none
VPN site-to-site RRS feed

Ответы

  • специально издеваешься?
    сам же написал что у тебя на внутренней сетевухе настроена сетка 10.0.0.0 с маской 255.255.255.0 (для особо одаренных это диапазон 10.0.0.0 - 10.0.0.255), спрашивается какого мужского детородного органа в настройках internal у тебя вписано 10.0.0.0-10.255.255.255 (опять же для указанных ранее личностей это сетка 10.0.0.0 с маской 255.0.0.0). в масках разницу видишь? понимаешь что сеть 10./8 содержит в себе сетку 10.0.0/24 и 10.0.1/24 и поэтому иса тебе не даст вписать последнюю в удаленные сетки? где спрашивается в своей статье старик шиндер писал что надо делать такие еретические настройки?

    • Помечено в качестве ответа kilogentus 23 июня 2009 г. 9:34
    23 июня 2009 г. 8:39
    Отвечающий
  • теперь ты в бранче не так нетворки настроил
    internal должен содержать только 10,0,1,0-10,0,1,255 (если у тебя конечно такая сеть в филиале)
    в качестве удаленной (центральный офис) указываешь 10,0,0,0 - 10,0,0,255
    больше никаких сетей на 10. нигде определять не надо,
    • Помечено в качестве ответа kilogentus 25 июня 2009 г. 3:26
    24 июня 2009 г. 12:14
    Отвечающий

Все ответы

  • в каком месте это пишет и что ты пытаешься при этом сделать?

    22 июня 2009 г. 6:46
    Отвечающий
  • в каком месте это пишет и что ты пытаешься при этом сделать?


    Пишет это, когда я пытаюсь на СЕРВЕРЕ хранения настроек для головного офиса создать VPN подключение для филиала, когда  пытаюсь указать диапазон адресов удаленной сети...
    22 июня 2009 г. 6:50
  • и что ты там пытаешься указать?

    22 июня 2009 г. 6:53
    Отвечающий
  • и что ты там пытаешься указать?


    Я указываю вн. адреса удаленной сети филиала... подскажите ка вставить скриншот сюда-я приведу снимак)
    22 июня 2009 г. 6:57
  • а цифирьками написать религия не позволяет? зачем снимки то :)
    22 июня 2009 г. 7:05
    Отвечающий
  • а цифирьками написать религия не позволяет? зачем снимки то :)

    так я и так все написал:

    Имеетсться : Контороллер DC1 10,0,0,2, ISA2006 Main 10,0,0,1 -внутрений адрес и 192,168,1,72- внешний, в головном офисе, ISA2006 CSS 10,0,03 серврер хранения настроек в том же головном офисе. А также ISA2006 Barnch 10.0.1.1 в филиале и DC2 10.0.1.2 также в филиале.
    При попытке создать VPN тунель между двумя офисами на сервре хранения настроек ИСЫ выскакивает эта бяка...про какторую я писал выше????Все предварительные процедуры по созданию массивыа прошли успешно.
    22 июня 2009 г. 7:18
  • Если ругается на внутренний диапазон то Вы скорее всего Вы пытаетесь настроить раздачу адресов VPN клиентам не от DHCP а из пула внутренней сети, в таком случаи Вам нужно будет выделить для VPN клиентов диапазон и исключить его из внутренней сети к примеру

    Внутренняя 10.10.1.0 -10.10.1.200
    Пул адресов для VPN клиентов 10.10.1.201 -10.10.1.255

    Или ваша внутренняя сеть (10.10.1.0/24) определена на уровне массива, в политиках предприятия. В таком случаи вам нужно будет переопределить объект типа сеть. Убрать от туда вручную вписанный диапазон и выбрать (копка добаить сеть) вашу сеть.
    22 июня 2009 г. 7:21
  • что именно вписано во внутренней сети? какие контроллеры и ипшники на них никому не интересно, напиши какой конкретно диапазон вписан во внутренню и что конкретно пытаешься вписать в удаленную.

    >Пул адресов для VPN клиентов 10.10.1.201 -10.10.1.255
    не советую последний адрпес оставлять в пуле впн, броадкасту место в internal.
    22 июня 2009 г. 8:02
    Отвечающий
  • что именно вписано во внутренней сети? какие контроллеры и ипшники на них никому не интересно, напиши какой конкретно диапазон вписан во внутренню и что конкретно пытаешься вписать в удаленную.

