none
Поддерживает ли TMG 2010 протокол NAT-T? RRS feed

  • Общие обсуждения

  • Коллеги,

    столкнулся с непонятной проблемой.

    Для связи с филиалами используем следующую конфигурацию:

    (Центр) Proxy - (Inet) - NAT_Device_у_провайдера - Cisco_ASA (Филиал)

    Для создания VPN-туннеля используем протокол IPSec.

    Пока в качестве Proxy стоял ISA 2004, все было в порядке. Проапгрейдил его до TMG, и всё - связи нет. Думал, что проблемы с переносом конфигурации, поставил TMG "с нуля", создал VPN-соединение через Wizard. Результат по-прежнему нулевой.

    Я помониторил соединение и наблюдаю серьезные проблемы. Канал устанавливается, но по нему ничего не передается. Затем соединение рвется штатно по команде от TMG.

    Поскольку я свои настройки проверил и перепроверил, кажется, в TMG есть ошибка. Или все-таки я где-то слажал?

    Отзовитесь, пожалуйста, те, у кого-нибудь подобная схема вообще работает. А то уже и не знаю, что и где искать...

    Александр.


    8 апреля 2011 г. 12:09

Все ответы

  • Обратился в техподдержку микроСофт, однако получил отказ: вопросы взаимодействия с устройствами других производителей не поддерживаются.

    Однако теперь я, проведя еще один тест (установил "с нуля" TMG, в котором настроил только туннель), могу сказать уверенно: установить работающий IPSec-туннель с устройством, которое находится за NAT и имеет приватный IP-адрес, не получается. В ISA 2004 такая же конфигурация работает.

    Еще раз, для всех: в TMG 2010 SP1 Rollup 3 допущена ошибка в реализации протокола NAT Traversal. TMG НЕ ПОДДЕРЖИВАЕТ протокол NAT-T! Будьте осторожны!

    12 апреля 2011 г. 13:15
  • по умолчанию у винды надо править реестр чтобы приконнектится по ipsec к устройству за nat

    http://support.microsoft.com/kb/926179

    у меня приходится всем внешним клиентам это делать, так как сейчас наш впн сервер тоже за натом спрятан.

     

    12 апреля 2011 г. 16:35
    Отвечающий
  • Не-не-не, Дэвид Блэйн, это не про то! :)

    Статья относится к случаю, когда за NAT находится TMG. А у нас TMG вполне себе публичный, а за NAT находится Cisco ASA.

    Ну, и, кроме того, эту статью мы читали и решение, предложенное там, пробовали. Не прокатило :(

    Завтра стенд пересоберем, попробуем совсем упростить ситуацию: TMG - (Inet) - NAT - TMG. Если и в такой конфигурации не заработает, значит точно ошибка в TMG.

    12 апреля 2011 г. 16:44
  • как раз про то. в статье пишут про случай когда впн сервер спрятан за натом. в твоем случае впн сервер это asa а впн клиент это tmg, и клиенту положена такая настройка.

    пробовал вместо tmg использовать просто виндовый rras? не знаю как в tmg а во времена isa 2004|2006 сама иса к впн отношения не имела - всем занимался rras

    13 апреля 2011 г. 8:49
    Отвечающий
  • Дмитрий,

    я пробовал использовать ISA 2004 - там все было нормально, связь устанавливалась без проблем (см.первое сообщение).

    Построил сегодня стенд почти без стороннего оборудования. С обоих сторон туннеля - TMG, между ними - маршрутизатор Cisco, имитирующий интернет и NAT. У одного TMG адрес публичный, у другого - приватный, Cisco приватный в (другой) публичный и наоборот преобразует. Не работает. Убираем NAT - все прекрасно.

    Если техподдержка и на этот раз откажет из-за того, что Nat-устройство не микрософтовское, придется NAT на Windows XP поднимать :)

    16 апреля 2011 г. 13:56
  • а на виндах без тмг работает?
    17 апреля 2011 г. 8:37
    Отвечающий
  • Дмитрий,

    такой эксперимент я не проводил. А можно подробнее раскрыть, что Вы имеете в виду?

    Александр.

    P.S. Техподдержка отказала. Так как имитатор интернет - не микрософтовский. FACEPALM!

    P.P.S. Я бы и сам в протоколе покопался, да вот незадача: в Windows Server 2008 R2 средства диагностики IPSec потребителям недоступны...

    18 апреля 2011 г. 12:48
  • я имел ввиду поднять ipsec тунель между двумя виндами а не тмг

    18 апреля 2011 г. 14:21
    Отвечающий
  • Уважаемый пользователь! В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    26 апреля 2011 г. 9:04