none
ISA 2006 SP1 и VPN с удаленной сетью через дополнительный интерфейс RRS feed

  • Вопрос

  • Доброго времени суток!

    Уже который день бьюсь над задачей и ничего не получается.
    На машине с Исой 3 сетевых интерфейса: 1й смотрит в локалку, 2й в интернет, 3й, скажем, в сеть организаций города. В удаленном подразделении тоже стоит Иса, один интерфейс которой смотрит в локалку, второй в сеть организаций города. Задача в том, что нужно построить VPN на базе, как вы понимаете, сети организаций.
    Делал все по учебнику и не по учебнику, вобщем крутил по-всякому, но пакеты отклоняются, правило по которому это происходит не прописано.
    Если строить через IPSec, то иса ругается что не может найти маршрута к удаленной сети, даже не смотря на то, что прописываю статический маршрут.
    На данный момент настроил VPN по протоколу L2TP. Прописана сеть vpn, прописано правило маршрутизации между ней и Внутренней.

    В логах вот такое:
    Начато соединение
    Тип журнала: Служба межсетевого экрана 
    Состояние: 
    Правило: Разрешить взаимный доступ между vpn и внутренней сетью 
    Источник: Внутренняя (192.168.21.154:8) 
    Назначение: vpn (192.168.5.1) 
    Протокол: Проверка связи 
    Пользователь:
    Дополнительные сведения
    • Number of bytes sent: 0 Кол. байт получено: 0
    • Processing time: 0 ms Original Client IP: 192.168.21.154
    • Client agent:
    Отклоненное соединение
    Тип журнала: Служба межсетевого экрана 
    Состояние: 
    Правило: 
    Источник: Внутренняя (192.168.21.154:8)
    Назначение: vpn (192.168.5.1) 
    Протокол: Проверка связи 
    Пользователь:
    Дополнительные сведения
    • Number of bytes sent: 0 Кол. байт получено: 0
    • Processing time: 0 ms Original Client IP: 192.168.21.154
    • Client agent: 
    Сводка:
    -----------------------------------------
    Адрес удаленного шлюза: 192.168.22.152

    Протоколы проверки подлинности сетей VPN (исходящие):
        Протокол MS-CHAP, версия 2

    Общие протоколы проверки подлинности параметров сетей VPN (входящие):
        Протокол MS-CHAP, версия 2

    Метод исходящей проверки подлинности: предварительный секрет (nggtivpn)
    Метод входящей проверки подлинности: сертификат и предварительный секрет (nggtivpn)

    Локальный пользователь: vpn
    Пользователь удаленной сети: IPFIA\vpn

    IP-адреса сети типа "сеть-сеть": 192.168.5.0-192.168.5.255, 192.168.22.152
    Маршрутизируемые локальные IP-адреса: 192.168.0.0-192.168.2.255, 192.168.7.0-192.168.8.255, 192.168.21.0-192.168.21.255, 192.168.22.151, 192.168.44.0-192.168.44.255, 192.168.100.0-192.168.100.255
    ------------
    Общие протоколы проверки подлинности параметров сетей VPN (один или несколько из перечисленных ниже):
        Протокол MS-CHAP, версия 2

    Протоколы проверки подлинности сетей VPN (один или несколько из перечисленных ниже):
        Протокол MS-CHAP, версия 2

    Метод исходящей проверки подлинности: предварительный секрет (nggtivpn)
    Метод входящей проверки подлинности: сертификат и предварительный секрет (nggtivpn)

    Адрес удаленного шлюза:
        IP-адрес или разрешимое DNS-имя.
        Если включена балансировка сетевой нагрузки, то следует использовать виртуальный IP-адрес удаленного массива.