    >Пул адресов для VPN клиентов 10.10.1.201 -10.10.1.255
    не советую последний адрпес оставлять в пуле впн, броадкасту место в internal.

    ((не ругайтесь...я не специально))

    я что то не пойму как связаны с собой внут.сеть 10,0,0,1-10,0,0,255 с удаленной 10,0,1,0-10,0,1,255, если я еще не создал соединение с филиалом...В сети головного офиса вообще нигде не указаны адреса типа 10,0,1,0-10,0,255 я только пытаюсь их указать при создании соединения с филиалом-как они могу перекрываться с чем то еще?

    пул стат. адресов назначен с 10,0,0,1 по 10,0,0,10, остальный с 10,0,0,11 по 10,0,0,254 назначаються DHCP.
    Офис филиала вообще еще никак не конфигурировался-только настройкой адресов для ИСЫ-10,0,1,1.
    22 июня 2009 г. 8:35
  • проверь внимательно содержимое networks в настройках, пул выделенный для впн, настройку интерфейсов и таблицу роутинга.
    22 июня 2009 г. 8:40
    Отвечающий
  • проверь внимательно содержимое networks в настройках, пул выделенный для впн, настройку интерфейсов и таблицу роутинга.

    в конфигурации -сети для ВПН указано, что нет назначеных адресов, а адреса указаны лишь для ВНУТР. сети...
    22 июня 2009 г. 8:47
  • Дурдом какой то. Давай по порядку.


    >Пул адресов для VPN клиентов 10.10.1.201 -10.10.1.255
    не советую последний адрпес оставлять в пуле впн, броадкасту место в internal.

    Вполне согласен - завтыкал.

    Какие объекты сетей и с какими диапазонами адресов, определены на проблемной ISA (на уровне массива и предприятия)?
    Что настроено в Свойства виртуальных сетей закладка Назначение адресов ?
    • Изменено artem_ye 22 июня 2009 г. 9:16
    22 июня 2009 г. 9:13
  • Дурдом какой то. Давай по порядку.


    >Пул адресов для VPN клиентов 10.10.1.201 -10.10.1.255
    не советую последний адрпес оставлять в пуле впн, броадкасту место в internal.

    Вполне согласен - завтыкал.

    Какие объекты сетей и с какими диапазонами адресов, определены на проблемной ISA (на уровне массива и предприятия)?
    Что настроено в Свойства виртуальных сетей закладка Назначение адресов ?

     В Свойства виртуальных сетей закладка Назначение адресов  указано DHCP внутреняя, сеть доступа ВНУТРЕНЯЯ
    пул стат. адресов назначен с 10,0,0,1 по 10,0,0,10, остальный с 10,0,0,11 по 10,0,0,254 назначаються DHCP.
    Сделал все как у Шиндера по его мануалу в точ в точ...
    • Изменено kilogentus 22 июня 2009 г. 9:41
    22 июня 2009 г. 9:37
  • хватит пользоватся злостным приемом женской логики - отвечать только на последний вопрос :)
    где ответ на это? >Какие объекты сетей и с какими диапазонами адресов, определены на проблемной ISA (на уровне массива и предприятия)?

    22 июня 2009 г. 11:22
    Отвечающий
  • хватит пользоватся злостным приемом женской логики - отвечать только на последний вопрос :)
    где ответ на это? >Какие объекты сетей и с какими диапазонами адресов, определены на проблемной ISA (на уровне массива и предприятия)?


    (((
    я конешно извеняюсь но я не могу понять что Вы от меня хотите услышать-какие объекты сетей и с какими диапазонами адресов-пясните пож-то...
    22 июня 2009 г. 11:44
  • дожили....
    в исе есть обьекты типа network (сеть), в их свойствах есть вкладка addresses (кроме тех сетей которые в описании имеют built-in..., то есть external, localhost, vpn clients и quarantined vpn clients). вот то что написано на этой вкладе тебя и просят привести, причем если у тебя enteprise версия исы то это может быть задано как на уровне array так и на уровне enterprise
    22 июня 2009 г. 11:53
    Отвечающий
  • На всех вкладках пусто кроме -локальная сеть, там прописаны адреса 10,0,0,0/10,255,255,255-это на уровне массива, на уровне предприятия ничего не определено...(извените меня если я что -то не допонимаю()
    23 июня 2009 г. 3:14
  • ну вот и ответ, ты понимаешь что такой диапазон означает? вообще понимаешь что такое ip адреса?
    это все адреса вида 10.х.х.х в том числе и твой диапазон удаленки 10.0.1.х который ты пытаешь вписать.

