none
Не ходят пакеты в Site-to-Site VPN на ISA Server 2006 Std RRS feed

  • Вопрос

  • Есть главное здание и удаленный офис. В главном здании имеется MS ISA 2006 Standard (ОС: Windows Server 2003 Std) и контроллер домена на отдельной машине, в удаленном офисе - машина c MS ISA 2006 Standard (на данный момент сеть в удаленном здании - одноранговая, ОС сервера - Windows Server 2003). Сеть главного здания - 192.168.0.0/24, сеть удаленного офиса - 192.168.1.0/24. Из главного здания осуществляется выход в интернет через провайдерский VPN. Из удаленного офиса - доступ только во внутреннюю сеть провайдера. Внутренняя сеть провайдера - 10.14.х.х. Если воткнуть компьютер без исы в удаленный офис, компьютер пингуется (в исе запрещены пинги извне). Между двумя ИСАми создан Site-to-Site VPN-тоннель. Тоннель поднимается (по крайней мере, если в филиале щелкнуть в консоли Routing and Remote Access в ветке Interfaces по интерфейсу, который был создан на этапе создания vpn-соединения, соединение успешно устанавливается. Если такую операцию провести в главном здании - выдает ошибку). Пинги из одной подсети в другую не ходят, т.е. тоннель поднят, а соединения нет.

    Code Snippet

    Вывод ipconfig /all главного здания:


    Windows IP Configuration

    Host Name . . . . . . . . . . . . : 1-403-pdc
    Primary Dns Suffix . . . . . . . : ourdomain.ru
    Node Type . . . . . . . . . . . . : Unknown
    IP Routing Enabled. . . . . . . . : Yes
    WINS Proxy Enabled. . . . . . . . : Yes
    DNS Suffix Search List. . . . . . :
    ourdomain.ru
    someprovider.net

    PPP adapter RAS Server (Dial In) Interface:

    Connection-specific DNS Suffix . :
    Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
    Physical Address. . . . . . . . . : 00-53-45-00-00-00
    DHCP Enabled. . . . . . . . . . . : No
    IP Address. . . . . . . . . . . . : 192.168.0.71
    Subnet Mask . . . . . . . . . . . : 255.255.255.255
    Default Gateway . . . . . . . . . :

    Ethernet adapter Local Area Connection:

    Connection-specific DNS Suffix . :
    Description . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Conn
    ith I/O Acceleration
    Physical Address. . . . . . . . . : 00-15-17-0F-1E-1C
    DHCP Enabled. . . . . . . . . . . : No
    IP Address. . . . . . . . . . . . : 192.168.0.191
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
    Default Gateway . . . . . . . . . :
    DNS Servers . . . . . . . . . . . : 192.168.0.197

    Ethernet adapter Local Area Connection 2:

    Connection-specific DNS Suffix . : someprovider.net
    Description . . . . . . . . . . . : Intel(R) PRO/1000 EB Network Conn
    ith I/O Acceleration #2
    Physical Address. . . . . . . . . : 00-15-17-0F-1E-1D
    DHCP Enabled. . . . . . . . . . . : Yes
    Autoconfiguration Enabled . . . . : No
    IP Address. . . . . . . . . . . . : 10.14.96.133
    Subnet Mask . . . . . . . . . . . : 255.255.240.0
    Default Gateway . . . . . . . . . : 10.14.96.1
    DHCP Server . . . . . . . . . . . : 10.14.72.1
    DNS Servers . . . . . . . . . . . : 213.234.192.8
    85.21.192.3
    Lease Obtained. . . . . . . . . . : 24 ноября 2008 г. 10:45:02
    Lease Expires . . . . . . . . . . : 1 декабря 2008 г. 10:45:02

    PPP adapter Corbina VPN:

    Connection-specific DNS Suffix . :
    Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
    Physical Address. . . . . . . . . : 00-53-45-00-00-00
    DHCP Enabled. . . . . . . . . . . : No
    IP Address. . . . . . . . . . . . : 85.21.144.35
    Subnet Mask . . . . . . . . . . . : 255.255.255.255
    Default Gateway . . . . . . . . . :
    DNS Servers . . . . . . . . . . . : 195.14.50.1
    195.14.50.21


    Вывод IP-config -all c филиала:

    C:\Documents and Settings\Administrator>ipconfig -all

    Windows IP Configuration

    Host Name . . . . . . . . . . . . : 2-25-sr1
    Primary Dns Suffix . . . . . . . :
    Node Type . . . . . . . . . . . . : Unknown
    IP Routing Enabled. . . . . . . . : Yes
    WINS Proxy Enabled. . . . . . . . : Yes
    DNS Suffix Search List. . . . . . : someprovider.net

    PPP adapter RAS Server (Dial In) Interface:

