none
VPN между ISA и железкой (Nortel Contivity 1100) RRS feed

  • Вопрос

  • Настраиваю между двумя точками VPN на IPSec, в одной точке ISA 2004, ао второй железка. Все работает хорошо, но есть одно но - с компа, где установлен ISA невозможно попасть в удаленную сеть. Из удаленной сети нормально попадаю на сомп с ISA. Почему так происходит знаю - ISA при обращении в удаленную сеть использует не свой внетренний, а внешний адрес и естесственно ничего не работает. Как решить эту проблемму?
    16 октября 2006 г. 8:02

Ответы

  • На железке в адреса удаленой сети добавил внешний адрес ISA и все заработало!
    Что самое интересное, если конфигурить тунель железка-железка, то этого делать не надо.
    19 октября 2006 г. 6:18

Все ответы

  • 2 сетевухи что-ли стоит? нафиг? ваще нафига наружу выставлять? это на железяке лучше сделать!

    на серваке с исой должен достаточно одного внутреннего адреса

    а на железяке уже делаешь правила, типа "внешний IP"->"внутренний IP" (переадресация) на вход из инета, и аналогичный на выход...

    16 октября 2006 г. 8:54
  • route print в студию
    16 октября 2006 г. 8:55
  • Когда на ISA2004 вы создаёте сетьудалённого сайта, то ISA будет распознавать её как любую другую напрямую подключённую сеть и для неё нужно будет создать Network Rules и Acces Rules. В частности, для того, чтобы непосредственно с ISA можно было бы обращаться в сеть удалённого сайта, нужно создать Access Rule из сети Local Host в Remote Site Network (Network Rule уже имеется).
    16 октября 2006 г. 9:32
  •  -kot- написано:

    2 сетевухи что-ли стоит? нафиг? ваще нафига наружу выставлять? это на железяке лучше сделать!

    на серваке с исой должен достаточно одного внутреннего адреса

    а на железяке уже делаешь правила, типа "внешний IP"->"внутренний IP" (переадресация) на вход из инета, и аналогичный на выход...

     
    Вы не поняли. С одной стороны туннельь терминирует ИСА, с другой железка
    16 октября 2006 г. 9:51
  • А что даст route print ?
    Там все равно не видно тех роутов которые ИСА на туннели создает
    16 октября 2006 г. 9:52
  • Создал и Network Rules из сети в сеть и Acces Rules для сетей и отдельное правило для локалхоста. Все компы за ИСА видят удаленную сеть, сама ИСА не видит, пишет "Согласование используемого уровня безопасности IP"
    16 октября 2006 г. 9:56
  •  Serv-IV написано:
    Настраиваю между двумя точками VPN на IPSec, в одной точке ISA 2004, ао второй железка. Все работает хорошо, но есть одно но - с компа, где установлен ISA невозможно попасть в удаленную сеть. Из удаленной сети нормально попадаю на сомп с ISA. Почему так происходит знаю - ISA при обращении в удаленную сеть использует не свой внетренний, а внешний адрес и естесственно ничего не работает. Как решить эту проблемму?

    В свойствах удаленного VPN-сайта на стороне ISA 2004, на вкладке Adresses, в дополнение к указанному там диапазону Вашей внутренней сети, пропишите ВНЕШНИЙ IP-адрес этого удаленного сайта. Это автоматически сформирует необходимую IPSec-политику и разрешит доступ именно с самой ISA.

    17 октября 2006 г. 9:18
  • Вы имеете ввиду в сеть internal добавить внешний адрес сервера?
    Пробовал добавлять, ситуация не меняется :(
    17 октября 2006 г. 10:28
  •  Serv-IV написано:
    Вы имеете ввиду в сеть internal добавить внешний адрес сервера?
    Пробовал добавлять, ситуация не меняется :(
     
    Нет, не то, сети редактировать не надо. Добавить надо сюда: Arrays-><Name>->Virtual Private Networks->Remote Site->Properties->Addresses. Туда добавить ВНЕШНИЙ адрес удаленного сайта.
    17 октября 2006 г. 11:28
  • Это я так понимаю Вы для ISA 2000 написали, у меня 2004. Значит я должен добавить в Virtual Private Network - Remote Sites - myremotesite - Properties->Addresses.
    Добавил туда, все равно точно так же себя ведет.
    18 октября 2006 г. 5:38
  • Нет, я писал как раз для ISA 2004 (в ISA 2000, насколько я помню, возможности создавать IPSec-туннели просто нет).

    Но дело не в этом. Проверим политики. Запущаем gpedit.msc. Открываем Local Computer Policy->Computer Configuration->Windows Settings->Security Settings->Local Policies->Audit Policy. Там выставляем Audit Logon Events и Audit Object Access в Success, Failure. Теперь в Event Viewer'е в группе Security можно увидеть, удалось ли Вашей ISA договориться с железкой по IPSec'у. Если нет - будут ошибки, приведите их плз. Настойка этого - самое громоздкое и хлопотливое занятие...

    18 октября 2006 г. 8:35
  • Я в свое время так долго искал как включить лог этих событий. Думал ISA должен это в свои логи писать :)
    Ну вот собственно ошибка
     
    Тип события: Аудит отказов
    Источник события: Security
    Категория события: Вход/выход
    Код события: 547
    Дата:  19.10.2006
    Время:  8:44:43
    Пользователь:  NT AUTHORITY\NETWORK SERVICE
    Компьютер: PROXY-OD
    Описание:
    Не удалось согласовать сопоставление безопасности IKE.
     Режим:
    Режим защиты данных (быстрый режим)
     
     Фильтр:
    IP-адрес источника 195.138.93.195
    Маска IP-адреса источника 255.255.255.255
    IP-адрес назначения
    192.168.20.0
    Маска IP-адреса назначения 255.255.255.0
    Протокол 0
    Порт источника 0
    Порт назначения 0
    Локальный адрес IKE 195.138.93.195
    Адрес партнера IKE 80.91.174.80
    Порт источника IKE 500
    Порт назначения IKE 500
    Частный адрес партнера
     
     Идентификация:
    Код (ID) предварительного общего ключа.
    IP-адрес узла: 80.91.174.80
     
    Точка ошибки:
    Я
     
     Причина ошибки:
    Не удалось получить новый SPI для входящего SA от драйвера LPSEC. Вероятная причина: драйвер не имеет подходящего фильтра. Проверьте вашу политику и фильтры в ней.
     
     
     

     
     
    19 октября 2006 г. 6:00
  • На железке в адреса удаленой сети добавил внешний адрес ISA и все заработало!
    Что самое интересное, если конфигурить тунель железка-железка, то этого делать не надо.
    19 октября 2006 г. 6:18
  • Ну и славно, значит, мы пошли в правильном направлении :) На будущее учтите также, что для проверки имеющихся политик и фильтров можно пользоваться оснасткой IP Security Monitor.

    Странно другое: почему предпринятое Вами действие исправило ошибку? Приведенные Вами данные говорят о том, что на хосте с ISA не срабатывает/отсутствует фильтр от внешнего IP ISA на 192.168.20.0/255.255.255.0. По идее, внесение дополнительных политик на удаленной железке не должно было изменить ситуацию. Хотя, кто его знает, как она отвечает ISA Server'у...

    19 октября 2006 г. 9:35