Вы здесь

Router и Proxy

Очень часто возникает ситуация, когда в одной сети находится router и Proxy. Например вот так

router_proxy_1.jpg

На роутере настроен NAT и поднят VPN, через который доступны другие сети (сети филиалов). В качестве прокси может выступать TMG, Kerio и т.д.

Возникает вопрос, как и на чем делать маршрутизацию в данном случае.

Существует несколько вариантов:

1. Маршрутизация на ядре

В данном случае схема приобретает вот такой вид:
router_proxy_2.jpg

Мы видим, что вся маршрутизация происходит на ядре. У клиентов прописываем DG 10.19.192.3 . Коммутатор д.б. L3.

Самый лучший вариант, в котором ни роутер ни прокси не загружен лишним трафиком, каждый обрабатывает именно свой трафик.

2. Маршрутизация на прокси (TMG)

В случае, когда по каким-то причинам ядро у нас отсутствует, маршрутизацию приходится выполнять чем-либо другом, например на прокси. В нашем случае это TMG, который помимо функций прокси умеет маршрутизировать.

Схема приобретает следующий вид:

router_proxy_3.jpg

При этом на TMG необходимо настроить маршрутизацию между подсетями (subnets)
router_proxy_4.jpg

и разрешить трафик
router_proxy_5.jpg

Надо понимать, что здесь мы экономим на ядре, и весь туннельный трафик идет через TMG.

3. Маршрутизация на уровне клиента

Здесь, мы на каждом клиенте указываем, какие сети и через что будут доступны.
router_proxy_6.jpg

Здесь возникает необходимость на каждом клиенте прописать маршрут, у нас он будет выглядеть вот так (для windows-клиентов)

route add 192.168.2.0 mask 255.255.255.0 10.19.192.1 -p

Данный маршрут можно раздавать через DHCP опция 121 static routes.
router_proxy_7.jpg

Здесь особенность в том, что маршрутизация трафика зависит от настроек клиента.

4. ICMP redirect (ICMP type 5)

Так же можно использовать ICMP redirect (ICMP type 5). ICMP redirect в целях безопасности по умолчанию отключен.
Что бы его включить необходимо в реестре изменить параметр EnableICMPRedirect на 1.

router_proxy_8.jpg

И создать правило, разрешающее ICMP редирект

router_proxy_9.jpg

Как я уже говорил, самый лучший вариант №1 с использованием ядра, но так же имеют право существовать и другие варианты и их комбинации, например 2-й + 3-й. Т.е. маршруты раздаем клиентам через DHCP, а те у кого возникли проблемы, не прописался маршрут и т.д. будут ходить через TMG.

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image