none
Проблемы с VPN RRS feed

  • Вопрос

  •  

    Товарищи, помогите плиз исправить глюк. (Если это возможно)

     

    Суть вопроса вот в чем, есть два контролера, основной и резервный,

    На Резервном стоит ISA 2006. Интерфейсы - внутренний 192.168.0\24, внешний - 192.168.45\24, резервный внешний 10.\8. Сама суть вопроса, Клиент подключается -> на сервере создается еще одно подключени(с IP внутренней сети), И сразу проподают компьютеры в сети (т.е глючит обозреватель сети), через сетевое окружение ничего не видно. Все службы работают нормально (до и после), вот только не могу понять почему это происходит и как можно это исправить. Сам конечно прекрасно понимаю что лучше убрать контролер с ИСЫ, но нет пока возможности!

     

    Кстате в ИСЕ появляется ошибка

    Описание: ISA Server обнаружил атаку путем подделки с IP-адреса 192.168.0.18. Атака путем подделки происходит, когда IP-адрес недоступен через сетевую плату, на которую пришел пакет. Если включено ведение журнала для отброшенных пакетов, можно посмотреть подробные сведения в журнале межсетевого экрана

     

    Примерно описание маршрутов

    Внутренния(192.168.0\24) ->NAT-> Внешния1(192.168.45\24)

    Внешняя (Все кроме внутреней) ->VPN-> Внутренея(192.168.0\24)

    19 февраля 2008 г. 5:23

Ответы

Все ответы

  • Сеть 192.168.0\24 в Internal прописана как диапазон 192.168.0.0 - 192.168.0.255 ?

    19 февраля 2008 г. 7:38
    Модератор
  • Конечно

    19 февраля 2008 г. 7:52
  •  

    Что "конечно"?  Вопрос решен? Или нет? А то вы отметили мой пост ка ответ....
    19 февраля 2008 г. 8:23
    Модератор
  •  

    Извеняюсь за дерзость, просто случайно нажал вместо "ответ" на "Отметить как ответ"

    А так по поводу вопроса, так ничего и не решилось, может есть какие мысли?

    19 февраля 2008 г. 8:49
  • Адрес 192.168.0.18 это откуда?

    Клиент подключается по VPN?

    19 февраля 2008 г. 9:23
    Модератор
  • Да это VPN клиент, 0.18 - это адресс который ему назначает DHCP 

    19 февраля 2008 г. 9:53
  • Спуфинг регистрируется ISA, когда адрес пакета, который приходит с интерфейса, у которого не прописан этот адрес.

    В вашем случае возможно сеть 192.168.0\24 прописана на нескольких интерфейсах, что вызывает конфликт. При загрузке ISA обычно пишет событие с номером 14147 в этом случае. Посмотрите.

    19 февраля 2008 г. 10:59
    Модератор
  • Еще вот такая ошибка:

    Описание: ISA Server обнаружил маршруты через сетевую плату Internal, которые не связаны с сетью, которой принадлежит эта плата. Правильная настройка сети подразумевает, что диапазоны IP-адресов каждой сети уровня массива должны включать все IP-адреса, маршрутизируемые через сетевые платы этой сети согласно их таблицам маршрутизации. В противном случае действительные пакеты могут отбрасываться как поддельные. Следующие диапазоны включены в диапазоны IP-адресов этой сети, но не маршрутизируются ни через одну из сетевых плат: 192.168.0.21-192.168.0.21;. Обратите внимание, что это событие может однократно создаваться после добавления маршрута, создания удаленной сети или настройки балансировки сетевой нагрузки. Его можно проигнорировать, если оно больше не возникнет.

    Таблица маршрутизации сетевой платы Внутренний включает диапазоны IP-адресов, не определенные в сети уровня массива VPN-клиенты, к которой она привязана. По этой причине, когда пакеты будут проходить через данную сетевую плату из указанных ниже диапазонов IP-адресов, либо к этим диапазонам, они будут считаться поддельными и отбрасываться. Для устранения данной неполадки добавьте отсутствующие диапазоны IP-адресов в сеть массива.
    Пакеты из следующих диапазонов IP-адресов будут считаться поддельными и отбрасываться:
    Внутренняя:192.168.0.21-192.168.0.21;

     

    19 февраля 2008 г. 11:06
  • У вас сеть 192.168.0 разбита на куски. Порядочек наведите: настройки сетевых карт, маршрутизации и настройки ISA должны соответствовать друг друг другу - а у вас противоречат.

    19 февраля 2008 г. 11:13
    Модератор
  •  

    Вот настройки.

    ISA Внутренея (диапазон) - с 192.168.0.0 по 192.168.0.255

    ISA Внешняя (диапазон создан в ручную) с 192.168.46.0 - 192.168.46.0

    Сетевая карта (Внутренея) IP 192.168.0.5\24 DNS 127.0.0.1

    Сетевая внешняя - DHCP 192.168.46.?

     

    Можеи кто знает, где хотябы глюк искать?

    .
    19 февраля 2008 г. 11:49
  • А что у вас за адрес 192.168.0.21?

