none
Cisco клиент и Forefront TMG RRS feed

  • Вопрос

  • Добрый день. Возникла проблема с подключением VPN клиента от Cisco. На прошлых выходных впервые поставил TMG  с ним до этого не работал, но почитав мануалы, настроил интернет, почту, ОВУ и VPN, осталась проблема с VPN клиентом от Cisco, он ни в какую не хочет подключаться, уже включил разрешение для всех исходящих соединении, также создавал соединения типа "сеть - сеть" нечего не помогло. Сегодня звонил их админу он сказал что протокол IPsec ESP порт UDP 4000-5000, добавил эти протоколы также создал порты на отправку-получение и получение отправку, все равно нечего(  Помогите разобраться пожалуйста.
    • Изменено Has85 24 ноября 2011 г. 4:30
    • Перемещено Dmitry Davydov 24 ноября 2011 г. 11:33 (От:Forefront)
    24 ноября 2011 г. 4:24

Ответы

Все ответы

  • Вариант 1.

    http://www.elmajdal.net/isaserver/How_To_Allow_Cisco_VPN_Client_To_Connect_Through_ISA_Server.aspx

    Вариант 2. 

    PROBLEM: Issue with outbound VPN traffic using Cisco VPN client.

    CAUSE: BUG.

    RESOLUTION:
    On Client machine apply http://support.microsoft.com/kb/926179 Set reg key described to - AssumeUDPEncapsulationContextOnSendRule=2

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]
    "AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

    On TMG Server run this command:
    netsh tmg set global name=BlockSecuredInDefaultState value=0 persistent

    Reboot TMG Server


     

    MCITP. Знание - не уменьшает нашей глупости.


    • Изменено Oleg.Kovalenko 24 ноября 2011 г. 11:17
    • Предложено в качестве ответа Oleg.Kovalenko 25 ноября 2011 г. 12:12
    • Помечено в качестве ответа Yuriy Lenchenkov 1 декабря 2011 г. 13:22
    24 ноября 2011 г. 11:13
  • ISA Server и Forefront TMG - наиболее подходящий раздел форума для этого обсуждения.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.
    24 ноября 2011 г. 11:32
  • по первому варианту не всегда будет работать, Cisco VPN Client использует свои порты, например какой нить из UDP или TCP (по умолчанию 10000), в статье об этом ни слова. У меня сейчас открыт tcp10000, ike client, ipsec esp, ipsec nat-t client (возможно что то лишнее - по этому правилу кроме cisco еще и обычные ipsec клиенты ходят), правило должно быть обязательно анонимным, ну и у клиентов само собой шлюзом должен быть tmg

    по второму варианту: на клиенте надо ставить двоечку только когда VPN сервер сам закрыт натом (например у меня так - иса стоит внутри роутера который натить, и пробрасывает l2tp до исы).

    24 ноября 2011 г. 16:11
    Отвечающий
  • по первому варианту не всегда будет работать, Cisco VPN Client использует свои порты, например какой нить из UDP или TCP (по умолчанию 10000), в статье об этом ни слова. У меня сейчас открыт tcp10000, ike client, ipsec esp, ipsec nat-t client (возможно что то лишнее - по этому правилу кроме cisco еще и обычные ipsec клиенты ходят), правило должно быть обязательно анонимным, ну и у клиентов само собой шлюзом должен быть tmg

    по второму варианту: на клиенте надо ставить двоечку только когда VPN сервер сам закрыт натом (например у меня так - иса стоит внутри роутера который натить, и пробрасывает l2tp до исы).

    Уважаемый Дмитрий, а в моем случае какой способ описанный выше мне использовать? Оба способа применяются на клиентской машине? В первом надо отрубить forefront клиент и установить клиент cisco как Securenet? только как это сделать? Во втором способе надо править реестр на машине клиента? и что значит во втором способе "нажмите кнопку<a0>$$$$</a0><a1>$$$$</a1>«ОК».<a2>$$$$</a2>." Буду благодарен за разъяснение.
    24 ноября 2011 г. 16:46
  • по первому варианту не всегда будет работать, Cisco VPN Client использует свои порты, например какой нить из UDP или TCP (по умолчанию 10000), в статье об этом ни слова. У меня сейчас открыт tcp10000, ike client, ipsec esp, ipsec nat-t client (возможно что то лишнее - по этому правилу кроме cisco еще и обычные ipsec клиенты ходят), правило должно быть обязательно анонимным, ну и у клиентов само собой шлюзом должен быть tmg

    по второму варианту: на клиенте надо ставить двоечку только когда VPN сервер сам закрыт натом (например у меня так - иса стоит внутри роутера который натить, и пробрасывает l2tp до исы).

