On Fri, Feb 23, 2007 at 03:57:11PM +0100, Tomek wrote: >Ok.
Nie toppostuj. >To według Ciebie jak najprościej zrobić żeby hosty z innych segmentów >mogły korzystać z dobrodziejstw Internetu? Jeśli faktycznie nie możesz zwrócić się do TP o zmianę konfiguracji ich routerów w ramach SME VPN, a samo HTTP Ci wystarczy, to proxy będzie najszybsze do skonfigurowania. (A znasz chociaż konfigurację routerów TP? Wiesz jakie mają tablice routingu? Albo chociaż możesz się tego dowiedzieć? Może centrala ma jakiś defaultroute, tylko na innym adresie niż Twój gateway do internetu? Wtedy problem masz w zasadzie z głowy.) >A jeżeli chodzi o routing to gdzie go ustawić? Na każdym hoście z osobna >czy na routerze, przez który jest dostęp do netu? Tam gdzie jest potrzebny. Może jednak zatrudnicie jakiegoś admina? Skoro nawet jakąś politykę macie, to może przyda się ktoś, kto ją będzie realizował. Skoro jedyne wyjście poza LAN we wszystkich oddziałach poza centralą jest przez routery TP z usługi SME VPN, to w tychże oddziałach wiele możliwości konfiguracji routingu nie masz... A skoro nie masz też wpływu na konfigurację routerów TP, to jedyne co możesz zrobić, to w "centrali" na każdym hoście ustawić routing "default" do internetu i trasy przez router "SME VPN" do sieci pozostałych oddziałów firmy. Możesz jeszcze kombinować z ustawieniem tylko defaultroute - via "router internetowy, a na nim ustawiać trasy do pozostałych oddziałów. Ale jak przyjdzie Ci walczyć z ICMP redirects (także z punktu widzenia bezpieczeństwa), to możesz mieć trudności z opanowaniem sytuacji (niektóre urządzenia nie rozumieją redirectów, a z kolei bez redirectów też nie zawsze musi działać - niektóre routery/firewalle nie lubią wypuszczać pakietu tym samym interfejsem, którym go przyjęły). Tyle z punktu widzenia samego routingu. >Tepsa nie widzi problemu żeby korzystać przez inne łącze netu. Cokolwiek miałeś tu na myśli. >Bezpośredni dostęp do Internetu jest niemożliwy ze względu na >centralizacje i politykę zarządu (nie wszystkie segmenty mają mieć >dostęp do netu a muszą mieć dostęp do domeny i aplikacji na serwerach >domenowych) Kontakt w ramach sieci korporacyjnej zapewnia Ci SME VPN, czyli dostęp do domeny i "aplikacji na serwerach domenowych" masz generalnie załatwiony. Niektóre hosty? Tu grubsza sprawa, bo wszystko zależy od tego, co deklaruje Wasza polityka i zgodnie z jej zapisami musicie dobierać rozwiązania. Wystarczy ruch HTTP do internetu dla wybranych użytkowników? To może wystarczy Squid z uwierzytelnieniem (Samba, ntlm_auth?). Wszystko zależy od tego co _dokładnie_ chcesz osiągnąć. PPPoE, czy też inny tunel np. IPSecowy da więcej możliwości, ale i routing skomplikuje. A centralizacja (w sensie centralne zarządzanie i egzekwowanie polityki dostępu np. do internetu) nie wyklucza oddzielnych styków do internetu w wielu lokalizacjach. Nie musisz wychodzić jednym łączem w centralnej lokalizacji. Globalne zarządzanie polityką przy wielu stykach do internetu też jest możliwe choćby w rozwiązaniach Checkpoint, czy FortiNet (to drugie jest z tych nieco bardziej dla śmiertelników dostępnych ;-) -- Jacek Politowski -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
