» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

hardhearted

Работает VPN Site-To-Site между двумя офисами, уже год наверное как...настроенно подключение, как "по книжке", к примеру http://itdoc.com.ua/2009/02/sozdanie-vpn-po-sxeme-site-to-site-s-pomoshhyu-serverov-isa-2006-v-glavnom-ofise-i-filiale-chast-1/ не сочтите за рекламму, просто первая попавшаяся ссылка. Только по протоколу PPTP.
Появилась новая задача перевести подключение в одном из офисов на другой инет-канал. Скопировал все настройки под копирку, результат ВПН подключение есть, т.е. в Сеансах - ВПН подключение типа сеть-сеть пишет 1, т.е. устанавилось. В RRAS также пишет, что подключено, НО пинг не идет не только из сети в сеть, но даже сами две ИСы не пингуют друг друга, соответственно ничего не работает. Вот лог пинга

Обмен пакетами с 10.0.1.3 по 32 байт:

Превышен интервал ожидания для запроса.
Ответ от 10.0.1.3: число байт=32 время=11мс TTL=126
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Это пинг с раб. станции в момент, когда устанавливается подключение, т.е. сначала идет дозвон потом соединение устанавливается - 1 пакет проскакивает и дальше все пропадает, но сами ИСы пишут что подключение есть, что может быть?

А поменять ip адрес в настройках vpn site не было проще ? Со старого на новый

Если настройки копировали, что-то 100% в правилах или забыли или наложилось друг на друга

Нет, имеется ввиду, что нужно было перевести на другой шлюз(физически другая железка), просто поменять ИП нельзя, иначе еще придется куча всего переносить, т.е, это на одном конце, а на другом конечно просто меняется внешний ИП, под копированием настроек подразумевается, что сделал тоже самое, что и на старом работающем шлюзе, т.к, здесь ничего не меняется, т.е, все правила добавлялись ручками, в логах все чисто.
Мне не понятно, как может быть такое, что ИСы пишут что внп поднялся РРАС тоже пишет что подключение есть, но пинг не идет даже с ИСы на ИСу?

Проблемма решилась включением флага - Разрешить маршрутизацию IP.
Не понял только как у меня тогда два других шлюза держали впн без включения этой опции...

народ подскажите, в forefront есть что то подобное кериовского WebFilter (бывший ISS orange) ?

ssi


Цитата:

подобное кериовского WebFilter

А что он делает? Функциональность какая?

Цитата:

А что он делает? Функциональность какая?

аналог GFI WebMonitor WebFilter Edition - категоризатор URL

к стати вопрос к тем кто работает с GFI WebMonitor, он при установке создает правило доступа к своей веб консоли но какое то кривое - в источнике пусто в назначении пусто протокол HTTP HTTPS хотя использует нестандартный порт 1007. Короче не работает, пытался поправить но результата нет. Впрочем как и опыта знаю как на winroute сделать, знаю как на cisco а на isa только пересел.

Valery12

ясно значит только сторонним софтом, впрочем и webfilter отдельно лицензируется.

ssi
в TMG есть подобная штука

Доброе время суток! Нужна помощь...
Я сделал Site-to-Site VPN на ISA2006. Обе ISA не в домене, vpn IPSec. Вроде все правильно настроил на обоих концах.
Вопрос в том как инициировать соединение и сделать его постоянно работающим?
Я даже не вижу логов с попытками соединения... Где определяется, какая сторона является вызывающей? Необходимо ли ручками прописать на WAN интерфейс разрешение на доступ для установления соединения? или визард делает все сам?
До этого работал только с железными IPSec...

admSpotting
там визард все делает сам. ipsec между исами обычно не используется, он там присутствует для связи с левыми продуктами, а между исами рекомендуется l2tp

Доброго времени суток. TMG тут обсуждается?

PIL123


Цитата:

TMG тут обсуждается?

Да, всё что касается исы и её потомков именно тут.

P.S. Нда... пора подправить название топика.

Всем добрый день.

На сервере где подключен инет стоит ISA 2004, есть такая проблема: хочу просто чтоб работал ВПН с одного из компов в сети (ВНП не для доступа на свой сервак, а для того чтоб лазить в нете). Создаю ВПН точно так же как дома - ничего не работает - ошибка 800.