    23 июня 2009 г. 7:32
    Отвечающий
  • ну вот и ответ, ты понимаешь что такой диапазон означает? вообще понимаешь что такое ip адреса?
    это все адреса вида 10.х.х.х в том числе и твой диапазон удаленки 10.0.1.х который ты пытаешь вписать.


    вообще понимаешь что такое ip адреса?
    -смешно да?

    я делел по инструкции все- http://isadocs.ru/articles/Creating-VPN-ISA-2006-Firewall-Branch-Office-Connection-Wizard-Part4.html
    23 июня 2009 г. 8:04
  • специально издеваешься?
    сам же написал что у тебя на внутренней сетевухе настроена сетка 10.0.0.0 с маской 255.255.255.0 (для особо одаренных это диапазон 10.0.0.0 - 10.0.0.255), спрашивается какого мужского детородного органа в настройках internal у тебя вписано 10.0.0.0-10.255.255.255 (опять же для указанных ранее личностей это сетка 10.0.0.0 с маской 255.0.0.0). в масках разницу видишь? понимаешь что сеть 10./8 содержит в себе сетку 10.0.0/24 и 10.0.1/24 и поэтому иса тебе не даст вписать последнюю в удаленные сетки? где спрашивается в своей статье старик шиндер писал что надо делать такие еретические настройки?

    • Помечено в качестве ответа kilogentus 23 июня 2009 г. 9:34
    23 июня 2009 г. 8:39
    Отвечающий
  • специально издеваешься?
    сам же написал что у тебя на внутренней сетевухе настроена сетка 10.0.0.0 с маской 255.255.255.0 (для особо одаренных это диапазон 10.0.0.0 - 10.0.0.255), спрашивается какого мужского детородного органа в настройках internal у тебя вписано 10.0.0.0-10.255.255.255 (опять же для указанных ранее личностей это сетка 10.0.0.0 с маской 255.0.0.0). в масках разницу видишь? понимаешь что сеть 10./8 содержит в себе сетку 10.0.0/24 и 10.0.1/24 и поэтому иса тебе не даст вписать последнюю в удаленные сетки? где спрашивается в своей статье старик шиндер писал что надо делать такие еретические настройки?


    вот теперь понятно)))) я если чесно как то глянул  и не сразу на это обратил-чем усугубил свое положени...Вы уж не ругайте меня сильно....
    Щас буду пробовать-а за ответы большущее спасибо-я вас ешо достовать буду попозже))) не серчайте что это значит- Тип события: Ошибка Источник события: Microsoft Firewall Категория события: Отсутствует Код события: 21265 Дата: 23.06.2009 Время: 15:39:07 Пользователь: Н/Д Компьютер: ISA2006BRANCH Описание: Таблица маршрутизации сетевой платы WAN включает диапазоны IP-адресов, не определенные в сети уровня массива Внешняя, к которой она привязана. По этой причине, когда пакеты будут проходить через данную сетевую плату из указанных ниже диапазонов IP-адресов, либо к этим диапазонам, они будут считаться поддельными и отбрасываться. Для устранения данной неполадки добавьте отсутствующие диапазоны IP-адресов в сеть массива. Пакеты из следующих диапазонов IP-адресов будут считаться поддельными и отбрасываться: Внутренняя:10.0.0.0-10.0.0.255,10.0.2.0-10.255.255.254;