    Уважаемый Дмитрий, а в моем случае какой способ описанный выше мне использовать? Оба способа применяются на клиентской машине? В первом надо отрубить forefront клиент и установить клиент cisco как Securenet? только как это сделать? Во втором способе надо править реестр на машине клиента? и что значит во втором способе "нажмите кнопку<a0>$$$$</a0><a1>$$$$</a1>«ОК».<a2>$$$$</a2>." Буду благодарен за разъяснение.

    это не мои способы. Читайте внимательно что пишут :)
    первый вариант обязателен - не разрешив трафик ничего не получишь, я его просто дополнил и прокомментировал.
    отрубать tmg клиента необязательно, просто правило должно разрешать анонимный трафик и шлюз на клиенте должен быть прописан.

    второй это не способ, а некий воркэраунд для специфичного случая: впн сервер имеет серый адрес и стоит за нат устройством, поэтому делать его не надо, если нет уверености что это ваш случай
    по поводу кракозябров претензии к машинному переводу - переключите статью в человеческий английский язык, и никогда не читайте переведенки :)

    и самое главное - обязательно смотреть логи.

    • Предложено в качестве ответа Oleg.Kovalenko 25 ноября 2011 г. 12:11
    24 ноября 2011 г. 19:16
    Отвечающий
  • Вариант 1.

    http://www.elmajdal.net/isaserver/How_To_Allow_Cisco_VPN_Client_To_Connect_Through_ISA_Server.aspx

    Вариант 2. 

    PROBLEM: Issue with outbound VPN traffic using Cisco VPN client.

    CAUSE: BUG.

    RESOLUTION:
    On Client machine apply http://support.microsoft.com/kb/926179 Set reg key described to - AssumeUDPEncapsulationContextOnSendRule=2

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]
    "AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

    On TMG Server run this command:
    netsh tmg set global name=BlockSecuredInDefaultState value=0 persistent

    Reboot TMG Server


     

    MCITP. Знание - не уменьшает нашей глупости.


    Олег, большое спасибо за ссылки, но не могли бы вы пояснить что делает эта команда netsh tmg set global name=BlockSecuredInDefaultState value=0 persistent     и в случае неудачи как ее можно отменить?

    25 ноября 2011 г. 4:50
  • Команда меняет работу TMG, Firewall разрешит прохождение IKE трафика насквозь, не будет блокироваться исходящий трафик IPSec и не будут действовать на него встроеные шаблоны правил безопасности.

    Данная команда применяеться только для TMG.


    MCITP. Знание - не уменьшает нашей глупости.
    25 ноября 2011 г. 5:53
  • Команда меняет работу TMG, Firewall разрешит прохождение IKE трафика насквозь, не будет блокироваться исходящий трафик IPSec и не будут действовать на него встроеные шаблоны правил безопасности.

    Данная команда применяеться только для TMG.


    MCITP. Знание - не уменьшает нашей глупости.

    Олег извините может я что то не понял, но у меня не работает, создал правило как написано в первой статье.  Потом в cmd сервера ТМГ ввел команду netsh tmg set global name=BlockSecuredInDefaultState value=0 persistent    далее добавил на компьютере клиента в реестр ключи AssumeUDPEncapsulationContextOnSendRule  правда не понятно какое значение выставлять, также в реестре создал ветку IPSec и в ней создал ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSec    значение выставил 2  перегрузил машину клиента, также ребутал сервер с ТМГ.



    • Изменено Has85 25 ноября 2011 г. 10:25
    25 ноября 2011 г. 10:23
  • Что в логе TMG?
    MCITP. Знание - не уменьшает нашей глупости.
    25 ноября 2011 г. 11:03
  • в логе ошибка 0xc0040012 FWX_E_NETWORK_RULES_DENIED
    25 ноября 2011 г. 11:13
  • Огромное спасибо в проблеме разобрался. Был конфликт правил, удалил лишние и все заработало!
    25 ноября 2011 г. 11:27
  • IKE Client

    Port number: 500
    Protocol type: UDP
    Direction: Send Receive

    IPSec NAT-T client

    Port number: 4500
    Protocol type: UDP
    Direction: Send Receive


    Port number: 10000
    Protocol type: UDP/TCP
    Direction: Send Recieve

    Пример портов.

    http://support.microsoft.com/default.aspx?scid=kb;en-us;812076

    Описание прохождение IPSEC.

    http://www.isaserver.org/articles/IPSec_Passthrough.html


    MCITP. Знание - не уменьшает нашей глупости.
    25 ноября 2011 г. 11:28