我们是一家小公司,在偏远地区安装了 TMG 防火墙,我们的 DSL 线路无法升级到更高的带宽。使用这种不对称 DSL 线路,我们通常可以获得正确的浏览体验,除非上传占用了带宽。
在上传过程中,VPN 客户端变得非常慢且没有响应。我们有第二条 DSL 线路,我想将所有 VPN 流量都通过第二条 DSL 线路,并将所有正常的互联网流量保留在第一条线路上。
这是 TMG 支持的配置吗?
我期望步骤如下:
- 在服务器中添加额外的网卡,配置固定IP,无网关(TMG 只能有一个网关)
- 将新的网卡连接到第二条 DSL 线路,在 DSL 路由器上转发 VPN 端口
- 在 TMG 中创建一个新的网络(例如命名为 External-VPN)并选择新的网卡
- 在 TMG > 远程访问策略 > 选择访问网络并选择新的“外部 VPN”网络。
- 检查/更新防火墙规则
我在网上搜索过,没有找到太多关于专用于 VPN 的第二个外部网卡的信息。TMG 可以做到这一点吗?有人有这种配置的经验吗?
答案1
在服务器中添加额外的网卡,配置固定IP,无网关(TMG 只能有一个网关)
正确,但我认为你的意思是默认网关。不是 TMG 只能有一个网关,这只是网络的工作原理。任何设备,无论有多少个接口,都只能有一个默认關閉。
将新的网卡连接到第二条 DSL 线路,在 DSL 路由器上转发 VPN 端口
如果您在第二个路由器上只有 TMG 盒,那么我不会将路由器用作路由器,而只会将其用作调制解调器。将其设置为桥接模式,并在 TMG 主机本身上配置 PPPoE 连接。然后,您的公共 IP 地址将直接连接到您的服务器,这样您就可以消除 VPN(NAT)中的巨大麻烦,并使您的路由更加轻松。
- 在 TMG 中创建一个新的网络(例如命名为 External-VPN)并选择新的网卡
- 在 TMG > 远程访问策略 > 选择访问网络并选择新的“外部 VPN”网络。
- 检查/更新防火墙规则
从现在起,我对 TMG 的记忆已经很模糊了,但基本上是的。你将面临的最大问题是:
交通流量在通过一个接口(第二个 ADSL 连接),但出去通过不同的接口(原始调制解调器)。从 TCP/IP 的角度来看,这并不违法,但大多数防火墙会立即丢弃该出站数据包,因为它无法识别该连接。此外,您需要让出站数据包通过原始接口,这样您就不会使用宝贵的 ADSL 带宽。我 90% 确信 Windows 可以顺利处理这个问题,但那 10% 可能是一个调试噩梦。
TMG 在防火墙日志中提供有用反馈的能力非常差。最终您会收到各种模棱两可的故障和错误消息,而这些消息根本毫无意义。
但是,我知道这是可以做到的,因为我过去就见过这样的事。我只是记不清具体细节了。