    Локальный пользователь: IPFIA\vpn
    Пользователь удаленной сети: vpn

    IP-адреса сети типа "сеть-сеть": 192.168.0.0-192.168.2.255, 192.168.7.0-192.168.8.255, 192.168.21.0-192.168.21.255, 192.168.22.151, 192.168.44.0-192.168.44.255, 192.168.100.0-192.168.100.255
    Маршрутизируемые локальные IP-адреса: 192.168.5.0-192.168.5.255, 192.168.22.152
    ------------------------
    Заранее благодарен.
    14 октября 2009 г. 13:05

Ответы

  • Самый основной недостаток - при использовании IPSec в туннельном режиме у вас не получиться достучаться к удаленной сети непосредственно с самого шлюза (ISA) т.к. она не создает дополнительный интерфейс для этого дела и не может маршрутизировать трафик который идет непосредственно с самого шлюза.

    При создании L2TP или PPTP VPN в RRAS появляется дополнительный интерфейс - и если вы раскрываете оснастку RRAS - сразу видете какой из интерфейсов поднялся, какой нет, там же его можно отклюить или подключить (пр. кн мыши). При использовании IPSec в туннельном режиме - вы будете лишины этих фичей.

    Ну а если вы все же хотите использоватеь этот режим
    Если строить через IPSec, то иса ругается что не может найти маршрута к удаленной сети, даже не смотря на то, что прописываю статический маршрут. - Попробуйте явно прописать маршрут непосредственно к удаленному шлюзу 192.168.22.152. Почему так я так и не понял но у меня в тестовой среде после этого все заработало. Я связывал ради интереса D-Link и ISA.
    • Помечено в качестве ответа Radzevelyuk Alexey 20 октября 2009 г. 7:55
    16 октября 2009 г. 6:19

Все ответы

  • наверняка косяк в роутинге и в сетях
    route print, ipconfig /all и настройки networks на исе в студию
    по настройкам впн тут гадать абсолютно бесполезно

    15 октября 2009 г. 7:41
    Отвечающий
  • <...>
    наверняка косяк в роутинге и в сетях
    route print, ipconfig /all и настройки networks на исе в студию
    по настройкам впн тут гадать абсолютно бесполезно

    Дим, ответь честно, ты разобрался в том, что автор темы выкатил? :) Я побоялся...
    15 октября 2009 г. 7:42
    Отвечающий
  • ну саму желаемую тредстартером топологию я понял, подозреваю что он просто ее не реализовал до конца в роутинге
    а то что он выкатил настройки (видимо это саммэри) я не вчитывался, там ничего интересного, ну кроме сетей вписанных, тут вроде понятно: в одной сетке одна подсеть, в другой - кучка подсеток

    15 октября 2009 г. 8:01
    Отвечающий
  • Возможно деле не только в таблице маршрутизации, а и в правилах отношения сетей (NAT/Routing). Вернее в их отсутствии.

    http://www.isadocs.ru/articles/understanding_isa_firewall_networks_v1-1.php
    15 октября 2009 г. 9:33
  • судя по написанному у него все таки network rules есть, хотя может быть и кривые
    без нормально описанной топологии с адресами и правилами нельзя сказать, на форумах всегда так, инфу вытягивать надо
    15 октября 2009 г. 9:50
    Отвечающий
  • Правила есть и в сетевые и межсетевого экрана. Извиняюсь если не выложил чего-то нужного и важного, но...
    По топологии: Имеем внешнюю сетку, несколько корпусов расположенных рядом друг с другом (внутренняя сеть), один корпус на достаточно большом удалении (чтобы протянуть туда сеть самостоятельно). Внутреннюю сеть поделили на подсети по корпусам ибо, проще ориентироваться/отслеживать/управлять. Также есть несколько компьютерных классов, где есть студенты с шаловливыми ручками, их тоже стараемся максимально запереть в своем пространстве, но есть несколько сервисов к которым они должны иметь доступ, но это отдельная история и к делу относится только то, что они тож выделены в подсети. Маршрутизируется это все через ису, прописано соответствующее правило в сетевых (внутренняя - внутренняя | маршрутизация) и правило межсетевого экрана, на сетевой карте прописаны айпишники из диапазона этих подсетей.
    Выход во внешнюю сеть также прописан правилами сетевыми (Внутрення - Внешняя | NAT) и межсетевого экрана.
    В удаленном корпусе, до недавнего времени был отдельный выход во внешнюю сеть, но в связи с ограниченностью трафика задачи завязать все это в кучу не ставилось. Теперьже сторонняя организация обвязывает в сеть все крупные организации города, что дало возможность объеденить все в единую сеть. Но! Так как организация сторонняя, а канал общий, приходится озаботиться безопасностью сети, что не позволяет просто ткнуть кабели в концентраторы.
    Теперь что касабельно удаленного корпуса. Дал айпишники на одном конце и на другом из одной подсети (192.168.22.151 - наш корпус и 192.168.22.152 - удаленный) и через них пытаюсь реализовать VPN.
    Остальное уже писал в старте топика.

