none
Нет доступа между центральным офисом и филиалом RRS feed

  • Вопрос

  • Ситуация следующая:

    Два Win 2003 SP 2+ Isa 2006 (по одному на центр и филиал)
    Две подсети 192.168.35.0\24 в центре и 192.168.33.0\24 в филиале
    Есть VPN IPSec между офисами (предоставил провайдер)

    Обе подсети описаны как internal
    В таблице маршрутизации центра прописано, что при поступлении запроса в подсеть филиала (если из центра) все пакеты передавать на маршрутизатор (192.168.35.6)
    т.е. route 192.168.35.0 mask 255.255.255.0 192.168.35.6 metric 1
    В филиале наоборот.

    Проблема в том, что пинги и трассеровка ходят как нужно, но к ресурсам сети филиала из центра и центра из филиала доступа нет. ни по RPC, SMTP, RDP и тд.

     Если настроить рабочие станции в обход и ISA сервера сразу в туннель (путем марутизации), то все работает. Отсюда я делаю вывод, что проблема не в туннеле, а в ISA.





























    25 января 2009 г. 14:03

Все ответы

  • Проблема, скорее всего, в том, что пакеты (они же - датаграммы) соединения в одну сторону (от хоста) идут через ISA Server его офиса, а в другую - напрямую с маршрутизатора на хост, минуя ISA. В результате ISA не может отслеживать соединения TCP и считает их неправильными, а потому - запрещает.

    Нужно сделать так, чтобы пакеты в обе стороны либо шли одинаково - либо через ISA, либо мимо.

    Возможно несколько вариантов решения проблемы. Наилучший (на мой взгляд) - прописать на всех клиентах маршрут в сеть другого офиса через соответствующий маршрутизатор (в своем офисе). Если клиенты - WinXP и выше, то маршрут можно раздать через DHCP, иначе - вручную, выполнив однократно с правами администратора команду route add -p с нужными параметрами (такими же, как и на ISA).

    Альтернативой может быть настройка на хостах шлюза по умолчанию на маршрутизатор в свойей сети, и добавление на маршрутизаторе маршрута по умолчанию (0.0.0.0/0, т.е. с маской 0.0.0.0) на внутренний интерфейс соответсвующего сервера ISA. Если маршрутизатор не пытается умничать и отслеживать состояние соединения (т.е. выполнять функции межсетевого экрана, как ISA), то этот вариант пройдет.

    Третий вариант - настройка IP на интерфейсе маршрутизатора и дополнительного IP на интерфейсе ISA из другого диапазона и соответствующего изменения маршрута на ISA (например в центре - 192.168.22.6/24 на маршрутизаторе, 192.168.22.6/24 - на ISA, и изменить на ISA маршрут на

      route 192.168.33.0 mask 255.255.255.0 192.168.22.6). Я не знаю, будет ли это на 100% работоспсособным, т.к. в ISA 2004 имелись проблемы с работой протоколов с несколькими соединениями (например, FTP и RPC) для вторичных IP-адресов, и у меня нет уверенности, что в ISA 2006 они устранены.

    PS Похожая по сути тема была совсеми недавно http://forums.microsoft.com/TechNet-RU/ShowPost.aspx?PostID=4310027&SiteID=40

    25 января 2009 г. 23:36
  • Если я правильно понял второй вариант, то нужно на маршрутизаторах добавить дополнительный маршрут "пересылать все пакеты приходящие в него из вне на внутренний интерфейс ISA" на обоих концах.
    ТАК?
    26 января 2009 г. 4:46
  • Да. У Вас ситуация совершенно симметричная, поэтому в обоиих офисах настройки должны быть сходными (с точностью до IP-адресов, которые разные).

     

    26 января 2009 г. 7:17