none
ISA Server 2006 Enterprise Создание VPN site to site RRS feed

  • Вопрос

  • Добрый день. Помогите пожалуйста.

    Пробую создать ВПН между двумя удалёнными офисами.

    На двух концах стоит  ISA Server 2006 Enterprise.

    Главный офис.

    Стоит - Windows server 2003, ISA Server 2006 Enterprise, Active Directory, Настроена маршрутизация через NAT, Создан ВПН через (L2TP) с ключём. Создана учётка ТЕСТ, включенены входящие подключения.

    Внутриний IP - 10.20.20.0/24 (статический)

    Внешний  IP - 86.111.ххх.ххх

    Филиал 

    Стоит - Windows server 2003, ISA Server 2006 Enterprise, Active Directory, Настроена маршрутизация через NAT,   Создан ВПН через (L2TP) с ключём.  Создана учётка ТЕСТ, включенены входящие подключения.

    Внутриний IP 192.168.1.0/24 (DHCP)

    Внешний  IP -  46.201.ххх.ххх

    Есть вопросы на которые я сам не в состоянии ответить.

    1. В главном офисе, журнал на ошибки чистый, при созданном подключении с двух сторон, но подключения нету. Пинги не идут.

    Спокойно подключаюсь с домашнего компьютера с помощью ВПН подключения, виндового. Пингуются все машины, свободно пингую свою машину, захожу, имею доступ ко всем ресурсам разрешённых для моей учётки. Проблема в следующем.

    Спокойно подключаюсь с любой другой машины, на которой стоит ХР.

    Пытаюсь таким же методом подключиться с Филиала, сыпятся ошибки подключения. Сначала 800, поправил Ису, потом 628, поправил Ису, потом 619, на чём и остановились. Понял что скорее всего не проходят пакеты GRE. Открыл на Исе вообще всё что смог открыть, всё/ для всех, результат ноль!

    Пошёл по логическому пути. снёс в филиале Ису, маршрутизацию + NAT. Сделал подключение, всё работает. Сделал маршрутизацию виндовыми средствами, всё работает, поставил Ису, не могу подключиться. Пробывал разрешить всем/всё на двух концах соединения, не могу подключиться.

    Подскажите пожалуйста в чём может быть проблема и что я не так делаю, замучался уже. Спасибо.

     




    • Изменено GURONT 24 октября 2011 г. 9:13
    24 октября 2011 г. 9:08

Ответы

  • Эм, вот подумал, видать мне нужно 192.168.0.0 включить в внутренюю. А у меня 192.168.0.1 начало.

    ну может для тебя и 0.1 начало, а вообще во всем мире для сетки /24 началом всегда был 0 :)

    а иса ругается потому что 0.0 по таблице роутинга и по всем известным логикам должен был быть в internal, а в исе он в internal не вписан - все что никуда не вписано автоматом определено как External, вот она и пишет про внешнюю сетевуху
    • Изменено Dmitry NikitinEditor 26 октября 2011 г. 17:00
    • Помечено в качестве ответа GURONT 27 октября 2011 г. 8:47
    26 октября 2011 г. 16:57
    Отвечающий

Все ответы

  • День добрый.

    Есть документ Creating a Site to Site VPN using ISA 2006 Firewalls at the Main and Branch Office.

    http://www.isaserver.org/tutorials/Creating-VPN-ISA-Server-2006-Firewalls-Main-Branch-Office-Part1html.html

    Почитайте, подумайте и сравните конфигурации.


    MCITP. Знание - не уменьшает нашей глупости.
    24 октября 2011 г. 9:21
  • Спасибо, я уже этот док и не только этот помню практически на память.

    У меня на данный момент вопрос 1, почему меня не выпускает Иса и не даёт создать ручное-виндовое ВПН подключение.


    • Изменено GURONT 24 октября 2011 г. 9:27
    24 октября 2011 г. 9:27
  • 619 ошибка, это ошибка не авторизированого RRAS сервера.

