none
SERVIDOR VPN EXTERNO RRS feed

  • Pergunta

  • Bom galera,

    Já consegui configurar meu ISA Server para receber conexões VPN, agora estou tendo o seguinte problema, tenho clientes com acesso por VPN configurado (Servidores 2003 sem Isa) e preciso acessá-los, mas quanto tento conectar tenho o erro 721 que o servidor não respondeu.

    Verifiquei no log no ISA e ele bloqueia um tráfedo desconhecido do host que tento conectar e já liberei o protocolo PPTP da Rede Interna para a Externa.

    Se alguém puder me ajudar agradeço.

    • Movido Hengzhe Li quarta-feira, 28 de março de 2012 03:58 (De:ISA Server 2004)
    quinta-feira, 5 de outubro de 2006 20:33

Todas as Respostas

  • Olá Sandro.

    Talvez este artigo o ajude:

    http://support.microsoft.com/kb/810839/

    Abraços,

    Nelson Biagio Junior
    quinta-feira, 5 de outubro de 2006 21:01
  • Nelson,

    Li o artigo e fiz os procedimentos mas não adiantou. Apenas complementando quando tento conectar numa VPN externa ele acha o host externo dá início a autenticação e depois diz que o servidor não respondeu.

    obrigado.

    sexta-feira, 6 de outubro de 2006 11:40
  •  Mano explica melhor como tá tua infra dai poderemos descutir melhor :) e até da soluções para vc :) ,

     

    Bom se a lógica for esta segue :

     

    servidor a --> isa server + serviço de vpn ativado no server de isa + configurar as politicas do teu servidor de ad que creio que seja teu servevidor b.

    servidor b --> vc terá que liberar as flags do ad do seu user , configuração de ambientes,entre outras , depois vc associa o user a um grupo e lá no servidor a vc aponta que os usuários do grupo tal vão ter acesso + verificar uma policy que no 2003 barra tb acessos remotos, creio que se vc seguir esta logica funciona legal, bom espero não ter esquecido de nada abs do amigo Maycon Alves.

     

     

     

     

     

    sexta-feira, 6 de outubro de 2006 11:51
  • Thiago,

    Criei essa regra que você falou mas continua da mesma forma ele acha o host remoto dá início a verificação de usuário e senha e depois apresenta o erro 721 que o servidor não respondeu, olhei no log e ele apresenta um tráfego não identificado para fora.

    sexta-feira, 6 de outubro de 2006 15:57
  • Olá,

    Qual o seu router? Existem alguns routers que têm problema com VPN, pois tem que criar uma regra liberando GRE para que as conexões VPN aconteçam, e o erro 721 e o 800 acontece quando o GRE não está liberado.

    sexta-feira, 6 de outubro de 2006 19:41
  • Bom dia amigos,

    Respondendo as duas perguntas:

    1-  Quando aponto a estação para meu roteador ele conecta normalmente.

    2 - Tenho um roteador D-Link DI-604.

    3 - Desculpem mas sou novo com o ISA Server, como procedo para liberar o GRE.

    Obrigado.

    segunda-feira, 9 de outubro de 2006 12:53
  • Vamos lá, Sandro.

    Point-to-Point Tunneling Protocol (PPTP)

    O PPTP encapsula frames de PPP nos datagramas de IP para transmissão pela rede IP, tal como a Internet. O PPTP pode ser usado para acesso remoto e conexões VPN roteador-a-roteador. O PPTP está documentado no RFC 2637.
    O Point-to-Point Tunneling Protocol (PPTP) utiliza uma conexão TCP para o gerenciamento de túnel e uma versão modificada de GRE (Generic Routing Encapsulation), ou Encapsulamento Genérico de Roteamento, para encapsular frames de PPP para dados de túnel. As cargas dos frames PPP encapsulados podem ser criptografados e/ou comprimidos.

    Assim, você deve ir na regra "Allow VPN client traffic to ISA server" em em edit, abrir PPTP properties e, na guia parameters, selecioner PPTP filter na parte inferior da janela. Clique  Ok em tudo e aplique a regra, isso fará com que os protocolos e filtros necessários para a o acesso VPN sejam liberados pelo ISA. Não se esqueça, inclusive, de verificar se a porta 47 está aberta para o serviço UTP.

    Abraços,

    Nelson Biagio Jr
    segunda-feira, 9 de outubro de 2006 14:18
  • Fiz os procedimentos que você falou para marcar o PPTP filter e agora tenho o erro 619 dizendo que a porta está em uso ou foi fechada.

    E cara apenas uma dúvida é a porta 47 para UDP?

    segunda-feira, 9 de outubro de 2006 16:18
  • exatamente, Sandro.

    O  GRE utiliza a porta 47 e o protocolo UDP. Veja neste artigo:

    http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pt-pt/library/ServerHelp/04025562-6f81-4272-a345-d694711c83b9.mspx?mfr=true

    Quanto ao erro, vou pesquisar e já volto.

    Nelson Biagio Jr
    segunda-feira, 9 de outubro de 2006 18:41
  • Sandro, veja se ajuda:

    MS windows event viewer and log are very useful tools in troubleshooting VPN/PPP. If you have a difficulty to access the VPN/RAS server, you may go to the event viewer of the VPN/RAS server to check any errors. Alternatively, you can go to %SystemRoot%\system32\LogFiles to view any possible causes. To enable the PPP log on w2k server, go to Routing and Remote Access Services (RRAS)>properties>Event Logging, Check the Enable Point-to-Point Protocol (PPP) logging box.

