Страница 1 из 1

Как разрешить доступ из ЛВС к Kerio VPN серверу через ISA

Добавлено: 31 июл 2012 13:06, Вт
UncleFather

Проблема:

Имеется ЛВС, в качестве рабочих станций - Windows Xp SP2, Windows Xp SP3, с установленным клиентом межсетевого экрана ISA Server и без него. Шлюз - Windows 2003 Server Standart SP2 + MS ISA (internet Security and Acceleration Server) 2000 SP2, в режиме Standalone, Integrated.

Клиентам ЛВС необходимо подключаться к внешнему Kerio VPN Server, посредством Kerio VPN Client

Решение:

  1. В панели управления ISA Server (ISA Management) создаем Destination Set (Список назначения), куда заносим адреса Kerio VPN Server.

    01.JPG
  2. Создаем Client Address Set (Список адресов клиентов), в который прописываем адреса всех компьютеров ЛВС, которым нужно подключаться к Kerio VPN Server.

    02.JPG
  3. Создаем два Protocol Definitions (Описание протокола):

    • Для TCP - Outbound - 4090

      05.JPG
    • Для UDP - SendReceive - 4090

      06.JPG
  4. Создаем Protocol Rule (Правило протокола), разрешающее клиентам, созданным в п.2 работу по протоколам, созданному в п.3.

    03.JPG
  5. Создаем Site And Content Rule (Правило сайтов и содержимого), разрешающее клиентам, созданным в п.2 работу со списком назначения, созданным в п.1.

    04.JPG

Примечание:

Если есть необходимость подключаться по RDP (к серверу терминалов) посредством Kerio VPN Client на компьютерах, на которых установлен клиент межсетевого экрана ISA Server, то, скорее всего, RDP пакеты будут перехватываться этим клиентом и перенаправляться на ISA Server. Чтобы все же добиться подключения есть несколько вариантов:

  • В настройках Network Configuration -> Local Address Table (LAT) создаем "LAT Entry", указывая ip-адрес RDP сервера. Пожалуй, этот способ является самым предпочтительным, поскольку, указав ip-адрес RDP сервера в качестве нового "LAT Entry" мы ничего не теряем, т.к., скорее всего, этот адрес будет "серым" и на него все равно можно будет ходить только посредством Kerio VPN Client, т.е. хост с таким адресом не может оказаться где-то в интернете и нам не нужно будет заходить на него через ISA Server.

  • в настройках Client Configuration -> Firewall Client -> Свойства -> Application Settings создать новую запись:

    • Application: mstsc

    • Key: Disable

    • Value: 1

    Но в этом случае все RDP соединения, инициализированные mstsc ("Подключение к удаленному рабочему столу") будут проходить минуя ISA Server.

  • Самый некрасивый вариант - перед подключением Kerio VPN Client на клиентском компьютере отключать клиент межсетевого экрана ISA Server и включать его только после окончания работы на сервере терминалов.

Дополнение:

Аналогично можно создать правила без авторизации для любых сетевых служб, например для работы почты (SMTP и POP3), задавая адреса почтовых серверов, адреса клиентов ЛВС и, при необходимости, создав описания протоколов SMTP и POP3.

Это может пригодиться если на компьютере ЛВС не установлен клиент межсетевого экрана ISA Server либо, по каким-то причинам, приложение, нуждающееся в выходе в Internet, не может работать через этого клиента межсетевого экрана.