none
Два маршрута на сервере с ISA 2006, один через локальную сеть RRS feed

  • Вопрос

  • Моя локалка - 172.25.2.0 

    Существует два способа пробится в необходимую мне сеть 172.25.1.0 - это VPN (описаный ниже) или отправить весь траффик на внутренний адрес 172.25.2.9

    На ISA создал Site-To-Site VPN с именем PPTP, в настройках(на уровне винды, а не ISA) указал использовать ip - 192.168.1.1 (так надо)

    Создал правило Internal To PPTP - NAT. В винде автоматом создался маршрут 172.25.1.0 mask 255.255.255.0 PPTP metric 1. Я к нему добавил ещё один маршрут руками, вот такой: 172.25.1.0 mask 255.255.255.0 172.25.2.9 metric 2

    Пока работает VPN - всё хорошо, в логах отражаются успешные соединения some_local_ip  TO  PPTP, но если VPN умирает, то при обращении на те адреса, на которые шло обращение при работающем VPN в логах ISA пишется следующее: 192.168.1.1 TO PPTP, естественно denied, а через несколько таких записей в логе, начинаются появлятся записи external TO PPTP тоже, конечно, denied.

    И сколько бы ни прошло времени, если обращаться на те ip, на которые шло обращение пока VPN был жив, всё рано буду видеть в логах extenal To PPTP - denied.

    Если обратиться на другой адрес, то, т.к. из маршрутов уже пропал маршрут на VPN и остался только с метрикой 2, то эти новые обращение на другие ip уйдут уже в 172.25.2.9

    В чём дело и как быть дальше?

    В идеале хотелось, чтоб при умирании VPN весь траффик сразу уходил по внутреннему маршруту, а при возвращении к жизни VPN'а возвращался на него. Такое возможно?
    25 декабря 2007 г. 6:51

Все ответы

  • В таком виде думаю, что нет.

     

    Вот если отказаться от Site-to-Site, а сделать обычное клиентское подключение PPTP, то маршрутизация будет выполняться в соответствии с метриками

    25 декабря 2007 г. 11:26
    Модератор
  • Так ISA же не позволяет существовать VPN'ам созданым без её участия, убивает она их (во всяком случае мануал говорит именно так). Или я что-то не так прочитал?
    25 декабря 2007 г. 11:38
  • Ссылку можете дать на такое указание?

    25 декабря 2007 г. 11:50
    Модератор
  • Щас попробую найти... за последние два дня столько мануалов перечитал, что даже не помню откуда это вычитал...
    25 декабря 2007 г. 11:55
  • Вы знаете, что-то не могу найти упоминаний об этом, но для эксперимента попробовал создать VPN средствами Win 2k3, а не через ISA и он "пропал" довольно быстро, хотя я его не удалял... Т.е. из интерфейсов в Routing and Remote Access он пропал. А в логах ничего не отразилось...
    25 декабря 2007 г. 12:43
  • А если его сделать через свойства Сетевого окружения?

    25 декабря 2007 г. 15:03
    Модератор
  • Тогда соединение не удаляется, но его нет в RRAS и поэтому не могу назначить ему demand dial и вообще не могу правило работы с ним через ISA назначать... Т.е. не подходит...
    26 декабря 2007 г. 7:01
  • ISA управляет конфигурацией RRAS, и я согласен, что часть конфигурации RRAS он может зачищать и заменять своей. Жаль, что вы не нашли ссылки на документацию - было бы интересно почитать первоисточник.

     

    Но если вы создаете руками новый интерфейс, то это уже вне компетенции ISA и RRAS, поэтому я полагаю, что правило доступа можно создать, указав в нем наборы адресов, которые вам необходимы (в правилах доступа вы можете прописать вообще любые наборы адресов - это никак не проверяется на связь интерфейсами (только при перезагрузке сервиса ISA) ).

     

    26 декабря 2007 г. 9:50
    Модератор
  • Но перезагрузка-то когда-нибудь наступит... И, повторюсь, demand dial не поставишь на remote network созданый таким образом... Короче говоря - этот способ не подходит...
    26 декабря 2007 г. 10:12
  • И перезагрузка наступит, и канал пропадет - на это только rasdial.exe

     

    Но полагаю, что это единственный вариант, т.к. policy-based routing в Windows Server 2003 отсутствует.

     

    26 декабря 2007 г. 12:00
    Модератор
  •  

    Попробуйте посмотреть в ISA2006 Конфигурация-Общие-Укажите параметры удаленного доступа (Это в русской версии). Может это как раз то, что нужно. Хотя сам я не пробовал Smile
    26 декабря 2007 г. 14:16
  •  

    В данном случае хороший вариант!
    27 декабря 2007 г. 13:57
    Модератор
  • To Дмитрий Аронин :

    ISA у меня английская (к счастью, ибо переводит MS так и не научились до сих пор IMHO), на мой взгляд есть два варианта того, что вы написали по-русски:

    1) Configuration - General - Configure Global Link Translation     ---    Явно не подходит и вообще там нет ничего подобного указанному вами
    2) Configuration - General - Specify Dial-Up Preferences   ---   Такая же история...