    To enabling PPP Logging on a Computer Running Windows 2000 Professional Using Netsh.exe. To do this, at command prompt, type

    netsh
    ras
    set tracing PPP enable

    NOTE: The Netsh.exe utility is the only option to enable PPP logging in Win 2000 Pro. After you enable logging, the computer logs all PPP activity to the xxx.log file in the %SystemRoot%\LogFiles. Since PPP logging uses system resources and hard disk space, you should turn off it when you are finished troubleshooting.

    Error 619: 1. The port was disconnected (or Error 645, Dial-Up Networking could not complete the connection to the server and Error 930, The authentication server did not respond to authentication requests in a timely fashion. The Event Viewer shows: Event id: 20073, Description: The following error occurred in the Point to Point Protocol module on port: port number, UserName: user name. The authentication server did not respond to authentication requests in a timely fashion). When using VPN to access a remote network, W2K clients mat get above errors but not win9x and ME clients. This issue occurs because the VPN server hasn't registered in Active Directory.
    2.You get this message when connecting via cable modems, dial up DOESN'T have any issues.

    Resolution: 1) This problem most likely is secure issue such as unsecured password. So, check the settings.
    2) It could be the hardware issue. Try to re-setup the device or download the new driver or just reset the devices such as modem and router.
    3) Reapply the service pack
    4) If the RRAS is in a domain network, add the VPN to the appropriate group. To do this, go to Active Directory Users and Computers>domain name>Users, double-click the RAS and IAS Servers security group. Select the members and add the VPN server to this group. 2) Type
    netsh ras add registeredserver at a command prompt (registeredserver is vpn server name), and then press ENTER.

    Abraços,

    Nelson Biagio Junior



    segunda-feira, 9 de outubro de 2006 18:46
  • Nelson desculpe a minha ignorância mas li o artigo que você postou fiz alguns procedimentos e continuo com o mesmo problema, pelo que eu pude ver no log do ISA ele até abre a conexão o problema deve estar quando o servidor remoto envia a resposta e o ISA deve estar bloqueando.

    Obrigado.

    segunda-feira, 9 de outubro de 2006 20:53
  • Bom dia, Sandro.

    Dê uma olhadinha na parte de VPN deste artigo:

    http://www.microsoft.com/brasil/technet/seguranca/isa2004hardening.mspx

    Abraços,

    terça-feira, 10 de outubro de 2006 13:05
  • Sandro, como vai, tudo bem?

    tenho um tutorial no meu site e no itcentral sobre VPN PPTP, dá uma olhada por favor.

    Basicamente você precisa ter regra liberando de 'Clientes VPN' para 'Internal' os protocolos que desejar, exemplo RDP se vc quer acessar remotamente os micros.

    Os micros na rede interna, preferencialmente devem utilizar gateway apontando para o ISA.

    Não perca a série de WebCasts de ISA 2006 do TechNet Brasil  @ http://www.microsoft.com/brasil/technet/eventos/webcasts/quarta.mspx

    TechEd 2006, serão mais de 70 palestras de TI, vai ficar de fora ? Garanta sua vaga @ http://www.teched.com.br/IT

    Se esse post lhe ajudou, não esqueça de marca-lo como uma resposta/útil.

    Abraços,

     

    quarta-feira, 11 de outubro de 2006 13:04
  • Boa tarde, Nelson,

    Li e reli o texto do Link, fiz algumas alterações no meu ISA Server, e infelizmente estou tendo o mesmo erro quando tento conectar ao servidor VPN do meu cliente.

    quarta-feira, 11 de outubro de 2006 17:55
  •  

    Olá Pessoal!

     

    Or favor, ninguem mais teve esse problema alem de eu e o sandro? por favor compatilhem a solução, mesmo seguindo as dicas nada mudou.

     

    Abraço!

    domingo, 16 de setembro de 2007 01:54
  •  

    Caros,

     

    Tenho o mesmo problema dos dois amigos acima, mas no caso tenho uma informação a acrescentar do meu problema.

     

    Tenho uma regra liberando o acesso externo a VPN e uma liberando o acesso a rede interna para a VPN.

     

    Ao monitorar recebo as seguintes mensagens:

     

    Ele inicia a conexão na porta 1723 e na coluna regra aparece a seguinte mensagem: "[System] Allow VPN client traffic to ISA Server"

     

    Porém abaixo vem seguidas mensagens dizendo que há "Tráfego IP não identificado" e todas são negadas pela Default Rule.

     

    No meu client recebemo a mesma mensagem de erro citado aqui, 721: O Computador remoto não respondeu.

     

    A conclusão que eu chego é de que, ele está liberando a conexão, tanto que um telnet na porta 1723 funciona, mas o problema está quando ele vai acessar alguma coisa dentro do meu ISA Server ou dentro da minha rede, pois o client fica no "Verificando nome de usuário e senha" até me dar esse erro depois de alguns segundos.

     

    Minha pergunta é: Além da 1723 e da 47, há mais alguma porta ou regra que devo criar/liberar?

     

    Abraços

    terça-feira, 2 de setembro de 2008 14:17