none
TMG + IPSec Site-to-Site - не работает RRS feed

  • Общие обсуждения

  • Приветствую уважаемый форум!

    Продолжаем начатые вот здесь http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/5f8d13d7-bfd7-4272-83f7-15f62b80602f игрища с TMG. С NLB благополучно завязали, поскольку совершенно очевидно (см. ссылку), что решение в принципе не рабочее.

    Конфигурация та же, только теперь на один оставшийся сервер с убранным NLB навесили 150 Site-ti-Site IPSec-туннелей. Сервер, к слову сказать, не хиленький: однопроцессорный (4 виртуальных ядра) Xeon 3430 на 2.4 гигагерца. Запускаем сервер и наблюдаем:

    1. Сначала на сервере виден запущенный процесс svchost, который отъедает 25% общего процессорного ресурса и, как удалось разобраться, видимо занимается построением политик. В логе в этот момент полно сообщений типа No Policy matched. Длится все это удовольствие около 2-х часов. В это время сервер не доступен для обыкновенных  VPN-клиентов из-вне (не приконнектится), наблюдаеются перебои в работе интернета в офисе (постоянные connection timeout), пинг до сервера при этом возрастает до 300 - 600 ms. Интересная деталь: если в этот момент на короткое время выдернуть ЛЮБОЙ из сетевых кабелей на сервере, то весь процесс построения политик начинается СНАЧАЛА.

    2. Два часа прошло, политики построены, вышеупомянутый svchost вымахал в памяти аж до 730 метров. Казалось бы, сейчас все будет. Ан нет, совершенно неожиданным образом, загрузка процессора возрастает до 100%, пинги до сервера возрастают до 2-5 секунд(!) и через какое-то время сервер перестает вообще реагировать на внешние воздействия. Если подождать еще минут 20, то мы увидим, что загрузка процессора спала, сервер ожил и ... снова приступил в пересозданию политик! И далее - по кругу. Site-to-site туннели так никогда и не поднимаются.

    Для справки:

    1. Сейчас эти же самые 150 туннелей обслуживаются ISA 2006 на дохленьком компике с процессорм Core2 Duo. Никаких проблем, подобных вышеизложенным, НЕ наблюдается.

    2. Те же 150 туннелей ради интереса подняли на FreeBSD 8.0, которую, в свою очередь, развернули на какой-то хламовине (одноядерный Celeron 1.7 гигагерц). Результат - все просто летает. Загрузка процессора - 12%, после перезагрузки компа туннели доступны практически сразу (время задержки не превысило 2 минуты).

    Что сказать: никогда еще не видел такой халтуры, как TMG 2010. Как интернет-прокси он хорош, но ни одно серьезное сетевое решение класса enterprise на нем фактически не работает: NLB - в пролете, Site-to-Site - фактически тоже. Я уже не говорю про отсутствие динамической маршрутизации, которая может весьма пригодится при дублировании каналов. Зачем господа разработчики из MS берутся за то, что им явно не по зубам? Неужели на то, что бы построить политики по жалким 150 маршрутам, надо потратить 2 часа серверного времени далеко не самого хилого компа? Как получилось, что по части поддержки IPSec-туннелей, новый продукт на новой ОС УСТУПАЕТ предыдущей версии?

    В общем, если у вас есть нормально работающее решение на ISA 2006, не спешите переезжать на TMG, это получится далеко не всегда, поскольку "зона покрытия" по функциональности у TMG - меньше, чем у ISA.

