none
ISA, RRAS отрубает второе соединение VPN (PPTP) RRS feed

  • Вопрос

  •  

    Значится так.

    Сервер: Win2k3 RUS SP2, R2. SPN фичи убраны. ISA 2006 RU

    ISA стоит за DFL-210 (он SATит всё на ифейс ИСЫ), на DFL- внешний ип.

    Сервер RRAS отдельно не настраивался. Его настраивала иса когда я настроил впн подключение клиентов из вне.

    Адреса выдаются из внутреннего дхцп, т.е. ифейс Внутренний (ифес для впн подключений), получает такие же адреса что и localnet.

    Вот ipconfig /all с машины

     

    C:\>ipconfig /all

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : srv04
       Основной DNS-суффикс  . . . . . . : PP.local
       Тип узла. . . . . . . . . . . . . : неизвестный
       IP-маршрутизация включена . . . . : да
       WINS-прокси включен . . . . . . . : да
       Порядок просмотра суффиксов DNS . : PP.local

    Интерфейс RAS-сервера - PPP адаптер:

       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
       Физический адрес. . . . . . . . . : 00-53-45-00-00-00
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 192.168.0.49
       Маска подсети . . . . . . . . . . : 255.255.255.255
       Основной шлюз . . . . . . . . . . :

    localnet - Ethernet адаптер:

       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
       Физический адрес. . . . . . . . . : 00-13-D4-FA-40-B9
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 192.168.0.74
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . :
       DNS-серверы . . . . . . . . . . . : 192.168.0.18
                                           192.168.0.80

    comd01 - Ethernet адаптер:

       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet #2
       Физический адрес. . . . . . . . . : 00-13-D4-FA-40-B8
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 10.10.10.3
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . : 10.10.10.4
       DNS-серверы . . . . . . . . . . . : 215.101.18.102
       NetBIOS через TCP/IP. . . . . . . : отключен

     

    ws01 - Ethernet адаптер:

       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : 3Com 3C996B Gigabit Server NIC
       Физический адрес. . . . . . . . . : 00-04-76-EB-83-FC
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 10.10.11.5
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . :
       NetBIOS через TCP/IP. . . . . . . : отключен

     

    Ну дык вот проблема.

    Подключается 1-ый впн пользователь. Все замечательно, получает адрес, проходит авторизацию, работает.

    Подключается 2-ый впн пользователь. Все замечательно, получает адрес, проходит авторизацию, работает, но у первого пользователяч впн сессия не прерывается, но зато перестает существовать всякая активность в туннель.

    т.е. виснет, передача данных встает колом. Пока не переподключишься, переподключаешься вышибает первого, и т.д. и т.п.

     

    Ограничений нет по подключениям ИСА, ну вернее стоит 100.

    Пробовал:

    Использовать выдавать адреса из пула ИСА, прописывал правила для DHCP (запроса и ответа), использвал DHCP-ретранслятора в RRAS - не помогло.

     

    На 1-м подключившемся клиенте:

     

    111111 - PPP адаптер:

       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
       Физический адрес. . . . . . . . . : 00-53-45-00-00-00
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 192.168.0.47
       Маска подсети . . . . . . . . . . : 255.255.255.255
       Основной шлюз . . . . . . . . . . :
       DNS-серверы . . . . . . . . . . . : 192.168.0.18
                                           192.168.0.80

    На 2-м подключившемся клиенте:


    Адаптер PPP 2222:

       DNS-суффикс подключения . . . . . :
       Описание. . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
       Физический адрес. . . . . . . . . :
       DHCP включен. . . . . . . . . . . : Нет
       Автонастройка включена. . . . . . : Да
       IPv4-адрес. . . . . . . . . . . . : 192.168.0.86(Основной)
       Маска подсети . . . . . . . . . . : 255.255.255.255
       Основной шлюз. . . . . . . . . :
       DNS-серверы. . . . . . . . . . . : 192.168.0.18
                                           192.168.0.80
       NetBios через TCP/IP. . . . . . . . : Включен



    И получается, что в таблице arp на сервер ИСЫ нет адресов впн-клиентов (после пинга тоже), так и должно быть ? На клиенте таже история.

     

    А и еще, когда клиент отключается, нормально отключается, повторное подключение возможно не сразу, приходится ждать какое-то время. Его нигде не видно ни в ИСЕ ни в РРАСе, что за таймаутыи как от ниъ избавится ?


    Помогите люди добрые куды копать ???
    19 января 2009 г. 10:51

Ответы

  • Могу сказать что, вразумительного ответа от д-линка я так и не дождался. Ну вот после удачного длительного обката,
    скажу только, что сделал сам pptp-сервер на DFL-210, с динам. адресами для впн-клиентов из моей же сети, плюсом прикрутил Radius (IAS на сервере, где стоит сама ISA), благо есть клиент его на DFL, и спокойно авторизую подключившихся своим доменом. В принципе меня устроило. Хотя конечно скорее всего виновать неправильное натирование DFL.