    Connection-specific DNS Suffix . :
    Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
    Physical Address. . . . . . . . . : 00-53-45-00-00-00
    DHCP Enabled. . . . . . . . . . . : No
    IP Address. . . . . . . . . . . . : 192.168.1.39
    Subnet Mask . . . . . . . . . . . : 255.255.255.255
    Default Gateway . . . . . . . . . :

    Ethernet adapter Local Area Connection 2:

    Connection-specific DNS Suffix . :
    Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
    Physical Address. . . . . . . . . : 00-15-17-44-1A-7C
    DHCP Enabled. . . . . . . . . . . : No
    IP Address. . . . . . . . . . . . : 192.168.1.1
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
    Default Gateway . . . . . . . . . :
    DNS Servers . . . . . . . . . . . : 192.168.1.1

    Ethernet adapter Local Area Connection:

    Connection-specific DNS Suffix . : someprovider.net
    Description . . . . . . . . . . . : Intel(R) PRO/1000 PM Network Connection
    Physical Address. . . . . . . . . : 00-15-17-44-1A-7B
    DHCP Enabled. . . . . . . . . . . : Yes
    Autoconfiguration Enabled . . . . : No
    IP Address. . . . . . . . . . . . : 10.14.138.24
    Subnet Mask . . . . . . . . . . . : 255.255.248.0
    Default Gateway . . . . . . . . . : 10.14.136.1
    DHCP Server . . . . . . . . . . . : 10.14.72.21
    DNS Servers . . . . . . . . . . . : 213.234.192.8
    85.21.192.3
    Lease Obtained. . . . . . . . . . : 22 ноября 2008 г. 22:35:38
    Lease Expires . . . . . . . . . . : 29 ноября 2008 г. 22:35:38

    PPP adapter Surikova:

    Connection-specific DNS Suffix . :
    Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
    Physical Address. . . . . . . . . : 00-53-45-00-00-00
    DHCP Enabled. . . . . . . . . . . : No
    IP Address. . . . . . . . . . . . : 192.168.0.70
    Subnet Mask . . . . . . . . . . . : 255.255.255.255
    Default Gateway . . . . . . . . . :
    DNS Servers . . . . . . . . . . . : 192.168.0.197
    NetBIOS over Tcpip. . . . . . . . : Disabled



    Подскажите, пожалуйста, в чем может быть проблема?




    25 ноября 2008 г. 13:16

Ответы

  •  Lizard_tula написано:
     cognize@ написано:
    Каким образом утснавливали VPN/на базе какой документации ?


    На базе этой

    VPN создавался из ИСА.

    Пересоздавал вроде уже тоннель несколько раз. Последний раз, правда, внес изменения существенные в конфигурацию брэндмауэра главного здания (делаю все в первый раз, опыта нет, а физически порасспрашивать некого Попробую еще раз, конечно, выбора все равно нет. Но устойчивое ощущение, что где-то я чего-то не доделываю либо совершаю ошибку.


    Основная ошибка - это невнимательность.

    Прорабатывайте шаги точь в точь статье.

    Изучайте системные логи и логи ISA сервера.
    • Помечено в качестве ответа Lizard_tula 28 июля 2014 г. 12:06
    26 ноября 2008 г. 11:21

Все ответы

  • Каким образом утснавливали VPN/на базе какой документации ?
    25 ноября 2008 г. 13:37
  • VPN создавался средствами ISA Server или напрямую из консоли RRAS ?

     

    Если напрямую, то ISA об этом ничего не знает, соответствующие сети и правила не создаст.

     

    Попробуйте убить существующий VPN тоннель и пересоздать его средствами ISA Server. Все должно работать.

    25 ноября 2008 г. 13:39
  •  cognize@ написано:
    Каким образом утснавливали VPN/на базе какой документации ?


    На базе этой

    VPN создавался из ИСА.

    Пересоздавал вроде уже тоннель несколько раз. Последний раз, правда, внес изменения существенные в конфигурацию брэндмауэра главного здания (делаю все в первый раз, опыта нет, а физически порасспрашивать некого Sad Попробую еще раз, конечно, выбора все равно нет. Но устойчивое ощущение, что где-то я чего-то не доделываю либо совершаю ошибку.
    26 ноября 2008 г. 10:40
  •  Lizard_tula написано:
     cognize@ написано:
    Каким образом утснавливали VPN/на базе какой документации ?


    На базе этой

    VPN создавался из ИСА.

    Пересоздавал вроде уже тоннель несколько раз. Последний раз, правда, внес изменения существенные в конфигурацию брэндмауэра главного здания (делаю все в первый раз, опыта нет, а физически порасспрашивать некого Попробую еще раз, конечно, выбора все равно нет. Но устойчивое ощущение, что где-то я чего-то не доделываю либо совершаю ошибку.


    Основная ошибка - это невнимательность.

    Прорабатывайте шаги точь в точь статье.

