none
TMG не пускает в подсеть филиала RRS feed

  • Вопрос

  • Имею следующую проблему:

    есть TMG, есть другая железяка, которая обеспечивает связь с филиалами через интернет по IPSec с адресом 192.168.0.200

    Адресация такова:

    сеть центрального офиса 192.168.0.0/22, сети филиалов: 172.16.4.0/23, 172.16.6.0/23, 172.16.8.0/23

    На ТМГ создано правило вот такого вида: https://gyazo.com/be9c2d768474e0f513c64ae73e5fd6ff

    В ТМГ прописаны маршруты (networking- routing), чтобы трафик до этих сетей пинался на 192.168.0.200. Сети филиалов и центрального офиса добавлены в группу Internal.

    Проблема в том, что не пускает из сети центрального офиса в сеть филиалов. Ругается, вот так: https://gyazo.com/997d611e6a3d1823e7c0bd76005530db

    Подскажите, что делать?



    Правильно натасканная совесть никогда не грызёт своего хозяина


    • Изменено vap77 13 августа 2015 г. 10:31
    13 августа 2015 г. 9:43

Ответы

Все ответы

  • Добрый день!

    Уточните, пожалуйста, что за адрес 172.16.0.200? опечатка?

    Доступны ли сети филиалов с самого сервера TMG? проверяли ли маршрут до филиалов, tracert?

    Судя по логу у вас Ваше правило для сети Internal не работает, трафик запрещается правилом по умолчанию.

    13 августа 2015 г. 10:22
  • 1. Да, опечатка. Следует читать 192.168.0.200

    2. Да, доступны. С самого сервера ТМГ всё пингуется и "через две палки", например,\\172.16.4.50, ходит.

    Если на любом компьютере центрального офиса прописать route add 172.16.4.0 mask 255.255.254.0 192.168.0.200, то всё побежит. Но это ведь неправильно! ТМГ должен выпнуть пакет куда следует.

    3. Да я понимаю, что дефолтным правилом дропается, значит, я что-то не так делаю, но не могу врубиться, что именно. :-)


    Правильно натасканная совесть никогда не грызёт своего хозяина

    13 августа 2015 г. 10:31
  • А шлюзом по умолчанию для ПК головного офиса является какое устройство?

    13 августа 2015 г. 10:39
  • Разумеется, ТМГ- 192.168.0.1

    Правильно натасканная совесть никогда не грызёт своего хозяина

    13 августа 2015 г. 10:40
  • Можете показать Tracert с ПК из головного офиса до одного из филиалов?
    13 августа 2015 г. 10:51
  • Могу, только смысл смотреть на "глушняк"? :-)

    https://gyazo.com/89caf9a98f665e1b80e674579059c19b


    Правильно натасканная совесть никогда не грызёт своего хозяина

    13 августа 2015 г. 11:20
  • Попробуйте создать для каждого филиала объект Subnet или Computer Set с перечислением их диапазонов IP. После чего создать правило отношения сетей Networking - Network Rules. Создайте правило, где в качестве source укажите Internal, а в качестве Dest указите ваши объекты подсетей или наборов компьютеров, тип Network Relationship - Route.

    И разместите это правило перед правилом Internet Access.


    13 августа 2015 г. 11:21
  • Сделал вот так:

    https://gyazo.com/1e77009984cc50b12c86ce1ca824a56b

    И в результате вот так:

    https://gyazo.com/0e2e5f1c4dc45227cc707cd89ef22a2b


    Правильно натасканная совесть никогда не грызёт своего хозяина

    13 августа 2015 г. 11:31
  • А что показывают логи TMG? Создайте отдельное правило доступа для созданных объектов и посмотри логи относительно данного правила. Может быть есть какие-нибудь другие записи помимо Default rule?
    13 августа 2015 г. 13:05
  • только дефолтное правило. в логах тишина.

    что именно создать? я подредактировал существующее правило, заменив там internal на созданные объекты.

    не работает


    Правильно натасканная совесть никогда не грызёт своего хозяина


    • Изменено vap77 13 августа 2015 г. 14:31
    13 августа 2015 г. 14:30
  • Странная в вашем случае только диагностика - вероятно, это вызвано взаимодействием с Firewall Client - (возможно, до клиентов не дошла новая LAT, включающая диапазоны адресов филиалов или Firewall client проверяет таблицу маршрутизации).

    Но даже если вы избавитесь от вмешательства Firewall Client, работать эта схема не будет, точнее, ping-то пойдёт, а вот TCP - нет. Потому что у вас трафик через TMG идёт в одну сторону, а в другую он идёт от этой железки напрямую клиентам. TMG в таких случаях не поймёт протокол и заблокирует его.

    Либо выносите железку с IPSec в отдельную подсеть, либо настраивайте на всех клиентах маршрут в филиалы напрямую через неё, мимо TMG.


    Слава России!

    13 августа 2015 г. 15:22
  • да чёйта не будет? знаю конторы, где подобная схема работает и без ТМГ клиента. вот бы подсмотреть туда...

    Правильно натасканная совесть никогда не грызёт своего хозяина


    • Изменено vap77 13 августа 2015 г. 15:48
    13 августа 2015 г. 15:46
  • вопрос закрыл путём настройки 121-го параметра DHCP.

    нужные маршруты выдаются автоматом


    Правильно натасканная совесть никогда не грызёт своего хозяина

    14 августа 2015 г. 10:07