none
Маршрутизация VPN RRS feed

  • Вопрос

  •  

    Подскажите: - из одной сети по VPN захожу в другую, где стоит ISA Server, залетаю махом, НО ни пинги компьютеров из другой сети, ни ресурсы, ни чего либо не вижу! Ощущение, что попал просто в тёмную комнату. Подскажите, как мне настроить маршрутизацию, чтобы я мог спокойно зайти на любой компьютер?

    Первая сеть, откуда захожу:  -  10.10.1.1-10.10.1.254  255.255.255.0  -  шлюз по умолчанию 10.10.1.1

    Вторая сеть:                             192.168.0.1-192.168.0.254  255.255.255.0 - шлюз 192.168.0.1 - ISA

    Очень помогли бы, спасибо!                  

    29 февраля 2008 г. 21:03

Все ответы

  • непонятно что и как у тебя настроено. с чего ты взял что вообще маршрутизация виновата? может ты просто в исе не разрешил никакой трафик от впн клиентов во внутреннюю сетку?

     

    1 марта 2008 г. 22:31
    Отвечающий
  • Правило доступа к разрешённым ресурсам создано! а именно:

    - all outbound traffic - vpn clients - Internal - All Users -Finish.........

    так вот: совершенно из другой сети человек подключается ко мне по VPN, но ничего не пингуется и соответственно не видно никаких ресурсов сети, ни на какой комп зайти нельзя 

    2 марта 2008 г. 8:19
  •  

    информации даешь ноль и хочешь получить конкретный ответ Smile

    какие адреса в internal и какие выдаются vpn клиентам?

    route в network rules между vpn clients и internal поставлен?

    2 марта 2008 г. 11:21
    Отвечающий
  • Пишу подробно, Дмитрий.

     

    Есть сеть 192.168.0.1-192.168.0.254 - домашняя , шлюз - 192.168.0.1 + ISA Server на нём же....

    Есть сервер DHCP, DNS, AD

    Интернет я получаю через обычное PPTP-VPN соединение с провайдером ISP DHCP провадера - динамика...

    VPN - клиентам выдаётся (в данном случае он один) свободный адрес из той же области адресов внутренним сервисом DHCP. Так вот - я из свого офиса создаю банальное VPN - соединение и попадаю соответственно в домашнюю сеть 192.168.0.1-192.168.0.254  ,  НО ни пингануть машины, ни тем более зайти например \\srv\d$ я не могу и подключиться по удалённому рабочему столу тоже не могу.... Возможно, что я что-то упустил, т.к. с ISA никогда дела не имел, прощу прощения.... Да, забыл, правило доступа к внутренним ресурсам настроено, то есть

     Название правила - allow - all outbound traffic - vpn clients - internal - all users ....

     

     

     

    2 марта 2008 г. 18:36
  •  

    network rule создал? логи что говорят? route print с клиента запости.
    2 марта 2008 г. 20:18
    Отвечающий
  • Понимаю, что, может, уже надоел, но пытаюсь разобраться!

     

     

    route print:

     



    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.10       1
            127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
          192.168.0.0    255.255.255.0     192.168.0.10    192.168.0.10       20
         192.168.0.10  255.255.255.255        127.0.0.1       127.0.0.1       20
        192.168.0.255  255.255.255.255     192.168.0.10    192.168.0.10       20
            224.0.0.0        240.0.0.0     192.168.0.10    192.168.0.10       20
      255.255.255.255  255.255.255.255     192.168.0.10    192.168.0.10       1
    Основной шлюз:         192.168.0.1
    ===========================================================================
    Постоянные маршруты:
      Сетевой адрес            Маска    Адрес шлюза      Метрика
              0.0.0.0          0.0.0.0      192.168.0.1       1

     

     

    3 марта 2008 г. 20:17
  • видно, до network rule ещё не дошёл. примерно какое правило там должно быть?

    я добился того, что на компы теперь захожу, но не идёт копирование файлов, то есть VPN client пытается что-то скопировать и ему ОС сообщает, что сетевое имя более недоступно.

