none
L2TP VPN Site to Site RRS feed

  • Общие обсуждения

  • Уважаемые коллеги решил с вами поделиться опытом в преодолении проблемы с которой я столкнулся. Если говорить коротко то VPN туннель успешно поднимался однако пакеты между сетями не ходили, можно были лишь с самого TMG который был в инициатором подключения пингонуть подсеть которая находилась на другом конце туннеля.

    Итак имеем главный офис:

    Подсеть LAN 172.16.0.0/16

    Статичный IP адрес выданный провайдером.

    Филиал:

    Подсеть LAN 192.16.36.0/24

    Динамический IP

    Главный офис будет в пассивной роли будет принимать подключение из филиала, а филиал будет выполнять активную роль и инициализировать подключение к главному офису.

    Порядок действий представлен ниже:

    Пассивная сторона

    1.На обоих TMG серверах установить обновление KB 980674 !!!

    2.На пассивной стороне в моем случае это главный офис где TMG находится в домене создаем в AD пользователя VPN1

    3.Заходим в свойства пользователя и вкладка Deal-in ставим точку Network Access Permision-Allow Access.

    4.Переходим на TMG у меня уже настроен доступ для VPN пользователей по PPTP адресация раздается по DHCP, в TMG вкладка Remoute Access Policy, справа в задачах щелкаем на вкладку Select Authentication Methods Ставим галку Allow Custom IP sec policy for L2TP connection и вводим ключ к примеру !QAZ1qaz жмем ок.

    5.Нажимаем на Create VPN Site to Site connection

    6.Имя соединения такое же как имя пользователя которого создали в AD то есть VPN1

    7. Выбираем Lauer Two Tunneling Protocol(L2TP) over IPsec далее ок.

    8. Так как это пассивный конец и он не будет инициализировать соединение то в Remoute Site VPN server можно ввести любое значение я введу вымышленное VPN2.domen.ru.

    9. Снимаем галку так как это пассивный конец туннеля.

    10. Выбираем Pre-shared key authentication и вводим ранее введенный ключ который мы ввели на этапе 4: !QAZ1qaz

    11. Добавляем диапазон удаленной подсети у меня она 192.168.36.0/24 значит диапазон 192.168.36.0-192.168.36.255

    12. Балансировки у нас нет галочку убираем.

    13. По умолчанию

    14. Выбираем все протоколы

    15.Готово!

    Активная сторона (Филиал)

    1.Установить обновление KB 980674!!!

    2.TMG вкладка Remoute Access Policy, справа в задачах шелкаем на владку Select Authentication Methods Ставим галку Allow Custom IP sec policy for L2TP connection и вводим ключ который вводили ранее на этапе 4  !QAZ1qaz жмем ок

    3.Нажимаем на Create VPN Site to Site connection

    4.Имя такое же как имя пользователя которого создали в AD тоесть VPN1

    5.Выбираем Lauer Two Tunneling Protocol(L2TP) over IPsec далее ок

    6. Вводим IP адрес который выдал нам провайдер для (TMG который в роли принимающей стороны IP адрес должен быть статичным!!!)

    7.Вводим имя пользователя VPN1, указываем домен, пароль и подтверждение пароля

    8.Выбираем Pre-shared key authentication и вводим ранее введенный ключ который мы ввели на этапе 2: !QAZ1qaz

    9.Добовляем диапазон удаленной подсети у меня она 172.16.0.0/16 значит диапазон 172.16.0.0-172.16.255.255

    10.Балансировки у нас нет галочку убираем

    11.По умолчанию

    12.Выбираем все протоколы

    Готово!

    Так же очень рекомендую прочитать статью которая мне помогла  в проблеме с прохождением пакетов между сетями, отдельное спасибо коллеге из Российского офиса Microsoft который предоставил ссылку пройдя по которой вы поймете о какой проблеме шла речь.

    http://www.b4z.co.uk/tag/isa-to-tmg-site-to-site-ipsec-vpn

    Надеюсь выше написанное поможет в решении острой проблемы многих системных администраторов при организации VPN.

    • Изменен тип Kudryavtsevvg 6 октября 2012 г. 15:53
    4 октября 2012 г. 10:57

Все ответы

  • ну а вопрос то в чем? тип поста стоит как вопрос, а отвечать на него не надо. надо было ставить тип как обсуждение )

    из всей этой простыни выяснилось что надо ставить хотфикс, а все остальное всем известные настройки из обычной документации
    единственное что непонятно: на какие версии tmg это надо ставить, всмысле sp, su и т.д. в описании хотфикса вообще стоит только rtm

    4 октября 2012 г. 11:44
    Отвечающий
  • ну а вопрос то в чем? тип поста стоит как вопрос, а отвечать на него не надо. надо было ставить тип как обсуждение )

    из всей этой простыни выяснилось что надо ставить хотфикс, а все остальное всем известные настройки из обычной документации
    единственное что непонятно: на какие версии tmg это надо ставить, всмысле sp, su и т.д. в описании хотфикса вообще стоит только rtm

    1. Да действительно это не вопрос, а обсуждение, поправил.

    2. Версия TMG естественно KB2555840(SP2).

    6 октября 2012 г. 15:57
  • 2. Версия TMG естественно KB2555840(SP2).
    Для тех кто найдет этот пост - объясню, KB980674 на который ссылается автор топика уже включен в SP1 для TMG2010
    19 июля 2013 г. 6:16