none
VPN+ISA2004+TMG RRS feed

  • Вопрос

  • Существовала такая схема подключения:

    1) Внешний клиент -> PPPT -> ISA2006, 2) Затем через первое->L2TP->ISA2004. У клиента сертификаты на внешние интерфейсы ИС.

    Затем ISA2006 заменилась на TMG, на который все настройки с исы перенеслись, выпустились сертификаты 1 в 1.

    Первое соединение к TMG работает, подключение через него к исе2004 перестало (789 ошибка).

    При этом подключение из дмз и локальной сети по впн к исе2004 работает.

    В чем может быть дело? Как починить VPN?

    17 августа 2012 г. 7:05

Все ответы

  • А что покажет мониторинг?

    Можете помониторить IP, который TMG выдает VPN-клиенту и попробовать поднять туннель.

    Какие пакеты отбиваются? Причина?

    21 августа 2012 г. 19:02
  • ip TMG выдает вида 10.10.25.*, натится.

    На скриншоте лог 2-х сессий, вроде ничего не отбивается, но похоже не все приходит:

    2.140 - машина в дмз, с которой прошло подключение.

    2.2 - адрес TMG, при попытке подключиться по VPN с внешнего клиента.

    P.S. Также попробовал подключиться по l2tp vpn с tmg(в качестве клиента) к исе2004. Результат такойже. Может что-то с ним не так?

    P.P.S. в дмз есть еще один сервер tmg(правда на виртуалке), с него подключиться удалось.

    22 августа 2012 г. 5:09
  • на tmg в настройках vpn client только pptp включен или pptp+l2tp?

    22 августа 2012 г. 10:57
    Отвечающий
  • на tmg только pptp, на isa2004 - l2tp

    при замене TMG на ISA2006 тунель работает:\

    23 августа 2012 г. 10:52
  • опиши еще раз топологию где какие сети, кому какие адреса выдаются и где кто кого натит
    23 августа 2012 г. 11:11
    Отвечающий
  • Проверьте настройки на примере статьи

    TMG and ISA VPN and additional networks NAT differences


    MCITP. Знание - не уменьшает нашей глупости.

    27 августа 2012 г. 12:00
  • ISA2006 (или TMG с импортированными настройками): [extip - 172.16.2.1]
    протокол: только PPTP
    выдаются ip: 10.12.25.0 - 10.12.25.5
    пользователи, принадлеащие сети VPN Clients натятся.

    //между исами есть роутер 172.16.1 <->172.16.2

    ISA2004 [172.16.1.2-intip]
    протокол: только L2TP
    выдаются ip: 172.16.1.50 - 172.16.1.55

    ISA2006+ISA2004 = работает все

    TMG+ISА2004 = не работает туннель, причем по отдельности к каждому серверу по VPN подключиться можно

    27 августа 2012 г. 13:17