none
Forefront TMG 2010 VPN RRS feed

  • Вопрос

  • Господа,доброго времени суток.Столкнулся с проблемой и уже мучаюсь неделю.
    AD Windows server 2008 R2, Forefront TMG 2010 (Windows server 2008 r2).
    Поднял VPN все работает, только одна проблема.После того как я дома включаю VPN то в офисной сети на всех компах кроме Forefront TMG не работает HTTP.Ping работает к любому узлу, а вот веб сайты не открываються.И каждое утро когда прихожу на работу то перезагружаю сервер Forefront.Не пойму где накосячил.
    Вот фрагмент лога из Forefront TMG 2010:

    Отклоненное соединение SERVER002 12.03.2010 20:45:50
    Тип журнала: Служба межсетевого экрана
    Состояние: Это действие не может быть выполнено, поскольку не была выполнена проверка подлинности сеанса.
    Правило: Заблокированные веб-назначения
    Источник: Внутренняя (192.168.1.111:51238)
    Назначение: Внешняя (216.239.59.104:80)
    Протокол: HTTP

     


    RFT
    12 марта 2010 г. 16:51

Ответы

  • Господа, снял конфиг.Форматнул сервер на Windows Server 2008 R2, установил Forefront TMG 2010, слил конфиг обратно и все заработало)Вот и конец непонятной проблемы)Всем спасибо)Тема закрыта.


    RFT
    14 апреля 2010 г. 15:48

Все ответы

  • Пож. опишите ситуацию подробнее.

    Поднял VPN все работает,
    Что именно поднято? Сеть-Сеть или VPN-клиенты? PPTP или L2TP? Если клиенты, то как выдаются адреса? Регистрируются ли в DNS?

    в офисной сети на всех компах кроме Forefront TMG не работает HTTP.Ping работает к любому узлу, а вот веб сайты не открываються.
    Как подключаются клиенты в ояисной сети? Веб-прокси или FWC?
    Тип журнала: Служба межсетевого экрана
    Состояние: Это действие не может быть выполнено, поскольку не была выполнена проверка подлинности сеанса.
    Правило: Заблокированные веб-назначения
    Источник: Внутренняя (192.168.1.111:51238)
    Назначение: Внешняя (216.239.59.104:80)
    Протокол: HTTP
    Состояние: Это действие не может быть выполнено, поскольку не была выполнена проверка подлинности сеанса.
    Правило: Заблокированные веб-назначения
    Источник: Внутренняя (192.168.1.111:51238)
    Назначение: Внешняя (216.239.59.104:80)
    Протокол: HTTP
    Похоже что клиенты отваливаются, перестают авторизоваться на TMG.
    14 марта 2010 г. 7:47
  • Поднята VPN сеть  "VPN-клиенты" PPTP, адреса выдаются по DHCP,в DNS не регистрируются.
    Клиенты подключаются через веб прокси.В DHCP настроено автоматическое обнаружение.
    Да, клиенты отваливаются, помогает только перезагрузка самого Forefront TMG сервера или перезапуск службы.


    RFT
    14 марта 2010 г. 10:46
  • У удаленного клиента свойствах VPN-соединения установлена галка "Использовать основной шлюз в удаленной сети?" Попробуйте снять галку.
    Также попробуйте в офисе перенастроить автообнаружение на DNS. Возможно, что в DHCP оно мешает.

    15 марта 2010 г. 9:54
  • Галку "Использовать основной шлюз в удаленной сети" убирал не помогало.Пробовал и в DNS настроить автоматическое обнаружение, не помогло.В данный момент включено автоматическое обнаружение и в DHCP  и в DNS.Это может послужить поводом для конфликта?
    RFT
    15 марта 2010 г. 9:59
  • В данный момент включено автоматическое обнаружение и в DHCP  и в DNS.Это может послужить поводом для конфликта?
    По теории не должно, но методом исключения нужно разобраться что именно мешает.

    Какая ситуация в системных логах при подключении клиента? Есть что-нибудь подозрительное?
    16 марта 2010 г. 8:18
  • Предлагаю Вам копнуть в сторону разрешения имен.
    Как вариант, для начала зарезать NetBIOS для VPN клиентов, подключиться и посмотреть что получится.
    Если проблема останется, то для начала попробуйте сбросить кэши: arp, dns, netbios.
    Если не поможет, тогда попробуйте понаблюдать за Forefront'ом, на кокой сервер он полезет проверять клиента (ели вообще полезет).


    16 марта 2010 г. 9:13
  • Уважаемый Руфат !


    Как продвигается решение проблемы?

    19 марта 2010 г. 7:28
    Модератор
  • Господа,прошу прощения за долгий ответ.Щас болею.выйду на работу в четверг т отпишусь.


    RFT
    20 марта 2010 г. 5:42
  • Щас вообще что то странное происходит.При подключении ВПН пишет ошибка 800.с чего бы это?и логах вроде ничего подозрительного....


