none
Не работает StS IPSec tunnel mode настроенный через TMG RRS feed

  • Вопрос

  • Коллеги, доброго времени суток!

    Столкнулся с проблемой неработающего туннеля, а точнее работающего некорректно.

    Схема примерно следующая: 

    Moscow -> TMG1 -> Cisco Router <- TMG2 -< Izrael

    Теперь немного поподробнее.

    В Moscow есть несколько машинок, DC1, а также TMG1 (в домене).

    В Izrael несколько машинок и TMG2 не в домене. Все машины виртуальные на Hyper-V кластере, но TMG1 и TMG2 на разных нодах кластера.

    На обоих TMG по 2 интерфейса (внутренний и внешний), внешние адреса приходят в одну и ту же нашу циску от провайдера.

    Туннель настроен полностью соответствуя работающему конфигу из продакшен среды (проблема в тестовой среде).

    TMG1:

    external ip: 83.69.199.xx

    internal ip: 192.168.200.xx/24

    TMG2:

    external ip:  178.238.122.xx

    internal ip: 192.168.201.xx/24

    Теперь по конфигурации туннелей. На TMG1:

    ---------------------

    addresses: 178.238.122.xx, 192.168.201.xx-192.168.201.yy

    Remote VPN Gateway: 178.238.122.xx

    Local VPN Gateway: 83.69.199.xx

    IPSec Settings Phase1: 3DES, SHA1, Group2 (1024), 28800sec

    IPSec Settings Phase1: 3DES, SHA1, 3600sec, Group2 (1024)

    Authentication: Use pre-shared key (password)

    Access networks: External

    Address Assignment - Static pool: 172.16.30.1 - 172.16.30.254

    Authentication: MS-CHAP2

    ---------------------

    Теперь конфиг на TMG2:

    ---------------------

    addresses: 83.69.199.xx, 192.168.200.xx-192.168.201.yy

    Remote VPN Gateway: 83.69.199.xx

    Local VPN Gateway: 178.238.122.xx

    IPSec Settings Phase1: 3DES, SHA1, Group2 (1024), 28800sec

    IPSec Settings Phase1: 3DES, SHA1, 3600sec, Group2 (1024)

    Authentication: Use pre-shared key (password)

    Access networks: External

    Address Assignment - Static pool: 172.16.31.1 - 172.16.31.254

    Authentication: MS-CHAP2

    ---------------------

    В Network Rules есть правила Route from Izrael to Internal (TMG1) и Route from Moscow to Internal (TMG2).

    Никаких дополнительных сетей на TMG нет. TMG являются шлюзами по умолчанию в своих сетях (клиенты SecureNat).

    В Firewall Rules создал правило разрешающее весь исходящий трафик между Moscow и Izrael на обоих TMG (сейчас ради теста разрешил вообще весь трафик между всеми сетями, т.е. Internal, Localhost, External, Moscow, Izrael)

    Теперь о самой проблеме. Машины внутри московской сети могут пинговать друг друга, в том числе и свой шлюз TMG1, такая же ситуация и в израильской сети. Также TMG1 может пинговать машины из израильской сети, а TMG2 пингует машины из Москвы. Т.е. мы наблюдаем следующий путь прохождения трафика:

    С клиентской машины пакет попадает на TMG1, далее на нашу циску, а потом обратно в тот же кластер, но на другую вирт. машину TMG2. 

    А вот пинг между машинами из московской сети и израильскими не работает (впрочем, как и все остальные сетевые сервисы). 

    Теперь немного экспериментов: я запускаю пинг с машины izrael_client на машину moscow_client, на TMG2 в оснастке Logs and Reports в качестве Client_IP указываю адрес izrael_client и вижу, что трафик разрешен, никаких сообщений об ошибках. В это же время я указываю на TMG1 в качестве Client_IP адрес izrael_client - я не вижу никаких запросов (ни о блокировках, ни о разрешенном трафике). В обратную сторону точно такая же ситуация.

    Из клиентской машины пакет летит на TMG1, далее должен лететь на циску, но где-то теряется (может и на циске, а может просто ТМГ пишет, что трафик разрешен, но сам блокирует его).

    В итоге я получаю работающую связку Localhost to VPN, а вот Internal to VPN не работает.

    Буду рад любой помощи!

    P.S. Завтра, возможно, соберу трафик на TMG1, когда буду пинговать с izrael_client машину moscow_client, чтобы понять, доходит ли в теории трафик с TMG2 на TMG1.


    Regards, Ivan Starunkin

    31 октября 2013 г. 12:42