none
ошибка 10061 при обращении на 80 порт RRS feed

  • Вопрос

  • Ситуация такая ТМГ 2010 sp2 ru3. Установлен в схеме подсеть1-тмг-роутер1-vpn-роутер2-подсеть2.

    ВПН стоит на 2 железках без фильтров, весь трафик разрешён. На ТМГ соответственно прописан роутинг между подсетями (subnets).

    Проблема в следующем: если из подсети1 обратиться на любой ресурс по 80 порту, например на веб морду принтера, в подсети2, то получаем вот такой отбой:  

    Код ошибки 10061: в подключении отказано.

    По логам:10061 Подключение не установлено, т.к. конечный компьютер отверг запрос на подключение. 

    Причём если обращаться на другой порт например 8080, то всё работает. И при обращении из подсети2 в подеть1 на 80 порт, тоже всё работает. Не работает только при обращении из первой подсети во вторую. Никаких запрещающих правил на тмг не стоит, разрешён весь трафик в обе стороны. Возможно это какой-то фильтр или системное правило, но по логам не понять, может кто встречал такое?


    3 сентября 2013 г. 9:18

Ответы

  • тема уже обсуждалась и не раз...
    обращения по tcp 80 принудительно проксируются, это делает web proxy filter висящий на протоколе. поэтому на железку они попадают уже от внешнего ip tmg и в тунель не заворачиваются

    выхода два:
    1. создать новый протокол, например transparent http, на tcp 80 без фильтра. создать два правила: первое разрешающее новый протокол между подсетями, сразу за ним второе запрещающее обычный http из подсети1 в подсеть2. правила должны быть выше того по которому идет обычный http наружу.

    2. заворачивать в туннель внешний адрес tmg

    • Помечено в качестве ответа Snorlax 3 сентября 2013 г. 11:27
    3 сентября 2013 г. 10:45
    Отвечающий

Все ответы

  • в впн разрешен трафик только между внутренними подсетями? внешний ип tmg в туннель не заворачивается?

    3 сентября 2013 г. 10:16
    Отвечающий
  • нет не заворачивается с tmg пинг в удалённую подсеть не проходит.
    3 сентября 2013 г. 10:28
  • тема уже обсуждалась и не раз...
    обращения по tcp 80 принудительно проксируются, это делает web proxy filter висящий на протоколе. поэтому на железку они попадают уже от внешнего ip tmg и в тунель не заворачиваются

    выхода два:
    1. создать новый протокол, например transparent http, на tcp 80 без фильтра. создать два правила: первое разрешающее новый протокол между подсетями, сразу за ним второе запрещающее обычный http из подсети1 в подсеть2. правила должны быть выше того по которому идет обычный http наружу.

    2. заворачивать в туннель внешний адрес tmg

    • Помечено в качестве ответа Snorlax 3 сентября 2013 г. 11:27
    3 сентября 2013 г. 10:45
    Отвечающий
  • Вот спасибо, я так и думал что в фильтре косяк. первый "выход" для меня оптимален.
    3 сентября 2013 г. 11:27