none
доступ из внутренней сети по ВПН RRS feed

  • Вопрос

  • день добрый.
    мне нужно создать на локальной тачке ВНП подключение к удаленному серваку через ИСА 2006.
    я создаю новую сеть, туда вписываю локальный дипазон удаленной сети. потом сетевое правило - доступ из внутренней к уд сети через Маршрутизацию.  потом в политиках создаю правило разрешить РДП из внутренней в удаленную. но РДП не подключается, а пинг идет на локальный ИП удаленной тачки.  почему?? в мониторе подключение идет красным, я так понимаю блокировка идет из-за сетевого правила, но в чем проблема??
    11 января 2010 г. 12:27

Ответы

  • >>но после этого все РДП подключения идут через шлюз получается и я не могу подключится на простые внешние ИП. это не подходит - надо что б ода типа РДП работали одновременно.

    я же написал выше, используй locallat.txt на клиенте, туда можно вписать конкретные адреса сеток, трафик на которые fwc не будет трогать
    internal fwc не трогает потому что иса так устроена - читай матчасть что ли, вроде уже давно с исой возишься а до сих пор такие азбучные вопросы задаешь.
    14 января 2010 г. 14:23
    Отвечающий

Все ответы

  • ничего не понятно что ты хочешь сделать?
    >> создать на локальной тачке ВНП подключение к удаленному серваку через ИСА 2006
    это большинством людей понимается как создать обычное клиентское впн подключение с обычного писюка в локалке на какой то внешний сервак. при условии что локалка защищена иса сервером
    тогда зачем ты создаешь какие то сети и привала на самой исе?

    11 января 2010 г. 13:43
    Отвечающий
  • РДП не хочет конектиться в эту внешнюю сеть по внутреннему ИП удаленной тачки.
    11 января 2010 г. 14:04
  • А пингуется хоть?
    11 января 2010 г. 14:21
  • //но РДП не подключается, а пинг идет на локальный ИП удаленной тачки.
    11 января 2010 г. 14:25
  • еще какая тема. если добавить этот дипазон во внутренню сеть, то РДП подключается. но просто хочется выделить в отльную сеть, т.к. на исе постоянно ошибки о не сооветвиие адреса сетевого интерфейса и внутренней сети.
    11 января 2010 г. 14:39
  • Levii, а клиент брандмауэра (FWC) задействован на хосте? Похоже, что так. Либо исключайте ("mstsc"), либо обходитесь без оного при соединении с ресурсами удаленной сети через тоннель с хоста.

    12 января 2010 г. 8:06
    Отвечающий
  • РДП не хочет конектиться в эту внешнюю сеть по внутреннему ИП удаленной тачки.

    вот так сразу бы и написал, через клиентское впн подключение наружу.
    иса тут не причем, и не надо на ней создавать никакие сети и городить ересь в правилах
    больше чем уверен что у тебя стоит fwc, он заворачивает вce winsocks приложения на ису, еще до того как дело дойдет до маршрутизации и сетевых подключений. либо, как выше написал тезка, исключай mstsc в настройках fwc, либо используй locallat.txt на клиенте и впиши туда сети исключения, тогда для этих сетей fwc не будет перехватывать никакой трафик.
    • Предложено в качестве ответа Dmitry NikitinEditor 12 января 2010 г. 9:22
    • Отменено предложение в качестве ответа levii 12 января 2010 г. 10:17
    12 января 2010 г. 8:36
    Отвечающий
  • Для того, чтобы тебе ответили, нужно правильно задавать вопросы.
    Мне вот например часто звонят и говорят, что у них нифига не работает - я рекомендую обратиться в аварийную службу и узнать почему вырубили свет, а оказывается что какая то мелкая проблема.


    ДАНО:
      Две сети: Сеть 1 и Сеть 2. В роли пограничного файрвола в обоих сетях выступает ISA Server 2006.

    ЗАДАЧА:
      Организовать клиентское VPN подключение по протоколу PPTP из Сети 1 в Сеть 2. Разрешить доступ через клиентское VPN соединение к серверу терминалов по протоколу RDP.

    РЕШЕНИЕ:
      В Cети 2 на исе включаем удаленный доступ, определяем протоколы, по которым можно подключаться, пользователей и настраиваем пул адресов для VPN клиентов.

