1.) VPN est un tunnel, qui finit derrière un des dispositifs. Ainsi il dépend où votre tunnel finit. Quelques routeurs ont un arrangement pour traiter le trafic de VPN eux-mêmes ou à passer par le trafic de VPN par le dispositif et donc pour circuler le NAT. C'est nécessaire car vous devriez ouvrir plusieurs ports dans des tous les dispositifs de NAT pour ouvrir VPN par un NAT. À l'extrémité du tunnel, le client se comporte car ce ferait partie du filet inférieur, où l'extrémité de tunnel de VPN.
Si Cisco/Netgear manipule VPN, alors le client est à l'intérieur du réseau 192.168.21.x ou 192.168.22.x. De ce point, tous les ports nécessaires doivent être ouverts (doit être l'auditeur) sur les autres dispositifs.
Je ne suis pas tout à fait sûr, comment Linksys traite le trafic de VPN, étant donné, que ce traffice ne peut pas être charge équilibrée. Ainsi si les clients se relient par l'intermédiaire de Cisco, les linksys doit renvoyer tout le trafic de nouveau à Cisco car le netgear ne sait rien au sujet du tunnel de VPN.
De ma perspective, le tunnel de VPN devrait finir à l'AIS, car il n'y a aucun besoin des ports additionnels d'être ouvert de services de service pour le client.
2.) Votre deuxième poteau indique seulement, cela là n'est pas rétroaction du dispositif. Si un client se relie par l'intermédiaire de VPN, il y a une poignée de main, où le serveur et le client manipule dehors les détails de raccordement (c.-à-d. l'authentification). Ainsi ou l'authentification échoue pour n'importe quelle raison, ou les paquets sont perdus pendant que le compensateur de loas peut la renvoyer par l'intermédiaire de l'autre routeur.
Si vous permettez le passage de PPTP à travers sur le Linksys, vous avez également pour s'assurer, qu'il traverse Cisco ou netgear. Si le passage à travers est permis, il n'y a habituellement aucun besoin additionnel de règles additionnelles (peut varier du routewr au routeur, mais c'est le sens du passage par l'arrangement).
Si l'AIS est le point final, vous devez configurer l'AIS pour permettre le trafic de VPN. Vous pouvez examiner ceci avec un ordinateur portable, vous reliez d'abord à l'interface externe de l'AIS, puis à LinkSys et puis à un des troisième dispositifs. De cette façon que vous découvrez, si l'AIS est configuré correctement et que les dispositifs a des problèmes avec le tunnel de VPN.
Quelques routeurs ont également un arrangement de DMZ, qui signifie que quelque chose comme envoyer à tout à ce dispositif (IP) et ignorer toutes les règles de NAT. Pendant que chaque dispositif peut avoir des restrictions, vous devez les ports ouverts sur tous les dispositifs entre l'Internet et votre réseau interne. Mais car un port est fermé ou s'ouvre, il ne sera pas plus étroitement en raison de deux murs à l'épreuve du feu derrière l'un l'autre.
3.) Que voulez-vous dire avec la perte du trafic de l'AIS/du filet inférieur de Linksys ? L'itinéraire d'un paquet est défini par le passage de défaut. Mais là a également pour être un itinéraire en arrière. Si vous envoyez un paquet de votre réseau interne et il revient, il n'y a pas raison pour laquelle est ne devrait pas revenir de l'autre côté. L'AIS a comme passage de défaut le Linksys, les linksys doit le manipuler lui-même (comme compensateur de charge) et Cisco/netgear obtiennent à leur frokm de passage vos ISPs. L'itinéraire arrière est NAT ou l'arrangement de DMZ ou n'importe quel genre de règle d'expédition. Cisco/Netgear expédie à Linksys et Linksys expédie à l'AIS.
4.) DMZ devrait être entre Linksys et AIS, mais de cette façon, l'AIS fonctionne habituellement en mode de NAT.
5.) Je laisserais le dispositif de Cisco et de Netgear hors de la portée. Vous avez le Linksys comme external FW et l'AIS comme interne (si nécessaire). Ainsi si possible, je juste dirais Cisco et netgear d'expédier tout à Linksys et ai laissé le filtre de Linksys le trafic. Réduit juste des problèmes de configuration et évite en plus la confusion au sujet des arrangements sur ces dispositifs.
Résumé :
Cisco : Passage de défaut de l'ISP, point de réglage de DMZ à Linksys --> vers l'avant tous à Linksys sans filtres
NetGear : les mêmes que Cisco
Des filtres de base sont permis, mais pour l'essai, débronchement tout d'abord, puis vous pouvez permettre tout point par point.
(Attaque de DOS, attaque de DNS) subsistance de filtrage de base ceci à partir des autres dispositifs.
Linksys : Routeur ou NAT, dependend ce qui a réalisé l'équilibrage de la charge --> fonction émulation de VPN
Si NAT, vous doivent ouvrir les ports externes pour que vos services soient routet à l'AIS, mais habituellement pas au VPN car c'est passage à travers.
Autrement vous devez dire Linksys d'expédier tout à l'AIS
Le passage de défaut est manipulé par le compensateur de charge.
AIS : Routeur ou NAT (c.-à-d. pour DMZ), point final de VPN
Le passage de défaut est Linksys (sur le NIC d'external, interne est vide)
Si le NAT, ouvrent tous les ports (règle de édition avec un auditeur) qui sont nécessaires pour des services d'external à interne
Si conduisant, définir les règles d'accès d'externbal à interne.
Le trafic d'interne à l'external est toute l'heure par règle d'accès. Néanmoins la règle laisse seulement, ce qui est défini comme protocole.
L'AIS bloque tous les protocoles non définis en général.
VPN n'ont pas besoin de règles additionnelles dans l'AIS car ils sont la règle réglée d'accès (2004/2006) ou pendant que le système ordonne (TMG) par l'intermédiaire de la configuration de VPN.
Il y a la règle d'a (accès de simpel) qui énonce des clients de VPN à interne/à LocalHost (pas de nouveau à l'Internet ! !)
La relation de réseau de défaut pour VPN est itinéraire (car le point final est interne)
La relation de réseau de défaut sortante est NAT, mais les clients de VPN ne sont pas inclus (! !).
