none
Не получается установить VPN соединение за (внутри) TMG с внешним сервером. RRS feed

  • Вопрос

  •     Локальные пользователи находятся за FW TMG 2010, в интернет попадают используя в качестве прокси TMG. Так вот и локальной сети я не могу установить VPN соединение с внешним сервером (если выходить в интернет в обход TMG - соединение устанавливается успешно).

       На клиентcком ПК установлен "Клиент Forefornt TMG":

    1. Телнетом на 1723 я проваливаюсь, в логах TMG: 

    Initiated Connection TMG01 7/23/2013 10:11:43 AM 
    Log type: Firewall service 
    Status: The operation completed successfully.  
    Rule: Allow VPN to Ext 
    Source: Internal (10.62.170.77:49357) 
    Destination: External (XXX.XXX.XXX.XXX:1723) 
    Protocol: PPTP user def 
    User: domain\stp2 

    2. При попытках установить PPTP соединение:

    На клиентском ПК:

    Сначала вижу табличку с надписью "проверка имени пользователя и пароля", затем "установка связи с ХХХ.ХХХ.ХХХ.ХХХ", затем

    "Ошибка 800: Удаленное подключение не удалось установить из-за сбоя использованных VPN-туннелей"

    В логах TMG, я вижу:

    Allowed Connection TMG01 7/23/2013 10:20:08 AM 
    Log type: Web Proxy (Forward) 
    Status: 407 Proxy Authentication Required 
    Rule: Allow Web Access 
    Source: Internal (10.62.170.77:49384)  - ИП клиента
    Destination: External (10.62.4.81:443) - внутренний адрес ТМГ
    Request: ХХХ.ХХХ.ХХХ.ХХХ:443  - (адрес внешнего VPN сервера, не понимаю почему 443 порт)
    Filter information: Req ID: 21861fdc  
    Protocol: SSL-tunnel 
    User: anonymous 

    Denied Connection TMG01 7/23/2013 10:20:08 AM 
    Log type: Web Proxy (Forward) 
    Status: 12209 Forefront TMG requires authorization to fulfill the request. Access to the Web Proxy filter is denied.  
    Source: Internal (10.62.170.77:49385) 
    Destination: 10.62.4.81:443 
    Request: CONNECT  
    Filter information: Req ID: 21861fdf  
    Protocol: SSL-tunnel 
    User: anonymous 
     Additional information 
    Object source: (No source information is available.)
    Cache info: 0x0
    Processing time: 1 MIME type: 
     
    Initiated Connection TMG01 7/23/2013 10:25:54 AM 
    Log type: Firewall service 
    Status: The operation completed successfully.  
    Source: Internal (10.62.170.77:49384) 
    Destination: Local Host (10.62.4.81:8080) 
    Protocol: HTTP Proxy 

    Closed Connection TMG01 7/23/2013 10:25:54 AM 
    Log type: Firewall service 
    Status: A connection was gracefully closed in an orderly shutdown process with a three-way FIN-initiated handshake.  
    Source: Internal (10.62.170.77:49384) 
    Destination: Local Host (10.62.4.81:8080) 
    Protocol: HTTP Proxy 

    Ну вот с описательной частью все, теперь вопрос какже все-таки мне установить VPN соединение находясь за TMG?

    Спасибо.


    23 июля 2013 г. 4:28

Ответы

  • PPTP не работает через firewall client TMG. Он работает только как клиент SecureNAT  - с соотвествующими ограничениями:

    - TMG должен работать как маршрутизатор на пути от клиента к серверу PPTP (например, быть шлюзом по умолчанию для клиента);

    - аутентификация для SecureNAT клиентов невозможна, поэтому для успешного соединения в TMG должно быть правило, разрешающее трафик PPTP от клиента к серверу для всех пользователей.


    Слава России!

    • Помечено в качестве ответа Aleksey Ozerov 24 июля 2013 г. 7:14
    23 июля 2013 г. 15:27

Все ответы

  • В дополнение, WireShark на клиенте при попытке установить соединение показывает:

    Transmission Control Protocol, 
    Src Port: 49424 (49424), 
    Dst Port: pptp (1723), 
    Seq: 0, 
    Len: 0

    т.е. я так понимаю клиент то пытается на 1723 порт проломиться...

    23 июля 2013 г. 4:48
  • И еще одно дополнение, гугл пишет о том, что нужно отключить PPTP фильтр, но я этого не могу сделать, у меня доступна только вкладка "Свойства" и отключить его я не могу...
    23 июля 2013 г. 6:08
  • ну хоть какие-нибудь мысли пожалуйста....
    23 июля 2013 г. 12:14
  • Allowed Connection TMG01 7/23/2013 10:20:08 AM 
    Log type: Web Proxy (Forward) 
    Status: 407 Proxy Authentication Required 
    Rule: Allow Web Access 
    Source: Internal (10.62.170.77:49384)  - ИП клиента
    Destination: External (10.62.4.81:443) - внутренний адрес ТМГ
    Request: ХХХ.ХХХ.ХХХ.ХХХ:443  - (адрес внешнего VPN сервера, не понимаю почему 443 порт)
    Filter information: Req ID: 21861fdc  
    Protocol: SSL-tunnel 
    User: anonymous 

    Denied Connection TMG01 7/23/2013 10:20:08 AM 
    Log type: Web Proxy (Forward) 
    Status: 12209 Forefront TMG requires authorization to fulfill the request. Access to the Web Proxy filter is denied.  
    Source: Internal (10.62.170.77:49385) 
    Destination: 10.62.4.81:443 
    Request: CONNECT  
    Filter information: Req ID: 21861fdf  
    Protocol: SSL-tunnel 
    User: anonymous 
     Additional information 
    Object source: (No source information is available.)
    Cache info: 0x0
    Processing time: 1 MIME type: 
     

    Здравствуйте Алексей,

    Правила доступа/авторизацию смотрели?


    Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    23 июля 2013 г. 12:32
    Модератор
  • PPTP не работает через firewall client TMG. Он работает только как клиент SecureNAT  - с соотвествующими ограничениями:

    - TMG должен работать как маршрутизатор на пути от клиента к серверу PPTP (например, быть шлюзом по умолчанию для клиента);

    - аутентификация для SecureNAT клиентов невозможна, поэтому для успешного соединения в TMG должно быть правило, разрешающее трафик PPTP от клиента к серверу для всех пользователей.


    Слава России!

    • Помечено в качестве ответа Aleksey Ozerov 24 июля 2013 г. 7:14
    23 июля 2013 г. 15:27
  • Спасибо :) Коротко и ясно, действительно после удаления firewall client TMG и добавления статического маршрута, который пропускает запросы к внешнему VPN серверу через TMG - все заработало, разрешающее правило было настроено в процессе ковыряний, изменять не пришлось.

    Еще раз спасибо.

    p.s.

    Элина, что-то в новом интерфейсе я так и не смог найти кнопку помечающую сообщение как ответ.

    • Изменено Aleksey Ozerov 24 июля 2013 г. 3:55 апдейт
    24 июля 2013 г. 3:52
  • Когда создавали тему, Вы выбрали тип - Общие обсуждения, поэтому не было возможности пометить ответ :) Я изменила тип на Вопрос, сейчас можете пометить. Рада, что проблема решилась!

    Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    24 июля 2013 г. 5:47
    Модератор
  • fwc удалять необязательно, он другим прогам может пригодиться
    24 июля 2013 г. 15:42
    Отвечающий
  • Спасибо, приму к сведению, данному конкретному пользователю он не нужен, на будущее учту.
    25 июля 2013 г. 2:14