none
Cisco клиент и Forefront TMG RRS feed

 > 

  • Вопрос

  • Question
    Нужно войти
    0
    Нужно войти
    Добрый день. Возникла проблема с подключением VPN клиента от Cisco. На прошлых выходных впервые поставил TMG  с ним до этого не работал, но почитав мануалы, настроил интернет, почту, ОВУ и VPN, осталась проблема с VPN клиентом от Cisco, он ни в какую не хочет подключаться, уже включил разрешение для всех исходящих соединении, также создавал соединения типа "сеть - сеть" нечего не помогло. Сегодня звонил их админу он сказал что протокол IPsec ESP порт UDP 4000-5000, добавил эти протоколы также создал порты на отправку-получение и получение отправку, все равно нечего(  Помогите разобраться пожалуйста.
    • Изменено Has85 24 ноября 2011 г. 4:30
    • Перемещено Dmitry Davydov 24 ноября 2011 г. 11:33 (От:Forefront)
    24 ноября 2011 г. 4:24
    |

Ответы

Все ответы

  • Question
    Нужно войти
    1
    Нужно войти

    Вариант 1.

    http://www.elmajdal.net/isaserver/How_To_Allow_Cisco_VPN_Client_To_Connect_Through_ISA_Server.aspx

    Вариант 2. 

    PROBLEM: Issue with outbound VPN traffic using Cisco VPN client.

    CAUSE: BUG.

    RESOLUTION:
    On Client machine apply http://support.microsoft.com/kb/926179 Set reg key described to - AssumeUDPEncapsulationContextOnSendRule=2

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]
    "AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

    On TMG Server run this command:
    netsh tmg set global name=BlockSecuredInDefaultState value=0 persistent

    Reboot TMG Server

     

    MCITP. Знание - не уменьшает нашей глупости.


    • Изменено Oleg.Kovalenko 24 ноября 2011 г. 11:17
    • Предложено в качестве ответа Oleg.Kovalenko 25 ноября 2011 г. 12:12
    • Помечено в качестве ответа Yuriy Lenchenkov 1 декабря 2011 г. 13:22
    24 ноября 2011 г. 11:13
    |
  • Question
    Нужно войти
    0
    Нужно войти
    ISA Server и Forefront TMG - наиболее подходящий раздел форума для этого обсуждения.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.
    24 ноября 2011 г. 11:32
    |
  • Question
    Нужно войти
    0
    Нужно войти

    по первому варианту не всегда будет работать, Cisco VPN Client использует свои порты, например какой нить из UDP или TCP (по умолчанию 10000), в статье об этом ни слова. У меня сейчас открыт tcp10000, ike client, ipsec esp, ipsec nat-t client (возможно что то лишнее - по этому правилу кроме cisco еще и обычные ipsec клиенты ходят), правило должно быть обязательно анонимным, ну и у клиентов само собой шлюзом должен быть tmg

    по второму варианту: на клиенте надо ставить двоечку только когда VPN сервер сам закрыт натом (например у меня так - иса стоит внутри роутера который натить, и пробрасывает l2tp до исы).

    24 ноября 2011 г. 16:11
    |
    Отвечающий
  • Question
    Нужно войти
    0
    Нужно войти

    по первому варианту не всегда будет работать, Cisco VPN Client использует свои порты, например какой нить из UDP или TCP (по умолчанию 10000), в статье об этом ни слова. У меня сейчас открыт tcp10000, ike client, ipsec esp, ipsec nat-t client (возможно что то лишнее - по этому правилу кроме cisco еще и обычные ipsec клиенты ходят), правило должно быть обязательно анонимным, ну и у клиентов само собой шлюзом должен быть tmg

    по второму варианту: на клиенте надо ставить двоечку только когда VPN сервер сам закрыт натом (например у меня так - иса стоит внутри роутера который натить, и пробрасывает l2tp до исы).

    Уважаемый Дмитрий, а в моем случае какой способ описанный выше мне использовать? Оба способа применяются на клиентской машине? В первом надо отрубить forefront клиент и установить клиент cisco как Securenet? только как это сделать? Во втором способе надо править реестр на машине клиента? и что значит во втором способе "нажмите кнопку<a0>$$$$</a0><a1>$$$$</a1>«ОК».<a2>$$$$</a2>." Буду благодарен за разъяснение.
    24 ноября 2011 г. 16:46
    |
  • Question
    Нужно войти
    0
    Нужно войти

    по первому варианту не всегда будет работать, Cisco VPN Client использует свои порты, например какой нить из UDP или TCP (по умолчанию 10000), в статье об этом ни слова. У меня сейчас открыт tcp10000, ike client, ipsec esp, ipsec nat-t client (возможно что то лишнее - по этому правилу кроме cisco еще и обычные ipsec клиенты ходят), правило должно быть обязательно анонимным, ну и у клиентов само собой шлюзом должен быть tmg

    по второму варианту: на клиенте надо ставить двоечку только когда VPN сервер сам закрыт натом (например у меня так - иса стоит внутри роутера который натить, и пробрасывает l2tp до исы).

