我想设置一个配置,让连接到我的 Forefront TMG 的 VPN 客户端可以访问我的内部网络的所有资源,而无需使用 VPN 的 TCP/IP Ipv4 高级设置中的选项“在远程网络上使用默认网关”。这对我很重要,因为他们可以在通过 VPN 访问我的网络时使用自己的互联网(在我的场景中,这种安全隐患是可以接受的)
我的内部网络在 10.50.75.x 上运行,我设置了 Forefront TMG 以将我的内部网络的 DHCP 中继到 VPN 客户端,因此它们会获得与内部网络相同范围的 IP。此设置最初有效,VPN 客户端使用自己的互联网,可以访问内部网络上的任何东西。但是,过了一段时间,来自内部网络的 HTTP 代理流量开始路由到 RRAS 拨入接口的 IP,而不是内部网络网关的 IP。当发生这种情况时,HTTP 代理会因显而易见的原因开始被拒绝。
我的第一个问题是:发生这种情况是否是因为 Forefront TMG 不是为处理我上面描述的场景而设计的,它“迷失了方向”?我
的第二个问题是:有没有办法解决这个问题,无论是通过配置还是防火墙策略?
我的第三个问题是:如果它无法处理上述场景,是否有其他场景可以解决我的问题并正确执行我希望它执行的操作?
以下是我的网络路由:
1 => Local Host Access => Route => Local Host => All Networks
2 => VPN Clients to Internal Network => Route => VPN Clients => Internal
3 => Internet Access => NAT => Internal, Perimeter, VPN Clients => External
4 => Internal to Perimeter => Route => Internal, VPN Clients => Perimeter
谢谢!
答案1
我从未使用过 Forefront,但将 VPN 客户端的 IP 范围与内部网络的 IP 范围一起使用只会使问题复杂化。(正如您所发现的)您应该为 VPN 客户端使用不同的范围,只需让 Forefront 框将其 DHCP IP 交给它们,而不是将它们的请求传递给您的内部 DHCP 服务器。让 VPN 客户端“使用自己的互联网”是通过以下方式实现的分割隧道,我相信 Forefront 盒子应该能够实现这一点。