    МельниковАА
    3 февраля 2009 г. 6:21

Все ответы

  •  Александр Мельников написано:

     

    Значится так.

    Сервер: Win2k3 RUS SP2, R2. SPN фичи убраны. ISA 2006 RU

    ISA стоит за DFL-210 (он SATит всё на ифейс ИСЫ), на DFL- внешний ип.

    Сервер RRAS отдельно не настраивался. Его настраивала иса когда я настроил впн подключение клиентов из вне.

    Адреса выдаются из внутреннего дхцп, т.е. ифейс Внутренний (ифес для впн подключений), получает такие же адреса что и localnet.

    Помогите люди добрые куды копать ???


    1) Что в логах сервера и ISA ?
    2) Что в логах клиента ?
    3) Есть ли резирвация и каков срок аренды DHCP сервера ?
    4) Что говорит network monitor ?
    19 января 2009 г. 11:15
  • Еслиб хоть одна ошибочка...

    1. В логах сервера и сы все хорошо, подключился коиент такой та, применился такой-то уровень шифрации, отключился аналогично хорошо.
    2. Ошибок на клиенте тоже нет, сессия ведь не разрывается.
    3. Резервации канешна на ДХЦП есть но они с выдаваемыми не пересекаются проверял. Срок аренды 1 сутки.

    4. А что он должен говорить и на что там смотреть. дхцп шные запросы пролетают туда обратно...подскажите что какретно смотреть буду смотреть тщательней..
    19 января 2009 г. 11:29
  •  Александр Мельников написано:
    Еслиб хоть одна ошибочка...

    1. В логах сервера и сы все хорошо, подключился коиент такой та, применился такой-то уровень шифрации, отключился аналогично хорошо.
    2. Ошибок на клиенте тоже нет, сессия ведь не разрывается.
    3. Резервации канешна на ДХЦП есть но они с выдаваемыми не пересекаются проверял. Срок аренды 1 сутки.

    4. А что он должен говорить и на что там смотреть. дхцп шные запросы пролетают туда обратно...подскажите что какретно смотреть буду смотреть тщательней..


    Нет возможности исключить на время DFL из цепочки ?


    19 января 2009 г. 11:33
  •  

    а ты уверен что это иса виновата?
    19 января 2009 г. 11:34
    Отвечающий

  • Об этом подумал во-вторую очередь. Нет возможности такой нет. Пробовал SATить all_services таже пестня. Я конечно понимаю что проблема может быть и не в майкрософте, но надо быть уверенным. Я канешно могу погрешить на натинг дфл, т.к. был момент когда я не смог windows messenger напрямую через него выпустить. Но есть такой момент что у меня окромя pptp и gre еще много чего сатится, и понтов не было. Как мне точно понять, что это не майкрософт ? Если анализировать пакеты снифером, то на что обращять внимание ?
    19 января 2009 г. 11:41
  •  

    я бы больше грешил на натинг, ибо не каждая реализация nat работает корректно. я например сталкивался что у провайдеров через nat нельзя было двум клиентам подключится к одному серверу, более того, я через нынешнего домашнего провайдера не могу поднять два впн на разые сервера. что у них стоит я не знаю, но через свои эксперименты знаю что винда и иса таким не грешат, циски тоже.
    19 января 2009 г. 12:34
    Отвечающий
  •  Александр Мельников написано:

    Ну дык вот проблема.

    Подключается 1-ый впн пользователь. Все замечательно, получает адрес, проходит авторизацию, работает.

    Подключается 2-ый впн пользователь. Все замечательно, получает адрес, проходит авторизацию, работает, но у первого пользователяч впн сессия не прерывается, но зато перестает существовать всякая активность в туннель.

    т.е. виснет, передача данных встает колом. Пока не переподключишься, переподключаешься вышибает первого, и т.д. и т.п.

    Стандартное поведение шлюза NAT, в котором есть ограниченная поддержка GRE, но нет полноценной поддержки PPTP (например, Linux c iptables но без модуля ip_nat_pptp, FreeBSD с natd).

    В результате поддерживается только один туннель GRE, т.е. одно одновременное подключение по PPTP.

    PS Вашу железку тоже запишу в свой черный список подобных шлюзов, если решение не будет найдено.

     

    19 января 2009 г. 15:42

  • Обратился в D-Link пока нет ответа. А можете опубликовать свой список "черных" железок с некорректным Натингом ?


    20 января 2009 г. 3:46
  • Могу сказать что, вразумительного ответа от д-линка я так и не дождался. Ну вот после удачного длительного обката,
    скажу только, что сделал сам pptp-сервер на DFL-210, с динам. адресами для впн-клиентов из моей же сети, плюсом прикрутил Radius (IAS на сервере, где стоит сама ISA), благо есть клиент его на DFL, и спокойно авторизую подключившихся своим доменом. В принципе меня устроило. Хотя конечно скорее всего виновать неправильное натирование DFL.

    МельниковАА
    3 февраля 2009 г. 6:21