none
TMG PPTP VPN. После подключения не открываются страницы, ничего не пингуется RRS feed

  • Вопрос

  • Здравствуйте. На сервере Win 2008 R2 установлен Forefront TMG Std и больше ничего.

    Создал VPN PPTP и создал к нему правило: 

    Действие: Разрешить

    Протокол: PPTP

    Откуда: Внешняя

    Куда: Внутрення

    Условие: Все пользователи

    Со своего домашнего ПК подключаюсь по PPTP без проблем. Получаю IP адрес, выданный DHCP сервером и DNS адрес.

    После этого я не могу ничего пинговать; nslookup domain.local говорит, что DNS не найден; не открываются никакие веб-сайты, не работает RDP и прочее. В общем блокирует это соединение абсолютно всё, исключение ping <белый IP TMG> - пингуется.

    В логах TMG срабатывают правила, в зависимости от запроса по тому или иному протоколу:

    Отклоненное соединение SRV5 01.03.2011 22:14:55
    Тип журнала: Служба межсетевого экрана
    Состояние: Пользовательские запросы запрещены правилами политики. 
    Правило: Правило по умолчанию
    Источник: VPN-клиенты (192.168.0.49:60979)
    Назначение: Внутренняя (192.168.0.10:53)
    Протокол: DNS 
    Дополнительные сведения
    Число отправленных байтов: 0 Число полученных байтов: 0
    Время обработки: 0ms Первоначальный IP-адрес клиента: 192.168.0.49

    1 марта 2011 г. 13:04

Ответы

  • 1. На скриншоте правило неактивное (disabled)

    2. По логу у Вас используется "Правило: Правило по умолчанию", в котором таки все запрещено.

     

    Смотря на пункт 1 и 2 - все Ваши запросы попадают в дефолт (запрещено).

    Активируйте правило, зайдите в VPN, пинганите внутрений ресурс и покажите лог.

    • Помечено в качестве ответа MaxRAF 4 марта 2011 г. 12:03
    3 марта 2011 г. 14:55

Все ответы

  • непонятно зачем создавать такое правило

    ты впн клиентам вообще что нить разрешил правилами файрвола?

    1 марта 2011 г. 14:21
    Отвечающий
  • 1. А зачем это правило? Подняв VPN Вы уже его разрешили группе/пользователю (зависит от настройки)

    2. Дальше создайте правила разрешающие VPN-щикам что-либо делать.

    HTTP - Allow. From VPN-Client to External. Protocol HTTP, HTTPS итд

    RDP - Allow. From VPN-Clients to Internal. Protocol RDP и тд

    и тд.

    1 марта 2011 г. 15:41
  • Всё-равно не получается.

    Чтобы правила TMG не распространялись на мой ПК и чтобы шлюз использовался мой, а не TMG, я в свойствах TCP/IP VPN соединения убрал галочку напротив "Использовать основной шлюз в удаленной сети".

    В правиле для VPN указываю весь исходящий трафик, из VPN в локальная сеть, пользователи те, которые добавлены в группу (я там естественно есть).

    Подключаюсь и не могу ни пинг сделать, ни nslookup, по RDP подключиться не могу, вообще ничего не могу.

    Захожу в логи TMG и вижу опять

    Отклоненное соединение SRV5 01.03.2011 22:14:55
    Тип журнала: Служба межсетевого экрана
    Состояние: Пользовательские запросы запрещены правилами политики. 
    Правило: Правило по умолчанию
    Источник: VPN-клиенты (192.168.0.51:60979)
    Назначение: Внутренняя (192.168.0.10:53)
    Протокол: DNS 

    и другие подобные сообщения об отклонении.

    Что я делаю не правильно?

    Скриншот моих правил: http://s61.radikal.ru/i173/1103/7d/8a847b7fefc4.gif

    3 марта 2011 г. 13:43
  • 1. На скриншоте правило неактивное (disabled)

    2. По логу у Вас используется "Правило: Правило по умолчанию", в котором таки все запрещено.

     

    Смотря на пункт 1 и 2 - все Ваши запросы попадают в дефолт (запрещено).

    Активируйте правило, зайдите в VPN, пинганите внутрений ресурс и покажите лог.

    • Помечено в качестве ответа MaxRAF 4 марта 2011 г. 12:03
    3 марта 2011 г. 14:55
  • Включил правило и все проблемы решились.
    4 марта 2011 г. 12:02