      По поводу пула адресов, лучше чтобы он выдавался DHCP (это возможно при условии если DHCP не установлен на самой исе) или был "вырезан" из диапазона адресов     внутренней сети. Если сделано так, то на стороне клиента в свойствах VPN подключения можно снять галочку "Использовать это VPN подключение в качестве шлюза по умолчанию" - дальше думаю нету смысла объяснять нафига оно такое нада. Если выбросить VPN клиентов в отдельный пул вышеупомянутая галочка у клиента должна присутствовать в противном случаи придется каждый раз при поднятии VPN соединения на стороне клиента прописывать маршрут руками или скриптом (нужны админские права).

      Все на той же исе создать правило Откада: VPN Клиенты (есть такая сеть - туда забрасываются клиенты (это ни коим образом не относится к VPN Site-To-Site) которые подключились по VPN) Куда: Сервер терминалов Протокол: RDP - Служба терминалов (3389:TCP исходящие - не путайте с сервер терминалов).

      В Сети 1 на исе создаем правило разрешающее исходящее PPTP соединение к вышеописанному VPN серверу. На клиентской машине создаем VPN подключение.
    Вот и все. Не забывайте вырубать FWC (если установлен) на клиентской машине, которая поднимает VPN соединение.
    • Предложено в качестве ответа Dmitry PonomarevEditor 12 января 2010 г. 9:03
    • Отменено предложение в качестве ответа levii 12 января 2010 г. 10:17
    12 января 2010 г. 8:38
  • ну fwc отрубать необязательно, обычно достаточно исключения вписать

    • Предложено в качестве ответа Dmitry PonomarevEditor 12 января 2010 г. 9:03
    • Отменено предложение в качестве ответа Dmitry PonomarevEditor 12 января 2010 г. 9:24
    12 января 2010 г. 8:58
    Отвечающий
  • Для того, чтобы тебе ответили, нужно правильно задавать вопросы.
    Мне вот например часто звонят и говорят, что у них нифига не работает - я рекомендую обратиться в аварийную службу и узнать почему вырубили свет, а оказывается что какая то мелкая проблема.


    ДАНО:
      Две сети: Сеть 1 и Сеть 2. В роли пограничного файрвола в обоих сетях выступает ISA Server 2006.

    ЗАДАЧА:
      Организовать клиентское VPN подключение по протоколу PPTP из Сети 1 в Сеть 2. Разрешить доступ через клиентское VPN соединение к серверу терминалов по протоколу RDP.

    РЕШЕНИЕ:
      В Cети 2 на исе включаем удаленный доступ, определяем протоколы, по которым можно подключаться, пользователей и настраиваем пул адресов для VPN клиентов.

      По поводу пула адресов, лучше чтобы он выдавался DHCP (это возможно при условии если DHCP не установлен на самой исе) или был "вырезан" из диапазона адресов     внутренней сети. Если сделано так, то на стороне клиента в свойствах VPN подключения можно снять галочку "Использовать это VPN подключение в качестве шлюза по умолчанию" - дальше думаю нету смысла объяснять нафига оно такое нада. Если выбросить VPN клиентов в отдельный пул вышеупомянутая галочка у клиента должна присутствовать в противном случаи придется каждый раз при поднятии VPN соединения на стороне клиента прописывать маршрут руками или скриптом (нужны админские права).

      Все на той же исе создать правило Откада:  (это ни коим образом не относится к VPN Site-To-Site) которые подключились по VPN) Куда: Сервер терминалов Протокол: RDP - Служба терминалов (3389:TCP исходящие - не путайте с сервер терминалов).

      В Сети 1 на исе создаем правило разрешающее исходящее PPTP соединение к вышеописанному VPN серверу. На клиентской машине создаем VPN подключение.
    Вот и все. Не забывайте вырубать FWC (если установлен) на клиентской машине, которая поднимает VPN соединение.
    вы мне объясните где вы взяли 2 сети?? и почему в ОБОИХ стоит ИСА. я, например, этого не знаю.
    VPN Клиенты (есть такая сеть - туда забрасываются клиенты в данном случае не подходит.

    //и не надо на ней создавать никакие сети и городить ересь в правилах
    еще раз скажу для чего это - но просто хочется выделить в отдельную сеть, т.к. на исе постоянно ошибки о не соответствие адреса сетевого интерфейса и внутренней сети.

