none
L2TP на ISA2006 через циску пикс 506е валится на ошибках... RRS feed

  • Вопрос

  •  

    Ситуация: интернет-циска пикс 506е-иса 2006 (прописанная в домене)-сеть компании

    По шиндлеру для 2004 исы настроил L2TP, стал проверять - вылет по таймауту (на циске открыты порты UDP 4500, 1701, 500; и 50 ip протокол). поставил между циской и исой хаб и воткнул тестовую станцию между... конекчусь - вылет с сообщением, что что-то закрыто. В логах ИСЫ при этом болтаются записи:

     

    UDP 172.17.0.11:4500 78.107.253.150:5314 172.17.0.11 Локальный компьютер Внешняя Denied 0x80070008 - Нераспознанные IP-данные

    UDP 78.107.253.150:5311 10.101.1.2:4500 78.107.253.150 Внешняя Локальный компьютер Terminate 0x80074e20 IPSec_NAT-T IPsec NAT-T-сервер 

     

    записи разные, но при этом ничего в конфигурации не менял (поставил конектиться, отошел на 15 минут ну и попыток прошлооколо 10)

    это для случая "с наружи"

     

    и

     

    UDP 172.17.0.50:1701 10.101.1.2:1701 172.17.0.50 Внешняя Локальный компьютер Terminate 0x80074e20 L2TP L2TP-сервер

    UDP 172.17.0.50:500 172.17.0.18:500 172.17.0.50 Внешняя Локальный компьютер Terminate 0x80074e20 [System] Разрешить трафик от VPN-клиента к серверу ISA Server IKE-клиент

    Для случая между циской и исой.

     

    При этом PPTP работает замечательно!

     

    Заранее спасибо!

    3 декабря 2007 г. 20:18

Все ответы

  • Из вашего описания непонятно как должно работать: где клиент, где VPN сервер? Опишите подробнее схему работы.

     

    4 декабря 2007 г. 10:50
    Модератор
  •  

    внешний адрес на циске 213.33.xx1.yy1 транслируется на внешний адрес иса сервера 172.17.0.11, внутреняя сеть в диапазоне 10.101.xx2.yy2.

    Было 2 способа проверки связи: 1) через интернет, свозь циску подключался к впн серверу на исе. 2) через транзитную подсеть проверить правильность настройки впн на исе.

    1)

    VPN-Клиент подключался  через интернет соединение отваливалось по таймауту с ошибкой 678. В логе получил вот эти строчки:

    UDP 172.17.0.11:4500 78.107.253.150:5314 172.17.0.11 Локальный компьютер Внешняя Denied 0x80070008 - Нераспознанные IP-данные

    UDP 78.107.253.150:5311 10.101.1.2:4500 78.107.253.150 Внешняя Локальный компьютер Terminate 0x80074e20 IPSec_NAT-T IPsec NAT-T-сервер

    2)

    тогда я решил попробовать подключиться в обход циски. из транзитной сети, чтоб исключить неверную конфигурацию циски.

    Прописал клиенту адрес 172.17.0.50. В VPN соединении клиента указал адрес VPN сервера 172.17.0.11. Получил ошибку в логах, при этом клиент вылетал на ошибке почти мнгновенно с сообщением, что не видит сервера:
    UDP 172.17.0.50:1701 10.101.1.2:1701 172.17.0.50 Внешняя Локальный компьютер Terminate 0x80074e20 L2TP L2TP-сервер

    UDP 172.17.0.50:500 172.17.0.18:500 172.17.0.50 Внешняя Локальный компьютер Terminate 0x80074e20 [System] Разрешить трафик от VPN-клиента к серверу ISA Server IKE-клиент

     

    ...Надеюсь смог объяснить?

    4 декабря 2007 г. 12:07
  • Подход правильный: надо сначала разобраться с ISA, а потом уже с циской.

     

    Поэтому по п.2  Очевидно, что у вас неправильно настроен VPN на ISA. В принципе в консоле на закладке VPN указаны шаги - все настраивается прозрачно и просто. Возможно просто не включен протокол L2TP.

     

    По пункту 1. Так как на циске работает NAT, то вам необходимо на ней опубликовать свой VPN сервер. Но это, как говорится, другая история

    4 декабря 2007 г. 13:50
    Модератор
  •  

    Включается галкой в окне VPN-clients properties на вкладке протоколов, галки на против PPTP и L2TP (сейчас стоят обе галки) и ещё поствил галку в окне свойств виртуальных частных сетей во вкладке проверки подлинности поставил галку на против EAP с использованием смарт-карты или сертификата. Правильно?

    ...при этих настройках и проводил тестирование...

