Как организовать роутинг

[klimdos]

Коллеги здравствуйте.
Нужна помощь грамотного сетевика.

Значит представте, что у меня есть 2 сетевых экрана. Установленные в разных физических местах.
Между ними vpn туннель

Выглядит это примерно так -



Итого пользователи в области 1 подключаются по Rdp к терминальному серверу в области 2. И на этом терминальном сервере выходят в интернет.

прошу в общих чертах описать:
как мне заывернуть весь трафик от терминала обратно в туннель, чтобы в интернет они выходили через 1 шлюз а не через 2.
(правильно ли я понимаю - нужно использовать метрики и статические маршруты)

Точная схема такая:

[v.airapetov]

Здравствуйте. Я правильно понимаю, что Вы хотите сделать, чтобы пользователь с площадки 1 по VPN туннелю соединялся с терминальным сервером на площадке 2, потом по этому же туннелю возвращался обратно на площадку 1, и уже с нее выходил в Интерент?!

[maverlife]

вариант 1 - поставьте прокси-сервер в сети 1 и всем пользователям rds в настройках браузера и других программ пропишите его.
вариант 2 - создайте на rds vpn-подключение в сеть 1. в настройках протокола tcp/ip включите параметр "использовать основной шлюз в удаленной сети". в этом случае весь трафик rds, кроме относящегося к адресному пространству локальной сети, будет идти на шлюз в сети 1. добавьте задание rasdial для этого подключения в планировщик при старте системы с задержкой в 4-5 минут.

[chtal]

Если шлюз знает про PBR (Policy Based Routing) или хотя бы Source Based Routing,
то можно воспользоваться этой фичей чтобы завернуть трафик
в туннель. Для полного понимания лучше бы знать, что представляет собой шлюзы на площадках.
Если в качестве шлюза на площадке без RDS используется например ISA/TMG,
то трафик на нужный шлюз можно завернуть при помощи ISA/TMG-клиента,
установленного на RDS-сервере и настроенного на использование удаленного
ISA/TMG-cервера (клиент осуществляет перехват TCP/UDP, а также
дополнительно позволяет авторизовать трафик приложений), играясь
с настройкам TMG-клиента можно разрешать/запрещать
перехват трафика приложений (по процессу), по умолчанию будет перехватываться
весь трафик TCP/UDP на TMG-сервер. Вроде как аналогичный режим работы
и клиентское ПО имеет также Sophos UTM.

[klimdos]

Коллеги, во-первых спасибо Вам огромное за то что помогаете мне.

v.airapetov - да вы все правильно поняли. Пользователь на площадке 1 подключается к терминалу на площадке 2 запускает там ie и весь трафик который он генерит идет в шлюз 1, там на него действуют политики разрешающие или запрещающие что-то...

maverlife - интересные предложения буду изучать Ваши советы

chtal - pbr поддерживается, железки fortigate

[klimdos]

Кстати только сейчас начал понимать что англоговорящяя техподдержка как раз советует мне использовать pbr...

in this case, policy route should solve this issue. You will set up two routes towards 0.0.0.0 and policy route where you specify source (wan IP) and destination (IP of the host from where you managing the unit). Because without this policy route, even the management traffic would go into the tunnel.

[chtal]

PBR это довольно очевидная вещь в Вашем случае, все более
менее вменяемые маршрутизаторы этот функционал имеют,
даже некоторые МСЭ (но у некоторых типа Cisco ASA в силу
позиционирования его нет).

[CharlesArrah]

я сейчас не об этом,просто хочу организовать вечеринку,подскажите просто что для ятого нада,с чего начать?