    тогда подскажите, почему же происходит соединение при рабочем клиенте, если данный диапазон добавить в встроенную внутреннюю сеть??
    12 января 2010 г. 10:06
  • // тогда подскажите, почему же происходит соединение при рабочем клиенте, если данный диапазон добавить в встроенную внутреннюю сеть??

    Да потому, что его FWC на ISA не перенаправляет, а идет он через шлюз подключения по требованию с хоста. Но так делать неправильно
     - добавляйте исключение для "mstsc"!

    12 января 2010 г. 10:17
    Отвечающий
  • а как сделать подобное исключение?? что вы имеете в виду??
    12 января 2010 г. 10:32
  • General - Firewall Client Settings: Application Settings: <Add> Application "mstsc", Key "Disable", Value "1".

    После этого на клиенте службу FWC перезапустите ("fwcagent").

    12 января 2010 г. 10:36
    Отвечающий
  • но после этого все РДП подключения идут через шлюз получается и я не могу подключится на простые внешние ИП. это не подходит - надо что б ода типа РДП работали одновременно.
    12 января 2010 г. 10:47
  • Ну тогда FWC отключайте по мере надобности на клиенте....

    12 января 2010 г. 11:03
    Отвечающий
  • //Да потому, что его FWC на ISA не перенаправляет, а идет он через шлюз подключения по требованию с хоста
    а в чем разница?? как определяется, что это встроенная внутренняя сеть, и туда надо по шлюзу, а вот моя новая сеть - туда только по клиенту??
    12 января 2010 г. 13:28
  • FWC туннелирует (TCP на 1745) TCP и UDP трафик winsock-приложений на ISA в общем случае тогда, если его назначение находится вне сети "Internal".

    12 января 2010 г. 13:47
    Отвечающий
  • >>но после этого все РДП подключения идут через шлюз получается и я не могу подключится на простые внешние ИП. это не подходит - надо что б ода типа РДП работали одновременно.

    я же написал выше, используй locallat.txt на клиенте, туда можно вписать конкретные адреса сеток, трафик на которые fwc не будет трогать
    internal fwc не трогает потому что иса так устроена - читай матчасть что ли, вроде уже давно с исой возишься а до сих пор такие азбучные вопросы задаешь.
    14 января 2010 г. 14:23
    Отвечающий
  • спасибо за совет. о такой штуке раньше не слышал. загуглив нашел интересную статью
    http://www.isadocs.ru/articles/Bypassing-Firewall-Client-using-Locallatext-Files.html
    а там описание, но не только данного файла.
    вот теперь новый вопрос - почему, когда я добавляю адреса, то соединение все-равно не проходит??
    http://imglink.ru/show-image.php?id=7877868cdbfb246fd16595b3bbe171a9
    15 января 2010 г. 8:06
  • А в свойствах VPN подлключения случайно галочка не стоит - Использовать основной шлюз в удаленной подсети .
    Свойства соединения \ Закладка Сеть \ Протокол интернета TCP/IP \ Свойства.

    Это не касается темы но тоже может вылезти http://www.redline-software.com/rus/support/articles/isaserver/config/work-around-vpn-clients-split-dns.php
    15 января 2010 г. 9:45
  • нет, галочки нет.
    15 января 2010 г. 10:05
  • спасибо за совет. о такой штуке раньше не слышал. загуглив нашел интересную статью
    http://www.isadocs.ru/articles/Bypassing-Firewall-Client-using-Locallatext-Files.html
    а там описание, но не только данного файла.
    вот теперь новый вопрос - почему, когда я добавляю адреса, то соединение все-равно не проходит??
    http://imglink.ru/show-image.php?id=7877868cdbfb246fd16595b3bbe171a9

    да что ж такое то :))
    ты хоть почитай внимательно, там даже на русском написано: твоя картинка относится к настройке исключения ТОЛЬКО для WEB ПРОКСИ. а тебе надо для FWC, это совершенно разные вещи. вот как было в первой ссылке написано, так и делай: впиши адреса в locallat.txt на КЛИЕНТСКОМ (то есть на своем) компе, сохрани, и рестартани сервис fwc
    15 января 2010 г. 11:36
    Отвечающий