Коллеги, доброго времени суток!
Столкнулся с проблемой неработающего туннеля, а точнее работающего некорректно.
Схема примерно следующая:
Moscow -> TMG1 -> Cisco Router <- TMG2 -< Izrael
Теперь немного поподробнее.
В Moscow есть несколько машинок, DC1, а также TMG1 (в домене).
В Izrael несколько машинок и TMG2 не в домене. Все машины виртуальные на Hyper-V кластере, но TMG1 и TMG2 на разных нодах кластера.
На обоих TMG по 2 интерфейса (внутренний и внешний), внешние адреса приходят в одну и ту же нашу циску от провайдера.
Туннель настроен полностью соответствуя работающему конфигу из продакшен среды (проблема в тестовой среде).
TMG1:
external ip: 83.69.199.xx
internal ip: 192.168.200.xx/24
TMG2:
external ip: 178.238.122.xx
internal ip: 192.168.201.xx/24
Теперь по конфигурации туннелей. На TMG1:
---------------------
addresses: 178.238.122.xx, 192.168.201.xx-192.168.201.yy
Remote VPN Gateway: 178.238.122.xx
Local VPN Gateway: 83.69.199.xx
IPSec Settings Phase1: 3DES, SHA1, Group2 (1024), 28800sec
IPSec Settings Phase1: 3DES, SHA1, 3600sec, Group2 (1024)
Authentication: Use pre-shared key (password)
Access networks: External
Address Assignment - Static pool: 172.16.30.1 - 172.16.30.254
Authentication: MS-CHAP2
---------------------
Теперь конфиг на TMG2:
---------------------
addresses: 83.69.199.xx, 192.168.200.xx-192.168.201.yy
Remote VPN Gateway: 83.69.199.xx
Local VPN Gateway: 178.238.122.xx
IPSec Settings Phase1: 3DES, SHA1, Group2 (1024), 28800sec
IPSec Settings Phase1: 3DES, SHA1, 3600sec, Group2 (1024)
Authentication: Use pre-shared key (password)
Access networks: External
Address Assignment - Static pool: 172.16.31.1 - 172.16.31.254
Authentication: MS-CHAP2
---------------------
В Network Rules есть правила Route from Izrael to Internal (TMG1) и Route from Moscow to Internal (TMG2).
Никаких дополнительных сетей на TMG нет. TMG являются шлюзами по умолчанию в своих сетях (клиенты SecureNat).
В Firewall Rules создал правило разрешающее весь исходящий трафик между Moscow и Izrael на обоих TMG (сейчас ради теста разрешил вообще весь трафик между всеми сетями, т.е. Internal, Localhost, External, Moscow, Izrael)
Теперь о самой проблеме. Машины внутри московской сети могут пинговать друг друга, в том числе и свой шлюз TMG1, такая же ситуация и в израильской сети. Также TMG1 может пинговать машины из израильской сети, а TMG2
пингует машины из Москвы. Т.е. мы наблюдаем следующий путь прохождения трафика:
С клиентской машины пакет попадает на TMG1, далее на нашу циску, а потом обратно в тот же кластер, но на другую вирт. машину TMG2.
А вот пинг между машинами из московской сети и израильскими не работает (впрочем, как и все остальные сетевые сервисы).
Теперь немного экспериментов: я запускаю пинг с машины izrael_client на машину moscow_client, на TMG2 в оснастке Logs and Reports в качестве Client_IP указываю адрес izrael_client и вижу, что трафик разрешен, никаких сообщений
об ошибках. В это же время я указываю на TMG1 в качестве Client_IP адрес izrael_client - я не вижу никаких запросов (ни о блокировках, ни о разрешенном трафике). В обратную сторону точно такая же ситуация.
Из клиентской машины пакет летит на TMG1, далее должен лететь на циску, но где-то теряется (может и на циске, а может просто ТМГ пишет, что трафик разрешен, но сам блокирует его).
В итоге я получаю работающую связку Localhost to VPN, а вот Internal to VPN не работает.
Буду рад любой помощи!
P.S. Завтра, возможно, соберу трафик на TMG1, когда буду пинговать с izrael_client машину moscow_client, чтобы понять, доходит ли в теории трафик с TMG2 на TMG1.
Regards, Ivan Starunkin
