none
Туннель между двумя TMG не виден с клиентов RRS feed

  • Вопрос

  • Доброй ночи!

    Сделал site-to-site между двумя подразделениями:

    1. Офис:

    TMG1 - 10.0.1.2, в домене

    Внутренняя сеть - 10.0.0.0 - 10.0.255.255 маска 255.0.0.0

    DHCP - 10.0.100.0 - 10.0.110.0

    2. Склад

    TMG2 - 10.1.1.2, без домена

    Внутренняя сеть - 10.1.0.0 - 10.1.255.255 маска 255.0.0.0

    DHCP - 10.1.100.0 - 10.1.110.0

    Назначение адресов VPN динамическое и там и там.

    С обоих ТМГ ресурсы сети на другом конце видны, есть доступ, разрешаются FQDN NetBios имена, т.е. все работает.

    С клиентов (в качестве оных виртуальные XP), не видно ничего, даже по IP.

    VPN - соединений на клиентах нет никаких.

    В обоих ТМГ для дебага включил правило "пропускать весь трафик изо всех сетей во все сети".

    Пробую пинговать с клиентской машины склада 10.1.100.10 PDC офиса 10.0.2.2, не проходит.

    Тип журнала: Служба межсетевого экрана
    Состояние: Операция успешно завершена.  
    Правило: Разрешить взаимный доступ между WarehouseToOffice и внутренней сетью
    Источник: Внутренняя (10.1.100.10:8)
    Назначение: WarehouseToOffice (10.0.2.2)
    Протокол: Проверка связи
     Дополнительные сведения
    Число отправленных байтов: 0 Число полученных байтов: 0
    Время обработки: 0ms Первоначальный IP-адрес клиента: 10.1.100.10
     
    Прописал Route Add 10.0.2.2 10.1.1.2 - то же самое.

    Где-то чего-то я принципиально не понимаю, подскажите пожалуйста!




    14 февраля 2013 г. 20:21

Ответы

  • принципиально маска сети в обоих сетях неправильная - сети должны быть разными, а с такой маской она получается одна

    • Помечено в качестве ответа Yuriy Lenchenkov 22 февраля 2013 г. 10:26
    15 февраля 2013 г. 10:01
    Отвечающий

Все ответы

  • принципиально маска сети в обоих сетях неправильная - сети должны быть разными, а с такой маской она получается одна

    • Помечено в качестве ответа Yuriy Lenchenkov 22 февраля 2013 г. 10:26
    15 февраля 2013 г. 10:01
    Отвечающий
  • Читал вот это, там в конце ipconfig обоих клиентов, маска везде 255.255.255.0.

    Или о чем-то еще идет речь?

    15 февраля 2013 г. 12:00
  • но у вас то 255.0.0.0
    как бы есть разница и немаленькая ))

    15 февраля 2013 г. 15:22
    Отвечающий
  • Дмитрий, я честно признаюсь, что математика маска+IP - это отнюдь не мой конек.

    Подскажите, какую мне поставить и где. При этом в офисе менять нельзя, т.к. там много статики прописано с такой маской.

    Спасибо!

    UPD

    Я правильно понимаю, что чтобы при моих условиях:

    1. Офис сеть 10.0.0.0 - 10.0.255.255

    2. Склад 10.1.0.0 - 10.1.255.255

    Маска должна быть 255.255.0.0?

    15 февраля 2013 г. 15:25
  • Сделал маску 16, ура, клиенты на разных концах пингуются, ТМГ видят NetBios имена.

    А вот клиенты почему-то нет, в чем может быть причина?

    DNS-сервер есть и там и там.

    З.Ы. Прописал клиенту на складе DNS офиса, но это не слишком правильное решение, как лучше?

    15 февраля 2013 г. 20:41
  • Сделал маску 16, ура, клиенты на разных концах пингуются, ТМГ видят NetBios имена.

    А вот клиенты почему-то нет, в чем может быть причина?

    DNS-сервер есть и там и там.

    З.Ы. Прописал клиенту на складе DNS офиса, но это не слишком правильное решение, как лучше?

    Причина, вероятно, в том, что TMG не перенаправляет широковещательные запросы NetBIOS

    Для работы NetBIOS в сети с несколькими сегментами используется WINS (кстати, на складе не обязательно ставить сервер WINS, для клиентов можно указать адрес сервера WINS в центральном офисе).

    Что касается DNS, то для ответа на Ваш вопрос нужно знать подробнее, как у Вас настроена DNS.

    В любом случае, это уже вопрос не про TMG, имеет смысл обсуждать его в другой ветке.


    Слава России!

    18 февраля 2013 г. 15:14
  • если на складе нет домена, о подозреваю что и днс серверов там нет, значит надо либо ставить свой dns сервер с репликой зоны основного офиса (или условным форвардингом на офисный сервер), либо настраивать клиентов на dns офиса.

    18 февраля 2013 г. 15:58
    Отвечающий
  • Чтобы не плодить темы присоединюсь к вопросу так как похожи

    сделан тунель между двумя офисами:

    главный офис домен ip 192.168.2.0-254 маска 255.255.255.0 DHCP DNS

    доп офис без домена ip 192.168.0.0-254 255.255.255.0 DHCP

    Правила созданы стандартные мастером разрешен весь трафик. Из доп офиса шлюз и машины в главном пингуются, но зайти нельзя на них. Главный же офис не пингует и не видит машины в доп офисе.  Уже все перерыл пересмотрел не могу понять в чем загвоздка.

    19 февраля 2013 г. 12:16
  • что значит зайти? если трафик разрешен и он ходит то дело не в tmg.

    19 февраля 2013 г. 14:59
    Отвечающий
  • Чтобы не плодить темы присоединюсь к вопросу так как похожи

    сделан тунель между двумя офисами:

    главный офис домен ip 192.168.2.0-254 маска 255.255.255.0 DHCP DNS

    доп офис без домена ip 192.168.0.0-254 255.255.255.0 DHCP

    Правила созданы стандартные мастером разрешен весь трафик. Из доп офиса шлюз и машины в главном пингуются, но зайти нельзя на них. Главный же офис не пингует и не видит машины в доп офисе.  Уже все перерыл пересмотрел не могу понять в чем загвоздка.

    Добрый день, вот мой опыт в создании VPN туннелей.

    http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/279dc9a8-4f37-40dd-9c3e-0e3aecd194a9

    20 февраля 2013 г. 17:40
  • Так и не могу решить свою проблему с соединением офисов. Из доп офиса соединение с основным устанавливается машины в сети пингуются без проблем. НО вот обратное соединение не идет ни в какую основной не видит доп офиса. Перепроверял все по несколько раз все делаю правильно пробовал делать и ipsec та же песня. Убрал уже в доп офисе нулевую подсеть сменил на первую, но к сожалению результата нет. В наблюдении ошибок нет.

    Айпишники раздаются через dhcp серверов как в основном так и доп офисе. Маршруты ручками ему чтоль прописать ? Не пойму что этой заразе еще надо ...

    25 февраля 2013 г. 20:47
  • >> Маршруты ручками ему чтоль прописать ?

    это врядли, если ответные пинги есть значит клиент маршрут знает. лог что пишет?

    26 февраля 2013 г. 8:26
    Отвечающий