    21 января 2012 г. 18:19

Все ответы

  • наезжать на продукт не разобравшись в его функциональности все-таки не стоит ) tmg как и isa не является маршрутизатором или vpn шлюзом, только firewall+proxy. роутинг там делает исключительно винда (как умеет, а она тоже никогда не позиционировалась как полноценный маршрутизатор) и впн тоже. поэтому сравнивать надо не isa vs tmg, а win2003 vs win2008. вполне возможно какой то косяк с операционкой, может обновления какие нужны или наоброт лишние.
    ps  если нужен полноценный роутер с динамическими маршрутизациями, поддержкой несколько провайдеров, policy based роутингом и т.д. то стоит использовать продукты которые называются маршрутизаторами (циски например), а не пытаться сделать что то из универсальной ос и файрвола.
    22 января 2012 г. 19:55
    Отвечающий
  • наезжать на продукт не разобравшись в его функциональности все-таки не стоит ) tmg как и isa не является маршрутизатором или vpn шлюзом, только firewall+proxy. роутинг там делает исключительно винда (как умеет, а она тоже никогда не позиционировалась как полноценный маршрутизатор) и впн тоже. поэтому сравнивать надо не isa vs tmg, а win2003 vs win2008. вполне возможно какой то косяк с операционкой, может обновления какие нужны или наоброт лишние.
    ps  если нужен полноценный роутер с динамическими маршрутизациями, поддержкой несколько провайдеров, policy based роутингом и т.д. то стоит использовать продукты которые называются маршрутизаторами (циски например), а не пытаться сделать что то из универсальной ос и файрвола.


    Уважаемый Дмитрий Никитин!

    1. Про наезжать. Как Вы наверное сумели заметить (даже по этому форуму), я с этим чудом инженерно-конструкторской мысли разбираюсь уже с августа месяца и за свои слова вполне отвечаю. Если я делаю какие-то выводы, значит уже закопался достаточно глубоко.

    2. Про то, как ISA и TMG не является маршрутизатором или VPN-шлюзом. Только вот не надо лукавить: если есть поддержка VPN Site-to-Site - значит VPN-шлюз. А зачем тогда там Site-to-Site? Детишек пугать? Просто надо набраться смелости и признать, что поддержка IPSec VPN там сделана через одно известное место и это отлично видно на моем примере (например, двухчасовой пересчет политик).

    3. Про то, что нужно сравнивать. Меня интересуют не красивые абстракции, а реальные решения, которые должны работать. Поэтому сравнивать надо связки win2003 + isa и win2008r2 + tmg. Только так и никак иначе. Результат сравнения: вторая связка не просто стоит весьма далеко от ожиданий, а и даже проигрывает первой.

    P.S. Давайте попробуем обойтись без демагогии общих фраз. Если с Вашей стороны есть конкретика (куда смотреть, где копать, на что обратить внимание и т.п.), буду очень и очень признателен. Старая песня про то, что TMG - простой firewall + прокси и не надо от него ничего требовать, больше не катит.

    23 января 2012 г. 10:42
  • 2. поддержка site-to-site VPN там реализована тупо через rras, также как и VPN Clients, а иса/тмг просто предоставляет интерфейс для настройки, функционала сами они не обспечивают.

    конкретика есть: если есть реальная проблема или претензия к продукту - открывайте тикет в поддержке Microsoft. у меня например была проблема именно в связке win2003+isa2006, и проблема оказалась не в исе а в win2003 (netlogon жестко глючит). в данном случае поддержка скорее всего также укажет на винду.

    23 января 2012 г. 14:42
    Отвечающий
  • конкретика есть: если есть реальная проблема или претензия к продукту - открывайте тикет в поддержке Microsoft. у меня например была проблема именно в связке win2003+isa2006, и проблема оказалась не в исе а в win2003 (netlogon жестко глючит). в данном случае поддержка скорее всего также укажет на винду.


    Примерно такого ответа я и ожидал :) Бесплатно обратиться в MS у меня не получается, нет у меня нужных бенефиций. А платить им деньги за выгребание их же проблем - по-моему, уже чересчур. За то время, что придется ждать разумного ответа, я просто подниму эти жалкие 150 туннелей на FreeBSD, а вот MS со своим TMG просто останется без хорошего денежного покупателя. Firewall + Proxy же спокойно доживет на старой ISA 2006 (по принципу: работает - не трожь), причем если убрать оттуда IPSec-туннели, то этой схеме еще и резко полегчает :) Так или иначе, решение о покупке TMG 2010 EE сейчас там заморожено.
    • Изменено Mickwel 24 января 2012 г. 14:03
    23 января 2012 г. 16:00
  • ну а самим подиагностировать? в логах винды есть что-нибудь? в логах rras?