    Вы посмотрите ipconfig /all и route print

    19 февраля 2008 г. 12:36
    Модератор
  • 0.21 Это Адресс который назначается клиенту от DHCP 

    Вот посмотрите как IP config выглядет

    C:\Documents and Settings\Nero85>ipconfig /all

     

    Настройка протокола IP для Windows

     

       Имя компьютера  . . . . . . . . . : router

       Основной DNS-суффикс  . . . . . . : Domain.local

       Тип узла. . . . . . . . . . . . . : неизвестный

       IP-маршрутизация включена . . . . : да

       WINS-прокси включен . . . . . . . : да

       Порядок просмотра суффиксов DNS . : Domain.local

                                           kanal7.ru

     

    Интерфейс RAS-сервера - PPP адаптер:

     

       DNS-суффикс этого подключения . . :

       Описание  . . . . . . . . . . . . : WAN (PPP/SLIP) Interface

       Физический адрес. . . . . . . . . : 00-53-45-00-00-00

       DHCP включен. . . . . . . . . . . : нет

       IP-адрес  . . . . . . . . . . . . : 192.168.0.29

       Маска подсети . . . . . . . . . . : 255.255.255.255

       Основной шлюз . . . . . . . . . . :

     

    External - Ethernet адаптер:

     

       DNS-суффикс этого подключения . . : kanal7.ru

       Описание  . . . . . . . . . . . . : HP NC324i PCIe Dual Port Gigabit Server A

    dapter #2

       Физический адрес. . . . . . . . . : 00-1B-78-06-1B-3B

       DHCP включен. . . . . . . . . . . : да

       Автонастройка включена  . . . . . : нет

       IP-адрес  . . . . . . . . . . . . : 192.168.46.48

       Маска подсети . . . . . . . . . . : 255.255.255.0

       Основной шлюз . . . . . . . . . . : 192.168.46.254

       DHCP-сервер . . . . . . . . . . . : 192.168.10.11

       DNS-серверы . . . . . . . . . . . : 85.117.95.1

       NetBIOS через TCP/IP. . . . . . . : отключен

       Аренда получена . . . . . . . . . : 14 февраля 2008 г. 21:00:10

       Аренда истекает . . . . . . . . . : 15 марта 2008 г. 21:00:10

     

    Internal - Ethernet адаптер:

     

       DNS-суффикс этого подключения . . :

       Описание  . . . . . . . . . . . . : HP NC324i PCIe Dual Port Gigabit Server A

    dapter

       Физический адрес. . . . . . . . . : 00-1B-78-06-1B-3A

       DHCP включен. . . . . . . . . . . : нет

       IP-адрес  . . . . . . . . . . . . : 192.168.0.5

       Маска подсети . . . . . . . . . . : 255.255.255.0

       Основной шлюз . . . . . . . . . . :

       DNS-серверы . . . . . . . . . . . : 127.0.0.1

    19 февраля 2008 г. 12:39
  • Если это поможет, то вот как выгдялет, настройка на обычном компе (во внутренней сети)

     

    И кстати, VPN запросы слушаются только с Интерфейса External (192.168.46.48)

    C:\Documents and Settings\Nero85>ipconfig /all

    Настройка протокола IP для Windows

            Имя компьютера  . . . . . . . . . : nero85
            Основной DNS-суффикс  . . . . . . : TAVS.local
            Тип узла. . . . . . . . . . . . . : гибридный
            IP-маршрутизация включена . . . . : нет
            WINS-прокси включен . . . . . . . : нет
            Порядок просмотра суффиксов DNS . : TAVS.local
                                                Tavs.local

    Подключение по локальной сети - Ethernet адаптер:

            DNS-суффикс этого подключения . . : Tavs.local
            Описание  . . . . . . . . . . . . : Marvell Yukon 88E8053 PCI-E Gigabit
    Ethernet Controller
            Физический адрес. . . . . . . . . : 00-13-D4-79-5E-9D
            Dhcp включен. . . . . . . . . . . : да
            Автонастройка включена  . . . . . : да
            IP-адрес  . . . . . . . . . . . . : 192.168.0.32
            Маска подсети . . . . . . . . . . : 255.255.255.0
            Основной шлюз . . . . . . . . . . : 192.168.0.5
            DHCP-сервер . . . . . . . . . . . : 192.168.0.4
            DNS-серверы . . . . . . . . . . . : 192.168.0.5
            Основной WINS-сервер  . . . . . . : 192.168.0.4
            Дополнительный WINS-сервер. . . . : 192.168.0.5
            Аренда получена . . . . . . . . . : 19 февраля 2008 г. 10:15:42
            Аренда истекает . . . . . . . . . : 29 февраля 2008 г. 10:15:42

    C:\Documents and Settings\Nero85>

    19 февраля 2008 г. 13:07
  • Проверить, чтобы роль PDC была назначена тому DC, на котором нет ISA. В реестре HKLM\SYSTEM\CurrentControlSet\Serveces\Browser\Parameters: IsDomainMaster - TRUE, MaintainServerList - Yes.

     

    А на том, где стоит ISA, сервис ComputerBrowser просто удавить (задизейблить).

     

    И собственно к ISA и VPN это отношения не имеет, в принципе не стоит делать DC маршрутизатором Wink

    19 февраля 2008 г. 15:04