     

     

    3 марта 2008 г. 21:00
  •  

    ты мне чью таблицу роутинга то дал, я просил впн клиента а это просто комп в домашнейтвоей локалке Smile

    пр отуецщкл rule я уже два поста назад писал

    про копирование файлов смотри логи. и вообще по любым проблемам всегда сначала надо смотреть логи.

    4 марта 2008 г. 8:35
    Отвечающий
  •  

    перпутал окна , удалённо был на машине в офисе, а посмотрел свои данные :-)

    4 часа сна в день дают о себе знать.

    хорошо, я просмотрю логи и тогда кину их... Настраивал всё по книге Шиндера, но ньюансы там не описаны, а так достаточно всё полно.

    4 марта 2008 г. 18:45
  •  

    Вообщем ситуация такая....

    Network Rule я не создавал, а на данный момент не работает только копирование...., то есть VPN client подключается в сеть, заходит на комп (например \\192.168.0.1\d$  и при копировании любой из папок у него выдаётся сообщение - ошибка чтения данных или нет места на диске или сетевой ресурс потерян и в таком духе...

    какое должно быть сетевое правило? можешь пример кинуть и почему не копируется ничего? есть мысли?

    4 марта 2008 г. 22:20
  •  

    если клиент видит сеть значит с network rules все ок, какое должно быть правило я уже писал выше, видимо оно там есть (кажется по умолчанию оно там есть).

    то что он не копирует причин может быть много и большая часть из них скорее всего не иса Smile

    5 марта 2008 г. 8:30
    Отвечающий
  • Если стоит Windows Server 2003 SP2, то смотрите это http://www.itcommunity.ru/blogs/sie/archive/2007/10/10/2358.aspx

     

    5 марта 2008 г. 8:50
    Модератор
  • Вроде разобрался. Спасибо, но у меня есть ещё один достаточно простой вопрос:

    - Как и где я могу вводить сайты, которые я считаю, что они должны быть недоступны, в ISA.

    То, что лежит на www.isaserver.org мне не так важно, меня интересует:

    - могу ли я и ГДЕ в ISA вводить запрет на посещаемые сайты, содержащие например слово "sex"? Короче,

    ограничения я могу по словам ставить? По расширениям (на закачку) я, вроде нашёл и мне нужно самому ставить запреты по словам. Создавать правило?

     

    9 марта 2008 г. 20:24
  • Можно использовать сигнатуры HTTP фильтра. Отмечаете правило, локальное меню (правой кнопкой мыши), Configure HTTP - Sigmatures

    10 марта 2008 г. 11:15
    Модератор
  • Да, я там был. На расширения нашёл где запрет ставить, но вот с сайтами толком не понял.

    Я попробую, тогда напишу Вам. А если есть группы пользователей: - одни имеют полный доступ, другая группа ограниченный. Это тоже нужно правилом запрета выставлять и где ALL USERS там выбирать конкретную группу!? А правило должно быть Deny перед разрешением HTTP протокола и в нём я тогда набиваю сайты, к которым доступ запрещён!?

     

    10 марта 2008 г. 19:08
  • какая куча непонятных вопросов Smile

    у исы очень простые правила. все что ты ими разрешишь она пропустит, остальное запретит по умолчанию. также можно что то запретить. принцип один: обработка любого соединения по правилам идет до первого совпадения, как тока нашлось подходящее правило, оно и срабатывает, все правила стоящие после уже не проверяются. так рабоате подавляющее большинство файрволов.

    сигнатуры в http фильтре настраиваются на правило, срабатывают они только если коннект обрабатывается данным правилом и если стоит allow (если в правиле deny то до обработки фильтра дело не дойдет ибо смысла нет), и если сигнатура подходит то она делает всегда deny.

    короче учи матчасть

    http://www.redline-software.com/rus/support/articles/isaserver/general/understanding_the_isa_2004_access_rule_processing.php

    11 марта 2008 г. 9:48
    Отвечающий