    RFT
    23 марта 2010 г. 23:46
  • Неудачная попытка соединения SERVER002 24.03.2010 13:46:00
    Тип журнала: Служба межсетевого экрана
    Состояние: No connection could be made because the target machine actively refused it.
    Правило: [System] Разрешить трафик от VPN-клиента к серверу Forefront TMG
    Источник: Внешняя (94.20.23.41:61711)
    Назначение: Локальный компьютер (85.132.61.62:1723)
    Протокол: PPTP

    Отклоненное соединение SERVER002 24.03.2010 13:45:57
    Тип журнала: Служба межсетевого экрана
    Состояние: Пользовательские запросы запрещены правилами политики.
    Правило: Правило по умолчанию
    Источник: Внешняя (94.20.23.41:500)
    Назначение: Локальный компьютер (85.132.61.62:500)
    Протокол: IKE-клиент


    RFT
    24 марта 2010 г. 9:50
  • меня больше интересует первая ошибка : No connection could be made because the target machine actively refused it.
    RFT
    25 марта 2010 г. 8:33
  • Давайте снова смотреть.

    Вот что говорит официальный источник про это:

    No connection could be made because the target machine actively refused it. - This may be because the incorrect port was specified in the web publishing rule or because the service on the published server is not started.

    Источник

    У вас там ничего не висит?  Судя по сообщению, ваше правило публикации не устраивает TMG

    25 марта 2010 г. 10:38
    Модератор
  • Правило публикации системное.Я пробовал и вручную созать.Не помогает.


    RFT
    25 марта 2010 г. 13:26
  • На сервере ничего нет больше?
    26 марта 2010 г. 13:00
    Модератор
  • обсолютно ничего!


    RFT
    26 марта 2010 г. 15:47
  • C вчерашнего дня копаюсь.... эффектов "zero".Все время на клиентах ошибка 800.


    RFT
    27 марта 2010 г. 12:10
  • Добрый день,

    вот что говорят про 800-ую ошибку.

    Опишите подробнее топологию сети, интерес представляет наличие активного сетевого оборудования. Есть ли у вас таковое?

    1 апреля 2010 г. 11:57
    Модератор
  • Про выше написанную ссылку уже читал.В сети нет роутеров Cisco.Топология сети Интернет---ForeFront TMG---Server FARM(без DMZ).Все эти дни что только не перепробовал.Пришел к выводу что ошибка самой системы.Завтра буду переустанавливать сервер.Думаю что это решит проблему.

    Больше всего меня убивает  "Неудачная попытка соединения"


    RFT

    6 апреля 2010 г. 15:43
  • Поставьте его на не r2 а на обычный 2008 SP2.

    У меня чудеса вроде отключающейся сетевой карты после перезагрузки или десятиминутного висяка после перезагрузки моментально закончились как только TMG поставили на 2008 SP2.

    PS возможно совпадение но на двух серверах сразу... как то не верится.


    blog.wadmin.ru
    7 апреля 2010 г. 20:02
  • Microsoft жжет просто.....


    RFT
    8 апреля 2010 г. 6:10
  • Господа, снял конфиг.Форматнул сервер на Windows Server 2008 R2, установил Forefront TMG 2010, слил конфиг обратно и все заработало)Вот и конец непонятной проблемы)Всем спасибо)Тема закрыта.


    RFT
    14 апреля 2010 г. 15:48
  • Отклоненное соединение SERVER002 12.03.2010 20:45:50
    Тип журнала: Служба межсетевого экрана
    Состояние: Это действие не может быть выполнено, поскольку не была выполнена проверка подлинности сеанса.
    Правило: Заблокированные веб-назначения
    Источник: Внутренняя (192.168.1.111:51238)
    Назначение: Внешняя (216.239.59.104:80)
    Протокол: HTTP

    Снова начала ошибка появляться...... Не была пройдена проверка подлинности сеанса.

    Заметил одну интересную вещь в таблице маршрутзации.

    Адрес ТМГ сервера 192.168.1.1

    После подключения ВПН клиент получает адрес допустим 192.168.1.98

    ВПН RAS интерфейс получает адрес 192.168.1.94

    В журнале смотрю что клиенты вместо того чтоб обращаться на 192.168.1.1 чтоб проерить подлинность сеанса, начинают обращаться на 192.168.1.98 то есть на айпи ВПН клиента.С чего бы это так?Маршруты не трогал, все автоматом.


    RFT
  • Покажите маршруты с клиентов.
    Модератор
  • Маршруты локального клиента:

    Активные маршруты:

    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика

              0.0.0.0          0.0.0.0      192.168.1.1     192.168.1.61     20

            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306

            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306

      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306

          192.168.1.0    255.255.255.0         On-link      192.168.1.61    276

         192.168.1.61  255.255.255.255         On-link      192.168.1.61    276

        192.168.1.255  255.255.255.255         On-link      192.168.1.61    276

            224.0.0.0        240.0.0.0         On-link         127.0.0.1    306

            224.0.0.0        240.0.0.0         On-link      192.168.1.61    276

      255.255.255.255  255.255.255.255         On-link         127.0.0.1    306

      255.255.255.255  255.255.255.255         On-link      192.168.1.61    276

     

  • Проблема решилась путем прописывания в групповых политиках настроек прокси сервера.Все таки непонятно почему автоматическое обнаружение в DHCP давало такие симптомы.
    RFT
    19 июля 2010 г. 20:43