
на счет пользователей VPN, они будут из АД браться, те кому позволю

"VPN-сервер на windows 2003 server + cisco asa 5510"
Отправлено s1onik , 05-Фев-09 09:50

>тебе ещё gre нужно пробросить и fixup protocol pptp 1723, но советую
>на асе поднять pptp, авторизацию можешь тех же пользователей домена через
>радиус виндовый забрать
и еще у меня циска только перед VPN сервером стоит, там откуда я буду заходить ее не будет или я не буду иметь к ней доступа, то есть заходить нужно откуда получится(грубо говоря)