none
И еще VPN Site-to-Site - упорно режет траффик из сети в сеть RRS feed

  • Вопрос

  •  

    Эх... просто притомился уже... Навярняка какая-то мелочь, но глаз замылен, не могу понять трабл Sad

     

     

    Есть 2 сети:

    192.168.22.0 и 192.168.0.0

     

    В каждой шлюзом стоят W2003 SP2 R2 ENT + ISA 2006 STD

     

    Поднят Site-to-Site L2TP/IPSEC на обоих концах

     

    VPN поднимается без ошибок. А дальше начинается чертовщина.

     

    От сервера к серверу, а также от сервера к любой машине из противоположной сети пинги замечательно ходят. Но это и понятно, т.к. все с IP  присовеннного VPN-ом. А вот от любой машины в противоположную сеть режется все на противоположном конце с ошибкой Отклоненное соединение - 0xC0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED

     

    Где искать грабли?? Какого они решили, что это спуф-трафф???

     

     

    Спасибо! Надеюсь дадите мне правильного пинка Smile)

     

    Сюда пишу после многих утомительных дней пыток Sad

    21 февраля 2008 г. 9:13

Ответы

Все ответы

  •  

    Собственно все и решилось... Как всегда, грамотно поставленный вопрос - 50% ответа.

     

    Сделал, как описано в http://support.microsoft.com/kb/838114

     

    Хотя, честно говоря, мне не понятна суть проблемы, длящейся еще с ISA2000 Sad

    21 февраля 2008 г. 11:06
  • Это вы погорячились Спуфинг это же форма атаки, и защиту от него не нужно отклюать.

     

    В ISA для каждого интерфейса должно быть описано в какие сети можно ходить через этот интерфейс. Если через интерфейс приходит пакет с адреса, который не принадлежит этому списку, то это спуффинг.

     

    Следовательно у вас настройки ISA неверные. Проверьте описания всех Network в ISA, а таже сети заданные в параметрах Site-to-Site соединения (должны быть прописаны все сети противоположного конца).

    22 февраля 2008 г. 15:15
    Модератор
  • У меня ОЧЕНЬ похожая проблема.

    А можно я тоже вставлю свой голос?

    Ткните меня в правильном направлении, пожалуйста. Просто зае~~~~я... Слов нет...

    Вот две сети, объединённых по L2TP/IPSec

    Между ними WAN: 10.0.251.0 MASK: 255.255.255.248

    С обоих концов ISA 2006 EE RUS with ISA2006-KB939455-X86-RUS

     

    1. NET

    Domain: prg.sura.ru (PRG058)

    LAN: 10.0.0.0 - 10.0.253.255

    VPN: 10.0.254.1 - 10.0..254.254

    WAN IP: 10.0.251.2 / 255.2555.255.248

     

    2. NET

    Domain: penza.prg.sura.ru (PRG058-841)

    LAN: 10.1.1.0 - 10.1.1.251, 10.1.1.255

    VPN: 10.1.1.252-10.1.1.254

    WAN IP: 10.0.251.6 / 255.2555.255.248

     

     

    Создал Site-To-Site L2TP/IPSec Соединение. Присоединил второй ISA в домен prg.sura.ru.

    Таким образом:

    Оба ISA в одном домене, в одном предприятии, но в разных массивах и в разных адресных пространствах.

     

    На WAN отключены все протоколы кроме IP, Снята галочка динамической регистрации в DNS.

     

    В DNS прописаны LAN интерфейсы обеих ISA.

     

    И всё бы хорошо (ping, net view, net use, ftp, pathping, trace,...), только вот не видят они друг друга в сетевом окружении.

    При включении мониторинга видим:

    Отклоненное соединение - Служба имён NetBIOS - 0xC0040030 FWX_E_OUTBOUND_PATH_THROUGH_DROPPED

    Порт - 137, IP клиента - 10.1.1.5, IP назначени  - 10.0.0.1, 10.0.0.2

     

    Ещё отклоняет всё на 255.255.255.255. Нигде в ISA не могу прописать эти адреса. Ругается. Также пролазил все системные политики. Разрешил ВСЁ между LAN1, LAN2, WAN, VPN, Local Comp. Не помогает

     

    Интересно, но доверительные отношения между доменами устанавливаются, проверка проходит успешно, но реально не работают. А НАДО!