    IPv4 таблица маршрута
    ===========================================================================
    Список интерфейсов
    0x1 ........................... MS TCP Loopback interface
    0x10003 ...00 1e 58 99 f6 65 ...... D-Link DGE-530T V.B1 Gigabit Ethernet Adapter
    0x10004 ...00 21 91 21 61 3b ...... VIA VT6105 Rhine III Compatible Fast Ethernet ёютьхёЄшьvщ рфряЄхЁ
    0x10005 ...00 1f c6 b8 cf 18 ...... Atheros L2 Fast Ethernet 10/100 Base-T Controller
    ===========================================================================
    ===========================================================================
    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0          0.0.0.0       *.*.195.81       *.*.195.82     20
           *.*.195.80  255.255.255.252       *.*.195.82       *.*.195.82     20
           *.*.195.82  255.255.255.255        127.0.0.1        127.0.0.1     20
        *.255.255.255  255.255.255.255       *.*.195.82       *.*.195.82     20
            127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
          192.168.0.0    255.255.255.0    192.168.0.151   192.168.21.151     30
        192.168.0.151  255.255.255.255        127.0.0.1        127.0.0.1     30
        192.168.0.255  255.255.255.255    192.168.0.151   192.168.21.151     30
          192.168.1.0    255.255.255.0    192.168.1.151   192.168.21.151     30
        192.168.1.151  255.255.255.255        127.0.0.1        127.0.0.1     30
        192.168.1.255  255.255.255.255    192.168.1.151   192.168.21.151     30
          192.168.2.0    255.255.255.0    192.168.2.151   192.168.21.151     30
        192.168.2.151  255.255.255.255        127.0.0.1        127.0.0.1     30
        192.168.2.255  255.255.255.255    192.168.2.151   192.168.21.151     30
          192.168.7.0    255.255.255.0    192.168.7.151   192.168.21.151     30
        192.168.7.151  255.255.255.255        127.0.0.1        127.0.0.1     30
        192.168.7.255  255.255.255.255    192.168.7.151   192.168.21.151     30
          192.168.8.0    255.255.255.0    192.168.8.151   192.168.21.151     30
        192.168.8.151  255.255.255.255        127.0.0.1        127.0.0.1     30
        192.168.8.255  255.255.255.255    192.168.8.151   192.168.21.151     30
         192.168.21.0    255.255.255.0   192.168.21.151   192.168.21.151     30
       192.168.21.151  255.255.255.255        127.0.0.1        127.0.0.1     30
       192.168.21.255  255.255.255.255   192.168.21.151   192.168.21.151     30
         192.168.22.0    255.255.255.0   192.168.22.151   192.168.22.151     10
       192.168.22.151  255.255.255.255        127.0.0.1        127.0.0.1     10
       192.168.22.152  255.255.255.255   192.168.22.151   192.168.22.151     10
       192.168.22.255  255.255.255.255   192.168.22.151   192.168.22.151     10
         192.168.44.0    255.255.255.0   192.168.44.151   192.168.21.151     30
       192.168.44.151  255.255.255.255        127.0.0.1        127.0.0.1     30
       192.168.44.255  255.255.255.255   192.168.44.151   192.168.21.151     30
        192.168.100.0    255.255.255.0  192.168.100.151   192.168.21.151     30
      192.168.100.151  255.255.255.255        127.0.0.1        127.0.0.1     30
      192.168.100.255  255.255.255.255  192.168.100.151   192.168.21.151     30
      255.255.255.255  255.255.255.255       *.*.195.82       *.*.195.82      1
    Основной шлюз:          *.*.195.81
    ===========================================================================
    Постоянные маршруты:
      Отсутствует
    
