none
ISA 2004: Не работает Site-to-Site VPN RRS feed

  • Вопрос

  • Нужно объединить сети двух офисов. Сам я не админ и делаю это впервые. Проблема в том, что ничего не работает - сервера даже не соединяются. Использовал совершенно разные сценарии и через PPTP и через IPSEC, по разным мануалом от MS и от просто гуру - такое ощущение, что я где-то недопонимаю.

    Что я имею:

    Сеть A: 1.1.1.0/24, сервер (DC) 1.1.1.1, внешний ip 100.100.100.100

    Сеть B: 2.2.2.0/24, сервер 2.2.2.2, внешний ip 200.200.200.200

    Что я делаю:

    1. На сервере A создаю Remote Site Network с именем Remote B (ipsec), где указываю в качестве Remote - 200.200.200.200, а local server 100.100.100.100, делаю простой ключ ipsec 123.

    2. В свойствах VPN-сервера разрешаю доступ из сети Remote B и авторизацию по ключу ipsec 123.

    3. Открываю в файволе весь трафик между All Protected Network

    4. Создаю сеть Remote B, прописываю удалённый диапазон 2.2.2.0/24 и ставлю режим Route из Internal в Remote B.

    С другой стороны всё делаю зеркально-аналогично.

    В результате:

    По монитору пакетов сервера даже не пытаются соединяться между собой.

    На сервере A в журнале появляются исчерпывающие ошибки: "The local tunnel endpoint of VPN site-to-site network Remote B is incorrect. Server XXX cannot connect to the remote site using the 100.100.100.100 local tunnel endpoint."

    На сервере B никаких ошибок нет, но и действий никаких не происходит. Единственное различие в конфигурации серверов как я говорил, это то, что сервер A является DC. Мне кажется, в этом и есть причина моих бед, но куда копать я не знаю.

    26 ноября 2006 г. 15:13

Все ответы

  • На сервере ISA - А:

    1) Открой контейнер "Network Configuration", находящийся под нужным сервером или массивом в дереве консоли.

    2) Щелкни на ссылке "Configure A Local Virtual Private Network".

    3) Щелкни "Next"

    4) Если появится запрос чтобы запустить службу "Windows Routing and Remote Acces" жми "Yes"

    5) Дальше следуй инструкциям на экране

    На сервере ISA - B:

    1) Открой контейнер "Network Configuration", находящийся под нужным сервером или массивом в дереве консоли.

    2) Щелкни на ссылке "Configure A Remote Virtual Private Network".

    3) Щелкни "Next"

    4) Если появится запрос чтобы запустить службу  "Windows Routing and Remote Acces" жми "Yes"

    5) Дальше следуй инструкциям на экране. 

     

    26 ноября 2006 г. 20:53
  • Вижу проблему в пункте 2. В свойствах VPN-сервера нужно разрешить доступ не из сети Remote B, а из сети External (подключение идёт из этой сети).

    И непонятен пункт 3. Что было сделано? Нужно создать два правила доступа: первое, разрешающее весь исходящий траффик из сети Internal в сеть Remote B, второе - из сети Remote B, разрешающее весь исходящий траффик в сеть Internal.

    28 ноября 2006 г. 21:33
  •  Kant - MCP написано:

    На сервере ISA - А:

    1) Открой контейнер "Network Configuration", находящийся под нужным сервером или массивом в дереве консоли.

    2) Щелкни на ссылке "Configure A Local Virtual Private Network".

    3) Щелкни "Next"

    4) Если появится запрос чтобы запустить службу "Windows Routing and Remote Acces" жми "Yes"

    5) Дальше следуй инструкциям на экране

    На сервере ISA - B:

    1) Открой контейнер "Network Configuration", находящийся под нужным сервером или массивом в дереве консоли.

    2) Щелкни на ссылке "Configure A Remote Virtual Private Network".

    3) Щелкни "Next"

    4) Если появится запрос чтобы запустить службу  "Windows Routing and Remote Acces" жми "Yes"

    5) Дальше следуй инструкциям на экране. 

     

    Это относится к ISA2000, а вопрос по ISA 2004.

    28 ноября 2006 г. 21:35
  • Кроме правил в Firewall Policy для сетей, необходимо еще создать Network Rules правило, там исходяшая - сеть локальная, сеть назначения - удаленная сеть и в Network Relationship указать Route. Это необходимо сделать на двух серверах.
    6 декабря 2006 г. 13:02