none
VPN и доступность извне. RRS feed

  • Вопрос

  • Добрый день!

    Проблема следующая:

    2 офиса: в головном стоит server 2003 r2+isa2006, в дополнительном server 2012 с поднятым NAT`ом.

    Создано VPN соединение site-to-site, в головном через isa, в дополнительном на RRAS. VPN работает стабильно пакеты ходят без потерь. Но по какой-то причине при поднятии VPN внешний интерфейс удаленного сервера становится не доступным, те банальные ICMP рубится на корню. При этом при потушенном VPN все ок.

    Может кто сталкивался с подобным, куда копать?

    14 ноября 2013 г. 6:33

Ответы

  • Копать надо, прежде всего, в сторону таблиц маршрутизации на обоих серверах.

    Предполагаю, что, минимум, в одну сторону пакеты на проблемный адрес идут по VPN. У NAT есть проблемы при обращении к адресу внешнего интерфейса изнутри, плюс ISA может блокировать такие пакеты из-за того, что они идут не в ту сеть/не из той сети ISA. Полезно посмотреть на ISA в режиме просмотра журнала, что происходит при попытке ping. В частности, интересуют соединения, на внешний адрес удаленного сервера, а также - попытки соединений с этого адреса (если они приходят через другой внешний интерфейс, то ISA может не распознать, что это, в реальности - обратный трафик существующего соединения и отбросить их)


    Слава России!

    15 ноября 2013 г. 11:52

Все ответы

  • Привет,

    А какие нибудь ошибки наблюдаются? в логах чисто?


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    15 ноября 2013 г. 7:21
    Модератор
  • Копать надо, прежде всего, в сторону таблиц маршрутизации на обоих серверах.

    Предполагаю, что, минимум, в одну сторону пакеты на проблемный адрес идут по VPN. У NAT есть проблемы при обращении к адресу внешнего интерфейса изнутри, плюс ISA может блокировать такие пакеты из-за того, что они идут не в ту сеть/не из той сети ISA. Полезно посмотреть на ISA в режиме просмотра журнала, что происходит при попытке ping. В частности, интересуют соединения, на внешний адрес удаленного сервера, а также - попытки соединений с этого адреса (если они приходят через другой внешний интерфейс, то ISA может не распознать, что это, в реальности - обратный трафик существующего соединения и отбросить их)


    Слава России!

    15 ноября 2013 г. 11:52