    Уважаемый Дмитрий, а в моем случае какой способ описанный выше мне использовать? Оба способа применяются на клиентской машине? В первом надо отрубить forefront клиент и установить клиент cisco как Securenet? только как это сделать? Во втором способе надо править реестр на машине клиента? и что значит во втором способе "нажмите кнопку<a0>$$$$</a0><a1>$$$$</a1>«ОК».<a2>$$$$</a2>." Буду благодарен за разъяснение.

    это не мои способы. Читайте внимательно что пишут :)
    первый вариант обязателен - не разрешив трафик ничего не получишь, я его просто дополнил и прокомментировал.
    отрубать tmg клиента необязательно, просто правило должно разрешать анонимный трафик и шлюз на клиенте должен быть прописан.

    второй это не способ, а некий воркэраунд для специфичного случая: впн сервер имеет серый адрес и стоит за нат устройством, поэтому делать его не надо, если нет уверености что это ваш случай
    по поводу кракозябров претензии к машинному переводу - переключите статью в человеческий английский язык, и никогда не читайте переведенки :)

    и самое главное - обязательно смотреть логи.

    • Предложено в качестве ответа Oleg.Kovalenko 25 ноября 2011 г. 12:11
    24 ноября 2011 г. 19:16
    |
    Отвечающий
  • Question
    Нужно войти
    0
    Нужно войти

    Вариант 1.

    http://www.elmajdal.net/isaserver/How_To_Allow_Cisco_VPN_Client_To_Connect_Through_ISA_Server.aspx

    Вариант 2. 

    PROBLEM: Issue with outbound VPN traffic using Cisco VPN client.

    CAUSE: BUG.

    RESOLUTION:
    On Client machine apply http://support.microsoft.com/kb/926179 Set reg key described to - AssumeUDPEncapsulationContextOnSendRule=2

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]
    "AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

    On TMG Server run this command:
    netsh tmg set global name=BlockSecuredInDefaultState value=0 persistent

    Reboot TMG Server

     

    MCITP. Знание - не уменьшает нашей глупости.


    Олег, большое спасибо за ссылки, но не могли бы вы пояснить что делает эта команда netsh tmg set global name=BlockSecuredInDefaultState value=0 persistent     и в случае неудачи как ее можно отменить?

    25 ноября 2011 г. 4:50
    |
  • Question
    Нужно войти
    1
    Нужно войти

    Команда меняет работу TMG, Firewall разрешит прохождение IKE трафика насквозь, не будет блокироваться исходящий трафик IPSec и не будут действовать на него встроеные шаблоны правил безопасности.

    Данная команда применяеться только для TMG.

    MCITP. Знание - не уменьшает нашей глупости.
    25 ноября 2011 г. 5:53
    |
  • Question
    Нужно войти
    0
    Нужно войти

    Команда меняет работу TMG, Firewall разрешит прохождение IKE трафика насквозь, не будет блокироваться исходящий трафик IPSec и не будут действовать на него встроеные шаблоны правил безопасности.

    Данная команда применяеться только для TMG.

    MCITP. Знание - не уменьшает нашей глупости.

    Олег извините может я что то не понял, но у меня не работает, создал правило как написано в первой статье.  Потом в cmd сервера ТМГ ввел команду netsh tmg set global name=BlockSecuredInDefaultState value=0 persistent    далее добавил на компьютере клиента в реестр ключи AssumeUDPEncapsulationContextOnSendRule  правда не понятно какое значение выставлять, также в реестре создал ветку IPSec и в ней создал ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec    значение выставил 2  перегрузил машину клиента, также ребутал сервер с ТМГ.



    • Изменено Has85 25 ноября 2011 г. 10:25
    25 ноября 2011 г. 10:23
    |
  • Question
    Нужно войти
    1
    Нужно войти
    Что в логе TMG?
    MCITP. Знание - не уменьшает нашей глупости.
    25 ноября 2011 г. 11:03
    |
  • Question
    Нужно войти
    0
    Нужно войти

    в логе ошибка 0xc0040012 FWX_E_NETWORK_RULES_DENIED
    25 ноября 2011 г. 11:13
    |
  • Question
    Нужно войти
    0
    Нужно войти
    Огромное спасибо в проблеме разобрался. Был конфликт правил, удалил лишние и все заработало!
    25 ноября 2011 г. 11:27
    |
  • Question
    Нужно войти
    0
    Нужно войти

    IKE Client

    Port number: 500
    Protocol type: UDP
    Direction: Send Receive

    IPSec NAT-T client

    Port number: 4500
    Protocol type: UDP
    Direction: Send Receive


    Port number: 10000
    Protocol type: UDP/TCP
    Direction: Send Recieve

    Пример портов.

    http://support.microsoft.com/default.aspx?scid=kb;en-us;812076

    Описание прохождение IPSEC.

    http://www.isaserver.org/articles/IPSec_Passthrough.html

    MCITP. Знание - не уменьшает нашей глупости.
    25 ноября 2011 г. 11:28
    |