none
Conex. denegada 0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED RRS feed

  • Pregunta

  • Buenas,

    estoy configurando la VPN -sobre PPTP- para los clientes móviles en ISa Server 2006 Stand. SP1

    Desde un cliente XP SP3, me he creado una conexión VPN PPTP me responde "Error en la conexión. Error:800" y monitorizando en el ISA (Supervisión-->Registro) me aparece esto:

    transporte: TCP

    Acción: Conexión denegada

    Red de Origen: Externa

    Red de destino: Host local

    Puerto de origen: 1044 (variable) <-- en cada conexión utilizada uno

    Puerto de destino: 1723

    Código de resultados: 0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED

    tipo de escrituras en registro: Firewall

    Las reglas de Firewall son:

    1  "PPTP Server ISA" --- Permitir --- Protocolo Servidor PPTP---De/escucha Host local----A <<IP_Servidor_ISA>>

    2  "Acceso VPNClients" --- Permitir --- Protocolo PPTP ---De/escucha Externa----A Clientes de VPN/Host loca --- USUARIOS_VPN (grupo AD).

    ¿Alguna idea?

    si necesitáis algún dato más, no dudéis en indicármelo.

    Gracias de antemano.


    elEdu



    • Editado eledu viernes, 20 de abril de 2012 10:31
    viernes, 20 de abril de 2012 10:26

Respuestas

  • Hola elEdu

    Mira, efectivamente tienes ahí un par de problemas de configuración, aunque no tienen relación con FWX_E_FWE_SPOOFING_PACKET_DROPPED... Inicialmente las tarjetas de red se deben de configurar así:

    NIC-Externa (la que esta conectada a Internet): esta tarjeta es la única que debe tener Gateway configurado

    NIC-Interna (la que esta conectada a la LAN): esta tarjeta es la única que debe tener DNSs configurados, además deben ser los internos, a su vez los DNSs internos deben estar configurados para reenviar consultas a los DNSs de tu ISP o algun otro publico como los google por ejemplo.

    NIC-VPN (esta se conecta a alguna sub-red o oficina remota): solo debe tener dirección IP y mascara de red, adicionalmente a esto debes declarar con el comando route add las rutas a las que esta tarjeta de red debe responder, por ejemplo: sí la tarjeta tiene la IP 172.16.20.0/30 osea ISA Server tiene la 172.16.20.1 y el router que hace el enlace a la oficina remota 172.16.20.2 y detras de ese router tienes la red 192.168.20.0/24 entonces en ISA Server debes correr el comando: route -p ADD 192.168.20.0 MASK 255.255.255.0 172.16.20.2 METRIC 1.

    En cuanto al orden de las tarjetas, primero debe responder la que tiene configurada los DNSs, luego las que tengan alguna sub red o oficina remota y por ultimo la que tenga el acceso a internet.

    Con respecto al FWX_E_FWE_SPOOFING_PACKET_DROPPED puedes indicarnos como y cuales direcciones IP reciben estos clientes !?

    Saludos,


    Jimcesse
    Mi Blog: http://blogs.itpro.es/jimcesse
    

    lunes, 23 de abril de 2012 14:21
    Moderador

Todas las respuestas

  • Hola Eledu

    El error de Spoofing tal como lo menciona el Log, generalmente esta asociado a una mala configuración de las redes, tienes algún evento en el visor del ISA que te hable de esto !?

    Saludos,


    Jimcesse
    Mi Blog: http://blogs.itpro.es/jimcesse
    

    viernes, 20 de abril de 2012 19:23
    Moderador
  • La situación es la siguiente:

    tengo 2 tarjetas ethernet:

    NIC1 192.168.0.2/24

    GW: 192.168.0.1 (Internet)

    DNS externos

    NIC2 (Interna): 192.168.3.2/24

    GW: HQ-IP (conexión oficina central)

    DNS internos

    Y tengo otras rutas estáticas para su acceso a HQ-IP y a nuestra red interna. Sé que solo tiene que exisistir por defecto una única GW pero necesito estos accesos con la oficina central e internet

    Es decir:

    NIC1----------------- INTERNET

    DNS ISP

    NIC2----------------- sin GW

    DNS Internos

    red1

    red2

    red3

    Hay problemas DNS de ahí que Internet vaya algo lenta; he visto configuraciones pero no veo que sea adapte a esta situación del todo.