Подскажите где копать, и если можно по подробней.

baks555
копают на кладюище, если хочешь поподробнее ответ, то и вопрос пиши подробнее: откуда и куда ты подключаешься, какой протокол для впн используется, и что для этого у тебя настроено на исе и на компе?

hardhearted

Есть сеть компов(ХР), есть сервер - на нем стоит ISA 2004. Хочу подключиться к ВПН (vpnus_com) с одного из компов из сети, создаю создаю соединение - но не работает (ошибка 800), как я понимаю ISA которая стоит на сервере не пропускает.

baks555

Цитата:

как я понимаю ISA которая стоит на сервере не пропускает

Это и ежу понятно, а правила на исе делал!? А логи смотрел?

anton04

Делал что-то... Подскажите по подробней что и где настраивать.

логи кидай сюда....

Добавлено:
да и поподробней про правило.......

baks555
еще раз для особо одаренных - протокол то какой? PPTP? он на исе разрешен? иса у клиента указана как шлюз по умолчанию?

протоколы все включены, шлюз по умолчанию Да


tracert vpnus.com с сервака идет, с других компов в сетке нет.

baks555
ох
ну если словами написать не можешь, то скриншот правил приложи, разберемся

Коллеги, подскажите, мне стоит беспокоится или это нормально, когда VPN клиент подключается к ISA 2006, и в сеансах показывает "белый IP " клиента? ведь у клиента снята галочка "использовать подключение как основной шлюз".
вор вам и скрин:

вот в красном это "подозрительный" момент. Клиент - vitaly, а этот IP - его "белый IP".

contrafack


Цитата:

когда VPN клиент подключается к ISA 2006, и в сеансах показывает "белый IP " клиента?

А какой ты хошь шоб показывался!? серый шоль? При подключении по VPN из вне это вполне нормально.

anton04

блин ! а я думал, что они(VPN клиенты) используют наш интернет.

Ребята, подсажите пожалуйста, пытаюсь настроить ВПН, вбиваю пул статических адресов, а мне вот такое сообщение, перепробывал разные адреса, но всё равно, не получается.
Сеть Демилитаризованная зона включает IP-адреса из диапазона 192.168.10.0-192.168.10.100. Сети не могут содержать диапазоны IP-адресов, перекрывающиеся с другими сетями.
При чём тут перекрываются с другими сетями, если этот диапазон вообще не прописан ни где.

TALLII

Телепаты все в отпуске. Где диапазон IP внутренней сети и демилитаризованной зоны!?
Научитесь нормально задавать вопросы.

anton04

внутрення сеть
10.20.20.0/10.20.20.255
10.255.255.255/10.255.255.255
демилитаризованная зона
0.0.0.1/10.20.19.255
10.20.21.0/10.255.255.254
128.0.0.0/223.255.255.255
240.0.0.0/255.255.255.254

TALLII
вот это dmz ! ))
ты откуда такую зону то себе выбил? купил весь интернет? )
все правильно он пишет 192.х.х.х попадает в строчку
Цитата:

128.0.0.0/223.255.255.255

ps ты знаешь что такое dmz?
pps диапазоны через слэш не указывают, эта запись используется для сеть/маска

TALLII

Ндаа.... молодой человек ну у Вас и каша в голове... Приведите пожалуйста сюда ipconfig /all с исы.

Спасибо большое, разобрался.
Понял что в демилитаризованной зоне, были зарезервированны все диапазонны айпи адресов. Поэтому иса не давала ввести пул статических адресов.
Подскажите пожалуйста, если пул статических адресов у меня
192.168.0.1-192.168.0.255
мне нужно чтобы при подключении ВПН удалённые пользователи не получали адреса с моей сети а имели свои адреса своей сети, то нужно делать внутренюю маршрутизацию на исе ?


Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : server
Основной DNS-суффикс . . . . . . : xxxx.local
Тип узла. . . . . . . . . . . . . : широковещательный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : да
Порядок просмотра суффиксов DNS . : xxxxx.local

LAN - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : D-Link DGE-530T V.B1 Gigabit Ethernet Ada
pter
Физический адрес. . . . . . . . . : 00-21-91-8B-92-61
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 127.0.0.1
86.xxx.xxx.xxx

INTERNET - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Atheros AR8121/AR8113 PCI-E Ethernet Cont
roller
Физический адрес. . . . . . . . . : 00-22-15-7E-8C-24
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 86.xxx.xxx.xxx
Маска подсети . . . . . . . . . . : 255.255.254.0
Основной шлюз . . . . . . . . . . : 86.xxx.xxx.x
DNS-серверы . . . . . . . . . . . : xxx.xxx.xx.x
xxx.xxx.xx.xxx