dza
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день. Хотел проконсультироваться у знающих людей по следующему вопросу. Необходимо организовать тоннель по ipsec с партнером. Схема выглядит следующим образом.
Партнер: host(192.168.254.x) ---- Сервер с public ip x.x.x.x. ---- internet.
host генерирует трафик по ip, который потом пускается по ipsec тоннелю (используется pre-shared key). На данный момент всех тонкостей реализации у партнера я не знаю. Главное - наружу выпускается ipsec тоннель и мы на своей стороне должны его принять.
Наша организация сети: internet ---- adsl modem zyxel 645 (один public ip, модем в данный момент делает nat 192.168.100.x) ---- cisco 3750. На cisco организованы 2 VLAN - VLAN1(192.168.100.х) и VLAN2(192.168.1.х). В VLAN1 находится ISA 2004 (внут. инт. 192.168.1.х и внеш. инт. 192.168.100.х). Функции Isa - организация доступа в internet, и при возможности - vpn сервера. Задача состоит в том, чтобы организовать терминацию ipsec тоннеля на isa 2004. Думаю, что проблемой является то, что сама isa находится за nat устройством (модем zyxel) и как вследствие - проблема с получением траффика ipsec. Прочитал документацию на microsoft.com (Configuring IPSec Site-to-Site Connections Between ISA Server 2004 and Third-Party Gateways). По схеме, которая описана в документе, все работает, когда isa (применительно к моему случаю) стоит сразу после модема и модем не делает nat, а просто пускает весь траффик на isa. Вопрос: возможно ли организовать site-to-site vpn link, если isa сервер находится за nat устройством? Насчет текущей конфигурации сети - так уж получилось, что на данный момент функционирует именно такая схема. Мысли пока такие: на модеме делать Port Address Translation для UDP (порты 4500 и 500) на Isa. Буду благодарен за любые разумные советы по существу. (Заранее спасибо).
|