    Espero haberme explicado bien..


    elEdu


    • Editado eledu lunes, 23 de abril de 2012 13:42
    lunes, 23 de abril de 2012 11:07
  • Hola elEdu

    Mira, efectivamente tienes ahí un par de problemas de configuración, aunque no tienen relación con FWX_E_FWE_SPOOFING_PACKET_DROPPED... Inicialmente las tarjetas de red se deben de configurar así:

    NIC-Externa (la que esta conectada a Internet): esta tarjeta es la única que debe tener Gateway configurado

    NIC-Interna (la que esta conectada a la LAN): esta tarjeta es la única que debe tener DNSs configurados, además deben ser los internos, a su vez los DNSs internos deben estar configurados para reenviar consultas a los DNSs de tu ISP o algun otro publico como los google por ejemplo.

    NIC-VPN (esta se conecta a alguna sub-red o oficina remota): solo debe tener dirección IP y mascara de red, adicionalmente a esto debes declarar con el comando route add las rutas a las que esta tarjeta de red debe responder, por ejemplo: sí la tarjeta tiene la IP 172.16.20.0/30 osea ISA Server tiene la 172.16.20.1 y el router que hace el enlace a la oficina remota 172.16.20.2 y detras de ese router tienes la red 192.168.20.0/24 entonces en ISA Server debes correr el comando: route -p ADD 192.168.20.0 MASK 255.255.255.0 172.16.20.2 METRIC 1.

    En cuanto al orden de las tarjetas, primero debe responder la que tiene configurada los DNSs, luego las que tengan alguna sub red o oficina remota y por ultimo la que tenga el acceso a internet.

    Con respecto al FWX_E_FWE_SPOOFING_PACKET_DROPPED puedes indicarnos como y cuales direcciones IP reciben estos clientes !?

    Saludos,


    Jimcesse
    Mi Blog: http://blogs.itpro.es/jimcesse
    

    lunes, 23 de abril de 2012 14:21
    Moderador
  • Gracias por tu pronta respuesta.

    Indicarte que tan solo tengo 2 NICs, no 3 como indicas. La VPN es de cliente no de sitio.

    Si las rutas estáticas las tengo configuradas de ese modo.

    Acabo de quitar los dns de la NIC con Internet y los he dejado únicamente en la NIC interna con los dns internos, he solventado algún problema de los DNS (gracias!) pero en la VPN seguimos igual:

    Conexión denegada

    Tipo de registro: Servicio de firewall

    Origen: Externa

    Destino Host local (ip_isa:1723)

    Protocolo: PPTP

    A ver si damos con ello, yo sigo mirando aunque tampoco puedo hacer muchos cambios que es de producción.

    Espero tus comentarios! Gracias Jimcesse!

    PD: las IPs  las recibe por la configuración de redes de vpn clientes y la validación es contra un grupo de usuarios AD, estando el ISA dentro del domio


    elEdu


    • Editado eledu lunes, 23 de abril de 2012 19:15 recepción de IP en clientes
    lunes, 23 de abril de 2012 15:33
  • Hola eledu

    Como te ha ido con este caso, aun esta pendiente !?

    Saludos,


    Jimcesse
    Mi Blog: http://blogs.itpro.es/jimcesse
    

    miércoles, 25 de abril de 2012 17:20
    Moderador
  • Si está pendiente, aunque no sé si será suficiente he encontrado algo: http://support.microsoft.com/kb/838114 me falta reiniciar y es algo complicado, mañana por la mañana lo hago y te/os cuento si con esto permite establecer la VPN a los clientesVPN.

    ¿Alguna idea más?

    Gracias.


    elEdu

    jueves, 26 de abril de 2012 9:09