    ИПФ - Ethernet адаптер:
    
       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : D-Link DGE-530T V.B1 Gigabit Ethernet Adapter
       Физический адрес. . . . . . . . . : 00-**-**-**-**-**
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 192.168.22.151
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . :
       DNS-серверы . . . . . . . . . . . : 192.168.21.150
    
    inet - Ethernet адаптер:
    
       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : VIA VT6105 Rhine III Compatible Fast Ethernet совместимый адаптер
       Физический адрес. . . . . . . . . : 00-**-**-**-**-**
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : *.*.195.82
       Маска подсети . . . . . . . . . . : 255.255.255.252
       Основной шлюз . . . . . . . . . . : *.*.195.81
       DNS-серверы . . . . . . . . . . . : *.*.120.5
                                           *.*.96.38
                                           192.168.21.150
                                           192.168.21.1
    
    local - Ethernet адаптер:
    
       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : Atheros L2 Fast Ethernet 10/100 Base-T Controller
       Физический адрес. . . . . . . . . : 00-**-**-**-**-**
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 192.168.100.151
       Маска подсети . . . . . . . . . . : 255.255.255.0
       IP-адрес  . . . . . . . . . . . . : 192.168.44.151
       Маска подсети . . . . . . . . . . : 255.255.255.0
       IP-адрес  . . . . . . . . . . . . : 192.168.8.151
       Маска подсети . . . . . . . . . . : 255.255.255.0
       IP-адрес  . . . . . . . . . . . . : 192.168.7.151
       Маска подсети . . . . . . . . . . : 255.255.255.0
       IP-адрес  . . . . . . . . . . . . : 192.168.2.151
       Маска подсети . . . . . . . . . . : 255.255.255.0
       IP-адрес  . . . . . . . . . . . . : 192.168.1.151
       Маска подсети . . . . . . . . . . : 255.255.255.0
       IP-адрес  . . . . . . . . . . . . : 192.168.0.151
       Маска подсети . . . . . . . . . . : 255.255.255.0
       IP-адрес  . . . . . . . . . . . . : 192.168.21.151
       Маска подсети . . . . . . . . . . : 255.255.255.0
       Основной шлюз . . . . . . . . . . :
       DNS-серверы . . . . . . . . . . . : 192.168.21.150
                                           192.168.21.1
    


    З. Ы. Прошу прощения за не совсем корректно поставленную задачу, поздно было и хотелось домой :)
    15 октября 2009 г. 10:36
  • а в networks на исе что вписано?
    иса в домене?

    15 октября 2009 г. 11:37
    Отвечающий
  • Да, иса в домене.

    networks:
    vpn | 192.168.5.0-192.168.5.255, 192.168.22.152
    Внутренняя | 192.168.0.0-192.168.2.255, 192.168.7.0-192.168.8.255, 192.168.21.0-192.168.21.255, 192.168.44.0-192.168.44.255, 192.168.100.0-192.168.100.255
    Остальное стандарт.

    15 октября 2009 г. 11:46
  • На сколько я понял IP удаленного шлюза - 192.168.22.152
    При таком VPNe (L2TP/IPSec) этот адрес низя включать в определение пуда удаленной подсети.
    Это делается только при использовании IPSec в туннельном режиме - этот режим лучше не использовать, т.к. есть одни не очень удобные моменты.

    15 октября 2009 г. 12:15
  • если у тебя три интерфейса то где третий network? тебе иса разве не ругается в алертах что у тебя сетка 192,168,22,0 никуда не вписана?