    23 января 2012 г. 16:31
    Отвечающий
  • Если бы было что-нибудь, хоть как-то похожее на зацепку, неужели я бы стал обращаться на форум? :)

    24 января 2012 г. 14:02
  • Если бы было что-нибудь, хоть как-то похожее на зацепку, неужели я бы стал обращаться на форум? :)

    А в чем проблема поднять 150 туннелей на аппаратных маршрутизаторах?
    Я построил мега распределенную сеть IPSec LAN to LAN в масштабах мира в приблизительно таких же масштабах.
    Настроил пару узлов, показал как делаются остальные и 10 человек за выходные развернули сеть.
    Но и цена за оборудования и настройку была порядка 80 000$.
    Решение класса настроил и забыл. 

    31 января 2012 г. 19:15
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    6 февраля 2012 г. 9:50
  • Никакой проблемы нет, так в конечном счете и поступил :) TMG обделался и его решили не покупать, а так - никаких проблем :)

    14 февраля 2012 г. 14:26
  • Если бы было что-нибудь, хоть как-то похожее на зацепку, неужели я бы стал обращаться на форум? :)

    А в чем проблема поднять 150 туннелей на аппаратных маршрутизаторах?
    Я построил мега распределенную сеть IPSec LAN to LAN в масштабах мира в приблизительно таких же масштабах.
    Настроил пару узлов, показал как делаются остальные и 10 человек за выходные развернули сеть.
    Но и цена за оборудования и настройку была порядка 80 000$.
    Решение класса настроил и забыл. 


    все верно, строить на подходящих решениях всяко лучше и надежнее, но некоторые пытаются всю работу свалить на универсальные продукты - а универсальность означает что одинакого плохо делаем все ))  80К для такого размера это очень даже дешево, можно сказать почти бесплатно по сравнению с tmg или isa (700-800 на винду, 1200-1300 на tmg, плюс железо )
    14 февраля 2012 г. 15:50
    Отвечающий
  • все верно, строить на подходящих решениях всяко лучше и надежнее, но некоторые пытаются всю работу свалить на универсальные продукты - а универсальность означает что одинакого плохо делаем все ))  80К для такого размера это очень даже дешево, можно сказать почти бесплатно по сравнению с tmg или isa (700-800 на винду, 1200-1300 на tmg, плюс железо )

    "Одинаково плохо делаем все" - это Вы удачно про TMG. Заметьте, не я это сказал :)

    К сожалению, Вы как-то не обратили внимания, что на другом "одинаково плохо" - ISA 2006 - у некоторых все работает. А уж какой FreeBSD конструктор (куда уж универсальнее-то!) задача летает даже на более слабом железе.

    Что касаемо сваливания работы, то логика здесь проста: функционал этот в TMG заявлен, в объявленные разработчиком ограничения по ресурсам (npr, количество туннелей) вписываемся, а значит ДОЛЖНО работать. По определению. А рассуждения про "универсальность все делает плохо", уж простите, обыкновенная демагогия.

    15 февраля 2012 г. 17:59
  • я вообще говорил не про тмг а про попытки сделать все на винде, причем на одном сервере. тмг совсем не универсал, его задача firewall, proxy и application gateway. роутинга у него нет совсем, как и впн. те же циски как роутеры и впн шлюзы намного продвинутее, но не умеют элементарных вещей которые умеет тмг.
    второй вариант, неправильная настройка или недостаточно ресурсов, в любом случае у продукта есть поддержка куда можно обратится - поддержка продукта это такая же обязательная часть как покупка, установка и эксплуатация. к кому обращаться если что то не получится на freebsd?

    у меня к сожалению нет возможности проверять 150 тунелей на тмг, столько тунелей нам пока не нужно и в любом случае мы не можем использовать тмг - нет сертификации ФСБ как на средство криптозащиты, поэтому приходится использовать отечественные разработки как это ни печально (такая у нас господдержка нашего криворукого ИТ), да и если можно было использовать зарубежные разработки, то использовали бы не тмг, а правильные циски.

    16 февраля 2012 г. 9:19
    Отвечающий