    Error 619:

    1. The port was disconnected (or Error 645, Dial-Up Networking could not complete the connection to the server and Error 930, The authentication server did not respond to authentication requests in a timely fashion. The Event Viewer shows: Event id: 20073, Description: The following error occurred in the Point to Point Protocol module on port: <var>port number</var>, UserName: <var>user name</var>. The authentication server did not respond to authentication requests in a timely fashion). When using VPN to access a remote network, W2K clients mat get above errors but not win9x and ME clients. This issue occurs because the VPN server hasn't registered in Active Directory.


    2.You get this message when connecting via cable modems, dial up DOESN'T have any issues.

    Resolution: 1) This problem most likely is secure issue such as unsecured password. So, check the settings.
    2) It could be the hardware issue. Try to re-setup the device or download the new driver or just reset the devices such as modem and router.
    3) Reapply the service pack
    4) If the RRAS is in a domain network, add the VPN to the appropriate group. To do this, go to Active Directory Users and Computers>domain name>Users, double-click the RAS and IAS Servers security group. Select the members and add the VPN server to this group. 2) Type
    <kbd>netsh ras add registeredserver</kbd> at a command prompt (<kbd>registeredserver</kbd> is vpn server name), and then press ENTER.

    Check also these items in this order:

    1.Your personal firewall. It must be configured to allow a pptp vpn connection from your computer. A pptp connection requires port 1723 and support for the TCP/IP GRE protocol (protocol # 47).

    2.Your personal router (if you are at home). It needs to be configured to support pptp vpn pass through. It is usually under the advanced tab when you log into your router/firewall appliance. Some older models will need to have a newer version of the firmware installed. You can download this from the vendor's websites.

    3.The network you are on may actively block a pptp vpn by policy. Some networks may have old routers that do not support GRE. If you do not own these networks the only thing you can do is talk to tech support.

    4. If all else fails and you are running windows, delete and recreate the vpn definition. Windows will corrupt the registry from time to time.

    5. If you are at home and it just stops working turn off your router for about 10 minutes. Your router gets portscanned all the time. Some of the scans can knock the little routers for a loop. They will still pass some traffic, but not all types of traffic. Also, the DSL network elements have bugs too. Turning off and back on has solved four "could not connect" problems this year.


    MCITP. Знание - не уменьшает нашей глупости.

    24 октября 2011 г. 10:28
  • Спасибо изучил, буду пробывать, но вопрос всё же остаётся без ответа, почему без Исы я могу спокойно подключиться в ручном режиме виндовым ВПН соединением а при установленной Исе не могу?
    24 октября 2011 г. 11:39
  • Потому, что ISA на фаерволе не пропускает пакеты согласования VPN сесии. Для этого надо пилить дырки. 
    MCITP. Знание - не уменьшает нашей глупости.
    24 октября 2011 г. 11:51
  • Спасибо, но честно говоря бред полный, или косяк где то в Исе, или я чтото не так делаю, т.к. разрешения выставил всё что можно куда только можно, поставил первым в правилах, но проблему не решает. Мб из-за этого и не получается создать ВПН соединение. Хоть бери да сноси Ису и делай всё по новому.
    • Изменено GURONT 24 октября 2011 г. 12:33
    24 октября 2011 г. 12:33
  • В свое время, когда делал Site-to-Site с одним основным и 4 дополнительными сайтами, 4 раза переделывал инфраструктуру в тестовой среде пока все не заработало.


    MCITP. Знание - не уменьшает нашей глупости.
    24 октября 2011 г. 12:42
  • что то я не пойму. делали сайт ту сайт, а проверяете клиентские подключения? и причем тут gre если в l2tp используется ipsec?
    24 октября 2011 г. 12:47
    Отвечающий
  • Насколько понял с описания проблемы. С филиала нету доступа к ресурсам основного офиса.

    1. Предложил проверить построение на основании примера в статье.

    2. После были попытки подключения из филиала на основной сервер обычным VPN, и непроходила авторизация.

    3. Третий вопрос был почему, не подключался vpn из локальной сети через isa?

     

    В конце определились, что надо внимательно проверить настройки и еще раз по статье настроить ISA. :)

    Могу ошибаться.


    MCITP. Знание - не уменьшает нашей глупости.