     

                                                                             L2TP/IPSec

    10.0.0.0/ 255.255.0.0                   VPN               --------        VPN                  10.1.1.0/255.255.255.0

    [DNS, WINS, DHCP] [10.0.254.1-10.0.254.254] [10.1.1.252-10.1.1.254] [DNS, WINS, DHCP]

    10.0.0.1,10.0.0.2                ISA 10.0.0.3                        ISA 10.1.1.5            10.1.1.1,10.1.1.2

                       

    2 апреля 2008 г. 8:16
  •  AlexanderIvanov написано:

    И всё бы хорошо (ping, net view, net use, ftp, pathping, trace,...), только вот не видят они друг друга в сетевом окружении.

     

    Интересно, но доверительные отношения между доменами устанавливаются, проверка проходит успешно, но реально не работают. А НАДО!

     

    1. На кой вам сетевое окружение?! К тому же у вас разные сегменты сети! В такой конфигурации надо использовать WINS. А еще лучше DNS, чтобы уменьшить зависимость от устаревших протоколов.
    2. Что не работает конкретно?
    2 апреля 2008 г. 12:02
    Модератор
  •  sie написано:
     AlexanderIvanov написано:

    И всё бы хорошо (ping, net view, net use, ftp, pathping, trace,...), только вот не видят они друг друга в сетевом окружении.

     

    Интересно, но доверительные отношения между доменами устанавливаются, проверка проходит успешно, но реально не работают. А НАДО!

     

    1. На кой вам сетевое окружение?! К тому же у вас разные сегменты сети! В такой конфигурации надо использовать WINS. А еще лучше DNS, чтобы уменьшить зависимость от устаревших протоколов.
    2. Что не работает конкретно?

     

    Спасибо, что откликнулись.

     

    Юзеры хотят видеть все домены и их содержимое (в основном центральный офис хочет).

    Так...

    DNS prg.sura.ru  в свойствах пересылки стоит, что если домен penza.prg.sura.ru, то использовать его NS: 10.1.1.1, 10.1.1.2.

    Соответственно, в DNS penza.prg.sura.ru стоит что за зону prg.sura.ru отвечает NS: 10.0.0.1, 10.0.0.2.

     

    Кстати, у нас не дерево, а два независимых домена. Между ними надо установить доверительные отношения.

     

    Настроены сайты. Транспорт IP.

     

    Сейчас доверие двустроннее. Для примера. Всё равно не работает.А надо, чтобы было односторонне. Чтобы можно было авторизовываться в другом домене со своими реквизитами. И иметь там права админа. Чтобы его (домен) удалённо администрить со своей тачки.

    Вообще смысл: местным людям давать права админа нельзя. Поэтому надо из центрального офиса ремоутно там рулить. LAN1 - это центральный офис, LAN2 - удалённый, которым надо рулить.

     

    Сейчас из LAN2 видно LAN1. А нужно наоборот.

     

    Но даже если использовать net use из LAN1, чтобы заюзать ресурсы LAN2, то авторизация не проходит. Пишет, что нет сервера, который может обработать запрос.

     

    А что можно настроить в WINS?

     

    Думаю, проблема именно в этом:

    Отклоненное соединение - Служба имён NetBIOS - 0xC0040030 FWX_E_OUTBOUND_PATH_THROUGH_DROPPED

    Порт - 137, IP клиента - 10.1.1.5, IP назначени  - 10.0.0.1, 10.0.0.2

    Таких пакетов ТОЛПА!

     

    Да, по именам всё резолвится. Из одного домена и из другого. Тоесть компы из одного домена пингуются по именам из другого домена и наоборот.

     

    Да, везде Win2003 домены в native режиме. Леса в Win2000. Везде Контроллеры доменов Win2003 ЕЕ ENG SP2 with Russian MUI.

     

    Раз 10 уже редактировал...

     

    Проще, блин, картинку нарисовать. Но не знаю как её сюда прилепить.

    2 апреля 2008 г. 13:08