    Будьте, пожалуйста, более точны в названии менюшек, чтоб я смог их расшифровать в английский язык Smile


    To sie:

    Если вариант хороший - напишите, плз, это по-английски
    28 декабря 2007 г. 15:14
  • Это и есть Specify Dial-Up Preferences   - тут можно указать какое соединение поднимать по необходимости.

    29 декабря 2007 г. 6:06
    Модератор
  • Дело в том, что VPN я поднимаю с назначением мне адреса 192.168.1.1, а натить туда надо сетку 172.25.1.0. ISA же не поймёт что надо именно через это соединение с этой сетью работать...
    29 декабря 2007 г. 10:35
  • Поймет, если у вас  сетка 172.25.1.0 оформлена как отдельная Network  - посмотрите внимательно настройки "Specify Dial-Up Preferences"

    29 декабря 2007 г. 10:56
    Модератор
  •  

    А я абсолютно точное русское название указал. Хотя звучит оно конечно странновато Smile
    29 декабря 2007 г. 12:10
  • Привет Smile

    Долго думал и пробовал... Вот результат:

    1) Через Specify Dial-Up Preferences мне делать нельзя, потому что моя сеть 172.25.2.0, VPN поднимается с получением адреса 192.168.1.1, а работает VPN для связи с сетью 172.25.1.0 значит либо через Specify Dial-Up Preferences делать шлюз этого соединения дефолтным (что делать нельзя), либо прописывать дополнительный маршрут 172.25.1.0 255.255.255.0 192.168.1.1, но такой  маршрут можно прописать только после поднятия VPN и во-первых: пока не представляю как это сделать, во-вторых: через чур громоздко...


    2) Я нашёл-таки ту ссылку. где говориться, что ISA удаляет маршруты созданные через RAS, вот она:
    www.microsoft.com/technet/isa/2004/plan/unsupportedconfigs.mspx

    Dial-Up Issues - ISA Server Overwrites Routing and Remote Access Settings

    Тут написано про ISA 2004, но поверьте - это применимо и к ISA 2006, в доказательство привожу ещё одну ссылку:
    support.microsoft.com/kb/888651/en-us

    Routing and Remote Access Service Configuration in ISA Server

    В конце последней статьи сказано посмотрите в Applies To, там есть ISA 2006

    В первой из приведённых мною ссылок описано решение для подобной ситуации:


    ISA Server default policy takes precedence in the ordering list of Routing and Remote Access policies. To put another remote access policy above the ISA Server policy, do the following:

    1.

    At the command prompt, type net stop ISACTRL.

    2.

    Change the policy order.

    3.

    At the command prompt, type net start ISACTRL.


    Я попробовал - не получилось, ISA всё равно удалила VPN созданный через RAS... Подскажите - может я что-то не так сделал? В Remote Access Policy было все три политики - ISA Server Default Policy и две стандартных. Остановил службу, переместил ISA Server Default Policy на третье, последнее место, запустил службу... Вроде всё просто, а не получилось - VPN созданный через RAS был удалён...

    Помогите, а? Smile
    17 января 2008 г. 9:23
  • Спасибо, что нашли ссылку. Полезная.

     

    Что касается RRAS policy, то это именно политика, а не конфигурация! Посмотрите внимательно: RRAS policy задает условия подключения и назначает параметры клиенту, но не относится к настрйке портов, протоколов и т.п.

     

     

    Вы все вокруг ходите. Я вам сразу написал, что в такой конфигурации вряд ли вам удастся получить нужный результат.

     

    Предлагнаю вам разделить функции: ISA отвечает за VPN, а  внутренний роутер за машрутизацию на ISA, если VPN есть, и на 172.25.2.9, если VPN соединения нет. Для связи роутера и ISA используйте протокол динамической маршрутизации RIP, который пропишет на роутере маршрут через ISA после поднятия VPN-соединеия.

     

    17 января 2008 г. 10:04
    Модератор
  • Как вы предлагаете тоже не получится, потому что при переходе на 172.25.2.9 клиенту прилетит icmp redirect и клиент всегда будет пытаться идти в сеть 172.25.1.0 через 172.25.2.9, а на этом адресе у меня висит железка, которая ничего делать не умеет, только пропускает из одного интерфейса в другой, поэтому если пропадёт сеть после 172.25.2.9, то... сами понимаете...

    Поэтому я и хочу всё это сделать на ISA, т.к. она уже умеет фильтровать траффик и если смену маршрутов сделать на сервере с ISA, то icmp redirect можно будет запретить...

    P.S. только что пришло в голову - может вы подскажете как отключить icmp redirect без фильтрации пакетов c помощью ISA? Сам я не нашёл такой возможности...

    P.P.S. Я понимаю, что RRAS Plolicy - это только policy, но в отношении их я и не говорю о портах и протоколах, мне надо только чтоб ISA не меняла натройки RRAS, если эти настройки сделаны не ею... А полез я туда исключительно прочитав первую из приведённых мною ранее ссылок...
    17 января 2008 г. 10:39
  • Все получится с роутером: на клиентах прописываете дефолтным маршрутом адрес внутреннего роутера и делаете связку роутера и ISA по RIP.

    18 января 2008 г. 8:02
    Модератор