    Изучайте системные логи и логи ISA сервера.
    • Помечено в качестве ответа Lizard_tula 28 июля 2014 г. 12:06
    26 ноября 2008 г. 11:21
  • Спасибо за помощь, туннель поднялся. Всплыла интересная проблема: при поднятом туннеле пакеты, которые должны уходить в интернет, идут в локальную сеть провайдера. Т.е. структура сети такова:

    Есть внутренний диапазон адресов провайдера (на 10.х.х.х - туда, собственно, и уходят пакеты при подключенном туннеле до филиала), есть PPTP соединение со статичным внешним адресом, через которое ходим в интернет, есть PPTP/IPSec VPN до удаленного филиала. Когда поднимаю соединение до удаленного филиала, падает интернет. VPN соединение до интернета никак в ИСЕ не прописано, создано средствами Windows Server 2003. Связано это с тем, что если прописать его на вкладке Specify Dial-Up Preferences, при падении соединении до провайдера Иса пишет ошибку, и соединение не восстанавливается почему-то. А так - оно делает 99 попыток с перерывом в 5 секунд, и только потом останавливает попытки подключения. Если тоннель до филиала опустить, снова все работает.

    Как вообще в таком случае правильнее настраивать это хозяйство? Слышал я, что Иса сама роутингом не занимается. Нужно в ОС настраивать роутинг (в консоли - route add), или еще где?
    10 декабря 2008 г. 8:52
  •  Lizard_tula написано:
    Спасибо за помощь, туннель поднялся. Всплыла интересная проблема: при поднятом туннеле пакеты, которые должны уходить в интернет, идут в локальную сеть провайдера. Т.е. структура сети такова:

    Есть внутренний диапазон адресов провайдера (на 10.х.х.х - туда, собственно, и уходят пакеты при подключенном туннеле до филиала), есть PPTP соединение со статичным внешним адресом, через которое ходим в интернет, есть PPTP/IPSec VPN до удаленного филиала. Когда поднимаю соединение до удаленного филиала, падает интернет. VPN соединение до интернета никак в ИСЕ не прописано, создано средствами Windows Server 2003. Связано это с тем, что если прописать его на вкладке Specify Dial-Up Preferences, при падении соединении до провайдера Иса пишет ошибку, и соединение не восстанавливается почему-то. А так - оно делает 99 попыток с перерывом в 5 секунд, и только потом останавливает попытки подключения. Если тоннель до филиала опустить, снова все работает.

    Как вообще в таком случае правильнее настраивать это хозяйство? Слышал я, что Иса сама роутингом не занимается. Нужно в ОС настраивать роутинг (в консоли - route add), или еще где?


    В Network Rules для Internal и VPN что стоит ? Nat или Routing ?
    10 декабря 2008 г. 9:03
  • На интернет - Nat, на филиал - Routing. Причем правило для Интернет из Internal в External идет. А External, я так понимаю, ISA считает внутреннюю сеть провайдера, так как по отношению к ISA она внешняя - VPN-то от провайдера в ISA никак не отражен.
    10 декабря 2008 г. 10:02
  • Попробовал прописать  маршрутизацию следующим образом: создал  bat-файл с содержимым вида:

    route -f
    route add 195.14.50.93 10.14.96.1
    route add 78.107.69.98 10.14.96.1
    route add 85.21.52.254 10.14.96.1
    route add 85.21.80.93 10.14.96.1
    route add 89.179.135.67 10.14.96.1
    route add 195.14.50.26 10.14.96.1
    route add 195.14.50.16 10.14.96.1
    route add 10.0.0.0 mask 255.0.0.0 10.14.96.1
    route add 85.21.79.0 mask 255.255.255.0 10.14.96.1
    route add 85.21.90.0 mask 255.255.255.0 10.14.96.1
    route add 85.21.72.80 mask 255.255.255.240 10.14.96.1
    route add 85.21.138.208 mask 255.255.255.240 10.14.96.1
    route add 83.102.146.96 mask 255.255.255.224 10.14.96.1
    route add 78.107.23.0 mask 255.255.255.0 10.14.96.1
    route add 78.107.23.0 mask 255.255.255.0 10.14.96.1

    При попытке запуска появляется просто мелькающая строка route -f

    Все маршруты - это диапазон внутренней сети провайдера.

    в Windows XP, в принципе, файл отрабатывается более адекватно. При поднятом тоннеле на удаленный сайт пакеты, предназначенные для инета, уходят в локалку провайдера, при опущенном - в интернет. Явно дело в маршрутизации, но как правильно ее настраивать в ISA?

    Пробовал создавать VPN-соединение в ISA как отдельную сеть, с взаимоотношениями NAT из  Internal в VPN, но от этого, в общем-то, ничего не меняется. Что я делаю не так?
    16 декабря 2008 г. 11:33