     

    Ошибка 651 (модем или другое устройство) сообщает об ошибке...

    Эта ошибка выскакивает при подключении в из транзитной подсети. ( сразу не написал, т.к. был не совсем на месте).

    4 декабря 2007 г. 14:08
  • Выполните команду netstat -na на ISA. Такие строки есть?

     

    UDP    0.0.0.0:445            *:*
    UDP    0.0.0.0:500            *:*
    UDP    0.0.0.0:1701           *:*

    UDP    0.0.0.0:4500           *:*

     

    Если есть, то сервер готов принимать подключения L2TP.

     

    Для отладки можно отказаться от сертификатов и настроить Preshared Key и на ISA и на клиенте.

    На клиенте проверьте, что у вас L2TP позволено.

     

    Отладка http://www.microsoft.com/technet/isa/2004/plan/troubleshooting-vpn.mspx

     

    Настройка сертификатов http://support.microsoft.com/kb/555281

     

    4 декабря 2007 г. 14:50
    Модератор
  • 1)есть эти строчки

    2)уже пробовал, снимал галку с EAP авторизации, прописывал ключ... но результат тот-же...

    3)если "позволение" делается через принудительное выставление протокола L2TP - было сделано. или это не то?

    4)в отладке поискал 651 ошибку (модем (или другое устройство)сообщает об ошибке) не нашел... просмотрел поверхностно - тож не нашел ответов... завтра внимательно почитаю.

    4 декабря 2007 г. 20:42
  • Если вас установлен SP2 на Windows 2003, то отключите фичи SNP http://www.itcommunity.ru/blogs/sie/archive/2007/10/10/2358.aspx

     

    5 декабря 2007 г. 4:02
    Модератор
  •  

    Спасибо за указание! теперь сам L2TP заработал! Осталось только разобраться, как его пропустить через 506e пикс который весь траффик пускает по NATу. На сколько мне известно эта проблема решаема, но у меня она пока не разрешилась...Sad Можете подсказать куда посмотреть?
    8 декабря 2007 г. 17:10
  •  Denis.Pimenov написано:

     

    Спасибо за указание! теперь сам L2TP заработал! Осталось только разобраться, как его пропустить через 506e пикс который весь траффик пускает по NATу. На сколько мне известно эта проблема решаема, но у меня она пока не разрешилась... Можете подсказать куда посмотреть?

     

    А напишите, как отключили SNP, делал всё по статье, так L2TP и не заработал.

    Win2003 SP2 и ISA 2006 RUS

    10 декабря 2007 г. 9:34
  • первым делом обновил драйвер (он у меня отставал на пару месяцев). далее задисаблил два параметра в реестре. после чего соединение заработало.

    10 декабря 2007 г. 10:13
  •  

    Вот с новыми драйверами засада судя по всему, внешняя сетевуха 3Com 3C980C-TXM на которую дрова только 28 Nov 2000 http://www.3com.com/products/en_US/result.jsp?selected=5&sort=effdt&sku=3C980C-TXM&order=desc

    а внутреняя реалтек 8139, на которую драйвера обновляют до сих пор, хотя модели уже 100 лет. Сетевуха привязана маком, поменять проблема.

    10 декабря 2007 г. 11:12
  • К сожалению и у меня не получилось ничего найти под эту сетевуху. Но... У меня была подобного рода проблема с серверами, когда дата выпуска драйвера заканчивалась 2004 годом... Прогнал винапдейт. Он нашел драйвер для моей сетевухи. После переустановки его, сетевуха изменила своё название и... для неё были найдены драйвера за 2007 год. Попробуйте аналогичный путь.

    10 декабря 2007 г. 13:12
  •  

    Пробовал, Апдейт прогонял, но кроме Эксплоера 7 ничего не предложил Sad
    10 декабря 2007 г. 14:39
  •  sie написано:

    Если вас установлен SP2 на Windows 2003, то отключите фичи SNP http://www.itcommunity.ru/blogs/sie/archive/2007/10/10/2358.aspx

     

     

    В первую очередь я задисабил два параметра в реестре, не помогло, т.к. новых драйверов на 3сом я не нашёл, сменил на интел ПРО 100+, дрова тоже только 2006 года, нашёл какую то реалтек 3189, дрова на неё есть свежие 12.7.07,такая же смотрит во внутрь, не помогло.

    далил из реестра записи вообще, не помогло.

    изнутри подсоединяется на ура, с внешнего интерфейса не хочет, пишет что сервер не отвечает...

    11 декабря 2007 г. 12:30
  • Можете выложить сюда настройку ВПН соединения?

    13 декабря 2007 г. 6:06