    24 октября 2011 г. 13:06
  • что то я не пойму. делали сайт ту сайт, а проверяете клиентские подключения? и причем тут gre если в l2tp используется ipsec?

    Да делал подключение site to site но как написал Kovalenko_Oleg проверял подключение.

    Как я понял для VPN нужно правило для порта 1723 и GRE пакетов по порту 47.

    24 октября 2011 г. 15:08
  • Спасибо, ещё раз с самого начала буду пробывать, уверен что гдето чтото пропустил.
    24 октября 2011 г. 15:09
  • что то я не пойму. делали сайт ту сайт, а проверяете клиентские подключения? и причем тут gre если в l2tp используется ipsec?

    Да делал подключение site to site но как написал Kovalenko_Oleg проверял подключение.

    Как я понял для VPN нужно правило для порта 1723 и GRE пакетов по порту 47.


    это для pptp, и gre ходит не по порту, просто номер ip протокола у него 47, у ip не бывает портов, порты только у tcp и udp

    l2tp работает не с gre а с ipsec, у него udp1701 и ip50

    24 октября 2011 г. 16:56
    Отвечающий
  • Я прошу прощения, мне ктото может втолковать  что это за ошибка а т о я не совсем до конца понимаю её.

    SA Server обнаружил маршруты через сетевую плату Internet, которые не связаны с сетью, которой принадлежит эта плата. Правильная настройка сети подразумевает, что диапазоны IP-адресов каждой сети уровня массива должны включать все IP-адреса, маршрутизируемые через сетевые платы этой сети согласно их таблицам маршрутизации. В противном случае действительные пакеты могут отбрасываться как поддельные. Следующие диапазоны включены в диапазоны IP-адресов этой сети, но не маршрутизируются ни через одну из сетевых плат: 192.168.0.0-192.168.0.0;. Обратите внимание, что это событие может однократно создаваться после добавления маршрута, создания удаленной сети или настройки балансировки сетевой нагрузки. Его можно проигнорировать, если оно больше не возникнет.

    Настроен DHCP

    Маршрутизация настроена через виндовый NAT

    Указано Сети - Внутреняя айпи - 192.168.0.1-255/24 при чём тут  Internet, если у неё совсем другой диапазон айпишников. И указан совсем другой диапазон, в демитализированной зоне этот диапазон и диапазон принадлежавший внутреней сети исключён. Что Иса ещё хочет.


    Эм, вот подумал, видать мне нужно 192.168.0.0 включить в внутренюю. А у меня 192.168.0.1 начало.
    • Изменено GURONT 26 октября 2011 г. 11:33
    26 октября 2011 г. 11:30
  • http://jodies.de/ipcalc

    http://ru.wikipedia.org/wiki/IP-%D0%B0%D0%B4%D1%80%D0%B5%D1%81

    192.168.0.0/24

    Несмущайте Lat таблицу ISA :)


    MCITP. Знание - не уменьшает нашей глупости.

    26 октября 2011 г. 12:42
  • Эм, вот подумал, видать мне нужно 192.168.0.0 включить в внутренюю. А у меня 192.168.0.1 начало.

    ну может для тебя и 0.1 начало, а вообще во всем мире для сетки /24 началом всегда был 0 :)

    а иса ругается потому что 0.0 по таблице роутинга и по всем известным логикам должен был быть в internal, а в исе он в internal не вписан - все что никуда не вписано автоматом определено как External, вот она и пишет про внешнюю сетевуху
    • Изменено Dmitry NikitinEditor 26 октября 2011 г. 17:00
    • Помечено в качестве ответа GURONT 27 октября 2011 г. 8:47
    26 октября 2011 г. 16:57
    Отвечающий
  • Спасибо, разобрался, запутался уже просто.
    27 октября 2011 г. 8:48
  • Значит так, настроил по новой подключение на двух концах соединения, поднял DHCP с двух сторон, при ручном подключении всё нормально, подключаюсь, всё вижу, пингую, но при соедитение РРТР нету пинга, что самое интересное журнал полностью чистый на ошибки. Пока что не могу понять в чём дело. 
    27 октября 2011 г. 10:10