    Тип события: Ошибка
    Источник события: Microsoft Firewall
    Категория события: Отсутствует
    Код события: 14147
    Дата:  23.06.2009
    Время:  15:39:07
    Пользователь:  Н/Д
    Компьютер: ISA2006BRANCH
    Описание:
    ISA Server обнаружил маршруты через сетевую плату LAN, которые не связаны с сетью, которой принадлежит эта плата. Правильная настройка сети подразумевает, что диапазоны IP-адресов каждой сети уровня массива должны включать все IP-адреса, маршрутизируемые через сетевые платы этой сети согласно их таблицам маршрутизации. В противном случае действительные пакеты могут отбрасываться как поддельные. Следующие диапазоны включены в диапазоны IP-адресов этой сети, но не маршрутизируются ни через одну из сетевых плат: 10.0.0.0-10.0.0.255,10.0.2.0-10.255.255.254;. Обратите внимание, что это событие может однократно создаваться после добавления маршрута, создания удаленной сети или настройки балансировки сетевой нагрузки. Его можно проигнорировать, если оно больше не возникнет.

     

    При запуске устанвки настройки ВПН в филиале с помощью файла ответов выбрасывает окно-Недопустимый объек!!! 0хс000403с7
    • Изменено kilogentus 23 июня 2009 г. 11:10
    23 июня 2009 г. 9:12
  • Дмитрий подскажите по поводу этого-При запуске устанвки настройки ВПН в филиале с помощью файла ответов выбрасывает окно-Недопустимый объек!!! 0хс000403с7
    24 июня 2009 г. 11:39
  • теперь ты в бранче не так нетворки настроил
    internal должен содержать только 10,0,1,0-10,0,1,255 (если у тебя конечно такая сеть в филиале)
    в качестве удаленной (центральный офис) указываешь 10,0,0,0 - 10,0,0,255
    больше никаких сетей на 10. нигде определять не надо,
    • Помечено в качестве ответа kilogentus 25 июня 2009 г. 3:26
    24 июня 2009 г. 12:14
    Отвечающий
  • теперь ты в бранче не так нетворки настроил
    internal должен содержать только 10,0,1,0-10,0,1,255 (если у тебя конечно такая сеть в филиале)
    в качестве удаленной (центральный офис) указываешь 10,0,0,0 - 10,0,0,255
    больше никаких сетей на 10. нигде определять не надо,

    Да, действительно я совсем того)))))) Я сменил в бранче адреса на сетевом интерфейсе, а так как  ИСА уже была поставленна на старые адреса и в ней соот. в настройках сети остались эти старые настройки вот и весь сказ)))
    При попытке создания тунеля, вышло сообщение типа-Не удалось  установить содинение посколько истекло время ожидания  соглосования режима безопасности!!
    Спасибо за помощь)

    да  в логах на исе пишет-Отклоненое соединение...((( Что же с этим делать?
    • Изменено kilogentus 29 июня 2009 г. 8:46
    25 июня 2009 г. 3:25
  • Вообщем ничего так и не получлось- ошибка по прежнему выходит ... 

    29 июня 2009 г. 9:25
  • Проверяйте внимательно все настройки.
    К примеру, если сервер принимает подключения только по L2TP/IPSec по предварительному ключу 12345 с протоколом проверки подклинности MS CHAP2, при создании VPN соединения на вызывающем сервере вы должны указать такие же параметры.

    Проверьте название VPN соединений, если на принимающем сервере создано VPN соединение например vpn_branch , то вызывающий сервер должен подключться от имени пользователя vpn_branch.

    Ну и последний момент - если ISA принимающая VPN подключение стоит за NAT - кина не будет, а вот если наоборот то заработает.
  • Проверяйте внимательно все настройки.
    К примеру, если сервер принимает подключения только по L2TP/IPSec по предварительному ключу 12345 с протоколом проверки подклинности MS CHAP2, при создании VPN соединения на вызывающем сервере вы должны указать такие же параметры.

    Проверьте название VPN соединений, если на принимающем сервере создано VPN соединение например vpn_branch , то вызывающий сервер должен подключться от имени пользователя vpn_branch.

    Ну и последний момент - если ISA принимающая VPN подключение стоит за NAT - кина не будет, а вот если наоборот то заработает




    Я на 3 раза все проверил...Бранч создавал с помощью файла ответов...Раскрывал данный файл и проверял все еще и еще...Но результат такой же и остался...
  • http://blogs.isaserver.org/pouseele/2007/07/07/basic-troubleshooting-for-ipsec-based-vpns/