    15 октября 2009 г. 12:43
    Отвечающий
  • Она относит ее к внешней сети. *.*.195.82 тоже никуда не вписана, но не ругается ведь. :)
    Тем не менее тож так думал, пробовал прописать сеть с диапазоном 192.168.22.151-192.168.22.152, пробовал включить только 192.168.22.151, при этом меняя тип сети (внешняя, внутренняя), но никаких результатов.
    15 октября 2009 г. 13:00
  • На сколько я понял IP удаленного шлюза - 192.168.22.152
    При таком VPNe (L2TP/IPSec) этот адрес низя включать в определение пуда удаленной подсети.
    Это делается только при использовании IPSec в туннельном режиме - этот режим лучше не использовать, т.к. есть одни не очень удобные моменты.

    Спасибо, попробую.
    А чем этот режим плох, какие недостатки?
    15 октября 2009 г. 13:01
  • если у тебя на третьем интерфейсе висит сеть 192,168,22,0/24 то ее всю и надо писать в отдельный network, так гласит идеология исы.
    ipsec в исе реализован для связи со сторонними продуктами, между исами используют pptp и l2tp, второй предпочтительнее

    15 октября 2009 г. 13:40
    Отвечающий
  • Самый основной недостаток - при использовании IPSec в туннельном режиме у вас не получиться достучаться к удаленной сети непосредственно с самого шлюза (ISA) т.к. она не создает дополнительный интерфейс для этого дела и не может маршрутизировать трафик который идет непосредственно с самого шлюза.

    При создании L2TP или PPTP VPN в RRAS появляется дополнительный интерфейс - и если вы раскрываете оснастку RRAS - сразу видете какой из интерфейсов поднялся, какой нет, там же его можно отклюить или подключить (пр. кн мыши). При использовании IPSec в туннельном режиме - вы будете лишины этих фичей.

    Ну а если вы все же хотите использоватеь этот режим
    Если строить через IPSec, то иса ругается что не может найти маршрута к удаленной сети, даже не смотря на то, что прописываю статический маршрут. - Попробуйте явно прописать маршрут непосредственно к удаленному шлюзу 192.168.22.152. Почему так я так и не понял но у меня в тестовой среде после этого все заработало. Я связывал ради интереса D-Link и ISA.
    • Помечено в качестве ответа Radzevelyuk Alexey 20 октября 2009 г. 7:55
    16 октября 2009 г. 6:19
  • Всем спасибо. Проблема решена.
    Все заработало через L2TP.
    Послал начальство и решил не торопиться. Пошел "от малого к большому", т. е. сначала добился простого подключения одной из иса к другой, как обычный VPN клиент. После клиентские настройки перенес на саму ису. Все настройки сетей привел в соответствие с рекомендациями.
    Единственный момент остался непонятен: После любых изменений в конфигурации соединение падает, а по какому принципу или событию происходит старт соединения не понятно. Пока решаю перезапуском служб исы.
    16 октября 2009 г. 6:28
  • Самый основной недостаток - при использовании IPSec в туннельном режиме у вас не получиться достучаться к удаленной сети непосредственно с самого шлюза (ISA)
    на самом деле пишут что можно, тот же шиндер например, для этого внешний ип удаленного шлюза якобы надо добавить в саму удаленную сетку. но у меня этот фокус не прошел, наверное я на удаленной циске что то не так вписал :) кстати если делать тот же ипсек между двумя цисками то они легко видят удаленные сетки. у самого и циски между собой связывались и иса с тремя десятками цисок, обычно все гладко, а с доступом с исы в удаленные сети я не парился - кому это надо :)
    16 октября 2009 г. 6:49
    Отвечающий
  • > Единственный момент остался непонятен: После любых изменений в конфигурации соединение падает, а по какому принципу или событию происходит старт соединения не > понятно.

    По запросу от локальной сети в удаленную.

    > Пока решаю перезапуском служб исы.

    На крайняк заходим в оснастку RRAS ищем нужный интерфейс пр. кн. мыши - подключить.

    И еще один момент - сама распространенная ошибка кофигурации, это когда оба VPN сервера настроены на возобновление соединения или на постоянное подключение. Вызывающим должен быть - один. Посмотрите в свойствах интерфейса - разберетесь.
    16 октября 2009 г. 14:12