none
Нет соединения между офисами после site-2-site VPN RRS feed

  • Общие обсуждения

  • Пытался настроить IPsec site-2site VPN между TMG 2010 и D-Link DI-804HV
    по аналогии с http://www.isaserver.org/articles/2004isadlink.html
    Очередной раз безуспешно.
    При этом пропала возможность установки любых соединений между двумя офисами. Возможно все пакеты пытаются идти через тунель, который не установлен.
    Удалил это VPN соединение (с соответствующими сетевыми правилами и правилами доступа)
    Но по прежнему удаленный офис не имеет никакого доступа к главному офису, сайты, почта, никакие пакеты не проходят

    Помогла только перезагрузка TMG!

    4 февраля 2010 г. 10:29

Все ответы

  • Внешний айпишник D-Link DI-804HV добавляли в адреса удаленной подсети?

    После создания VPN на TMG сервер неужно перезагружать, а то кина не будет.
    4 февраля 2010 г. 11:05
  • добавлял
    Насчет необходимости перезагрузки TMG первый раз слышу...

    4 февраля 2010 г. 11:38
  • Я это опробвал и как раз под рукой было это же устройство 804й.
    Айписек поднялся только после перезагрузки исы и еще один момент, не знаю почему может это у меня, мне пришлось на исе добавить статический маршрут к внешнему айпишнику делинка.
    4 февраля 2010 г. 12:01
  • Нет, после перезагрузки ничего не поднимается.
    А как добавлял статический маршрут ? через route add ... ? И какой в этом смылс? 

    4 февраля 2010 г. 22:49
  • Доброго утра!

    Уважаемый Ivan Bogatchev! Вы смогли решить проблему? Я так понимаю, что вам помогла перезагрузка TMG. Тогда будьте добры отметить правильный ответ.
    5 февраля 2010 г. 6:47
    Модератор
  • Нет, после перезагрузки ничего не поднимается.
    А как добавлял статический маршрут ? через route add ... ? И какой в этом смылс? 


    Добавлял через route add -p для чего это я сам и не понял - у меня после этого заработало.

    Внимательно проверьте параметры IP Sec на ISA и D-Link'e

    5 февраля 2010 г. 7:57
  • Даниил, я решил проблему перезагрузкой.
    Но тему нужно развить - в ISA 2006 такой "кривоты" замечено не было
    Достаточно было отключить vpn тунель в "Remote Sites". В TMG же как я вижу требуется полное удаление тунеля и сетевого правила.

    5 февраля 2010 г. 9:31
  • Т.е route add [IP_шлюз_филиала] mask 255.255.255.0 [IP_шлюз_ISA(TMG)] -p ?

    Но у меня и так один шлюз по умолчанию...
    5 февраля 2010 г. 9:34
  • Типа того.

    Вы гляньте еще oakley.log может он что то подскажет.

    И вот еще http://blogs.isaserver.org/pouseele/2007/07/07/basic-troubleshooting-for-ipsec-based-vpns/
    5 февраля 2010 г. 10:54
  • Уважаемый Ivan Bogatchev, у вас получилось что-нибудь?
    8 февраля 2010 г. 13:54
    Модератор
  • Уважаемый Daniil Khabarov. Я в первом же посте написал, что перезагрузка помогла.
    Но я считаю недостатком TMG необходимость перезагружать сервер после установки\удаления vpn тунеля с third party роутерами для нормальной работы.
    И предложил эту тему к обсуждению, тем более, если с этим столкнулся не только я.
    А Вас, как сотрудника Microsoft, хочеться попросить не стараться поскорее закрыть тему, а узнать действительно ли это свойство TMG, так сказать, "by design" (если да, то буду признателем ссылке на первоисточник) и будет ли это исправлено каким нить хотфиксом или SP. :)

    8 февраля 2010 г. 14:26
  • Уважаемый Ivan Bogatchev!

    Я, извиняюсь, но ваш первый ответ не совсем ясен, особенно в контексте того, что вы никак не прокомментировали предложенную вам статью.
    Вы связывались с D-link'ом?

    Читали вот это ?
    8 февраля 2010 г. 14:41
    Модератор
  • Уважаемый Daniil Khabarov!
    К сожалению, проект был очень срочный. D-Link порекомендовали поставить свое оборудование, на котором тунель поднялся сразу
    Попробую смоделировать ситуацию в тестовой среде.
    8 февраля 2010 г. 15:10
  • У нас в одной организации на удаленных точках использовалось 8 DI-804HV, через год 3 штуки просто вышли из строя(или не работала маршрутизация, или не могли устанавливать ppoe-соединения — перепрошивки не помогали) — сейчас они используются в качестве свитчей %)
    Так что, возможно всё дело именно в этом роутере.
    9 февраля 2010 г. 15:51
  • Сергей, но ведь с другим Д-Линком этот роутер соединился без проблем...

    А что Вы использовали в качестве центрального vpn роутера?

    9 февраля 2010 г. 16:28
  • циски например, с исой дружат нормально
    к длинкам я вообще отношусь как к дешевому домашнему ширпотребу
    9 февраля 2010 г. 16:55
    Отвечающий
  • Да, кстати, шифрование AES, которое используется в цисках, появилось в ISA только сейчас (TMG 2010)

    А насчет длинков у меня как раз противоположное мнение - сегмент SOHO у них явно глючный, а корпоративные продукты вполне ничего )

    10 февраля 2010 г. 8:05
  • Сергей, но ведь с другим Д-Линком этот роутер соединился без проблем...

    А что Вы использовали в качестве центрального vpn роутера?


    Я к тому, что эта модель как-то не стабильно работает — одно может работать, а другое нет.
    А вообще, мы использовали их только как аппаратные firewall'ы(в начале хотели использовать, как в теме, а затем передумали — стабильность не слишком большая), а людям, которым был нужен доступ к главному офису - просто использовали у себя на компьютерах pptp-соединения.
    10 февраля 2010 г. 9:15