Принятие Вашего DG834G просто направляет и не действует как брандмауэр, порождение соединений VPN должно быть в порядке, потому что клиент свяжется с ЯЩИКОМ ДЛЯ ПРОБНОЙ МОНЕТЫ внешний IP-адрес (host5), не netgear (host6). Однако Вы говорите 'dmz сервер', таким образом, я не уверен, что это означает в этом случае...
Я думаю, что одна проблема будет тем, что происходит с трафиком между клиентом VPN снаружи и сервером на внутренней части. Cisco является, по-видимому, конечной точкой VPN, таким образом, трафик дешифрован на ящике для пробной монеты. Этот трафик затем передается (в ясном) к серверу, который отвечает. Этот ответ должен быть направлен к ящику для пробной монеты для шифрования, не netgear - поэтому, как внутренний маршрутизатор знает, какой трафик является трафиком VPN и который не является? Если Ваша Cisco vpn дает клиентам IP-адрес от пула адресов затем, Вам нужно это, чтобы быть от пула адресов, отличающегося от Вашей внутренней сети - тот способ, которым можно просто поместить маршрут во внутренний маршрутизатор для направления такого трафика к ящику для пробной монеты. Это, вероятно, означает необходимость в dhcp сервере, работающем на ящике для пробной монеты для клиентов VPN только.
Из RFC 2818 :
Сопоставление выполняется с использованием правил сопоставления, указанных [RFC2459]. Если более одного идентификатора данного типа присутствует в сертификат (например, более одного имени dNSName, совпадение в любом набора считается приемлемым.) Имена могут содержать подстановочный знак символ *, который считается соответствующим любому отдельному доменному имени компонент или фрагмент компонента. Например, .a.com соответствует foo.a.com, но не bar.foo.a.com. f .com соответствует foo.com, но не bar.com.
Чтобы обойти это, были введены сертификаты UCC, также известные как сертификаты с подстановочными знаками с альтернативными именами субъектов (SAN), которые позволяют указывать (вместе с разные доменные имена) многоуровневые поддомены в качестве допустимых имен хостов для сертификата. Эти сертификаты поддерживаются всеми основными браузерами.
Подстановочные сертификаты не поддерживают поддомены. Другими словами, они подходят только для текущего уровня домена.
Таким образом, если вы купите сертификат для *. Foo.com
, он НЕ будет также защищать *. Bar.foo.com
.
В Интернете есть различные ресурсы, включая Verisign, GlobalTrust и другие, которые также объясняют это. Это отстой, я знаю!
Это ожидаемое поведение. Выдержка из RFC2818 - HTTP через TLS :
Имена могут содержать подстановочный знак *, который считается соответствующим любому отдельному компоненту доменного имени или фрагменту компонента. Например, * .a.com соответствует foo.a.com, но не bar.foo.a.com. f * .com соответствует foo.com, но не bar.com.
Further investigation of the certificate scope issue that caused your irritation:
Technically it is possible to create a certificate for *.*.domain.com, I did this myself, but browsers do not support this.
Test results and a bit more are mentioned in " Wildcard SSL certificate for second-level subdomain ".