[Lobster]

Всем привет.

Уже около недели бьюсь по поводу вопроса назначения статического маршрута (121 опция) VPN клиентам от DHCP сервера через DHCP-relay на RRAS сервере с TMG - никак он не хочет пересылать пакеты на DHCP сервер....

На DHCP сервере создан пул адресов для локалки, туда прописана 121 опция, эту опцию локальные клиенты DHCP сервера в сети получают и в маршруты записывают.

VPN клиентам адреса назначаются из этого же пула - это работает уже долгое время, сейчас понадобилось этим клиентам выдавать 121ю опцию с маршрутом и вот тут затык, эта опция ну ни в какую не передается VPN клиентам.

В интернете видел статьи/форумы с обсуждением этого и понял, что это работает, но нигде так и не нашел пошаговой инструкции как это сделать на DHCP(1 сервер) + RRAS/TMG(2й сервер) -> DHCP 121 опция клиенту.

Я понимаю как это работает внутри и как состыковать логически... (тем более что в RRAS DHCP relay особо настроек то и нету) - но оно не работает.

При старте RRAS сервиса на TMG на DHCP сервере вижу от него DHCP запросы на аренду RAS адресов через WireShark, там он запрашивает/получает 121 и 249 на RAS адреса, но клиентам не отдает.

При подключении клиента по VPN на DHCP сервер никакие запросы DHCP не приходят (по логике TMG должен переслать DHCPInform от клиента к DHCP серверу), в WireShark пусто....

 

Кто-то настраивал такую схему, как делали? 

[Lobster]

Разобрался....
Надо было на TMG добавить разрешающее правило
DHCP запрос от VPN-клиентов в сторону локалхоста
и
DHCP ответ от локалхоста в сторону VPN-клиентов
и релэй начал пересылать пакеты.
 

[jffulcrum]

Как в целом живется в 23 году с TMG вообще?

[Lobster]

Ну.... так же как и лет 7 назад. Справляется. Мозги делает иногда, конечно, но справляется.

Хотя ограничения для нынешнего интернета у нее уже слабоваты. 

По сигнатурам не блочит, категории устарели, в HTTPS не может. Когда повсеместно внедрится SNI она станет полностью бесполезной....

Но, так как особо альтернатив нету - пока сидим на ней и не рыпаемся. (года 2 назад тестировал 5 систем на ее замену, лучшим оказался Forinet... но фортинета сейчас нет.....)

[jffulcrum]

Мы у одного клиента смогли дотянуть только до 2017-го...без поддержки от вендора, без обновлений сигнатур стал просто проксёй, с повсеместным HTTPS кеширования, считай, не стало, плюс на новое железо перенести не удалось, с сетевыми Mellanox не заводились никак, ни с Connect3-X, ни, тем более, с ConnectX-4. Но главный фактор - трудозатраты на ограничения доступа в Интернет стали неподъемными в целом, для практически всех заказчиков, кроме тех где есть выд.отделы инфобеза, да и те предпочитают какой-нибудь Staffcop развернуть и настроить ключевые слова, чем дописывать сотый поддомен Пейсбука в ACL. По заменам - лучше всего заменял Watchguard, схожая логика правил, но он тоже того. Сейчас или Ideko UTM, или Usergate доступны для желающих упорно ограничивать доступ сотрудников к видео с котиками...когда у каждого смартфон в кармане с практически неограниченными объемами котиков, а та же контора, у которой директор хочет котиков ограничивать, поставила фемтосоту или усилитель, чтобы у директора (и всех сотрудников) 4G был везде на все палки.

[Lobster]

Да, у нас, благо, как то не очень парятся по поводу всяких блокировок, поэтому периодически только добавляем ИП-адреса всяких банков для БУХов на полный доступ, так как у них всякие ТЛСы разнопортые и ТМГ обычно все это блочит, поэтому добавляем полный доступ по ИП определенным компам. 

Ideko и Usergate тестировал. Ideko как то мало тестил и не помню, что мне там не понравилось, а в USergate на тот момент не работал КЭШ,при заполнении его, сколько бы не выделил, отваливался интернет, пока не почистишь КЭШ... ну и тех.поддержка как то вяло на это отреагировала... хотя БАГ серьезный. + цена у нее... ну, на мой взгляд, не очень гуманная. Я бы, может, на нее и перешел бы (с условием что КЭШ-баг пофиксили), но таких денег мне точно не выделят.....

[Ivan_83]

On 6/13/2023 at 12:19 PM, jffulcrum said:

на новое железо перенести не удалось, с сетевыми Mellanox не заводились никак, ни с Connect3-X, ни, тем более, с ConnectX-4.

А может в виртуалку сунуть?

[jffulcrum]

Продукт с виртуализацией дружит плохо, сетевые всякие legacy надо выбирать, и допилить Майки не успели, предпочли закрыть направление целиком. Мелких клиентов удавалось засунуть в ВМ, но на две тысячи юзеров, да ещё и кластер - не тот вариант.

[Lobster]

У нас на виртуалках стоит, на 2008Р2 сервере, ESXi 6.5, для 60 и 100 пользователей (2 штуки в двух филиалах) полет нормальный (ну.. на сколько это возможно для Forefront TMG).