微软的ISA 到2006以后就叫TMG了，上周在公司的服务器上安装测试了下，虽然增加了很多功能，但是主要功能上和ISA 2004差不多，最近在部署L2TP VPN，由于防火墙带的远程访问VPN为纯的L2TP VPN，使用起来很麻烦，需要修改注册表。

拓扑如下：

SSG 防火墙采用透明的方式接入，在ISA 2004的外网出口配置公网接口地址，内网网卡配置私网地址。

一、防火墙配置如下

Jp->set int g1/0/2 zone v1-untrut

Jp->set int g1/0/4 zone v1-trsust

Jp->set service name pptp 10.2.0.0/16 to any destination-port tcp 1723

Jp->set policy name wan-to-lan from v1-untrust to v1-trust  any pptp any permit

Jp-> set policy name wan-to-lan from v1-untrust to v1-trust any any serice gre permit

Jp—>set policy name wan-to-lan from v1-untrust to v1-trust any any serice gre permit

Jp->set policy name lan-to-wan from v1-trust to v1-untrust any any serice ip permit

Jp-> set policy name lan-to-wan from v1-trust to v1-untrust any any serice gre permit

Jp->set vrouter vr-untrust 0.0.0.0/0 gateway x.x.x.x

二、安装好ISA 2004 后如下图：

三、配置VPN

配置VPN客户端的访问，勾选PPTP和L2TP IPsec，如下图：

配置身份认证，地址分配，和L2TP的预共享密钥

四、客户端测试

使用PPTP拨号测试，如下图：

拨号成功后如下图：

使用L2TP IPsec 方式拨入，客户端输入预共享密钥，如下图：

拨号成功后如下图：