none
IPSec тоннель между ISA 2006 и pfSense RRS feed

  • Вопрос

  • Здравствуйте!
    исходные данные: Есть центральный офис, в интернет смотрит ISA 2006 Sp1, есть удаленный офис, там стоИт pfSense 1.2.2 (на основе FreeBSD). Это данность, это я изменить никак не могу.
    нужно прокинуть IPSec тоннель между сетями силами существующего софта.
    на стороне центрального офиса создаю подключение "сеть-сеть" с такими параметрами:
    Диапазоны адресов, включенные в сеть: внешний IP удаленного офиса и диапазон внутренних адресов удаленного офиса;
    удаленная конечная точка тоннеля - внешний адрес удаленного офиса
    адрес локального VPN-шлюза - внешний адрес центрального офиса (которым ISA смотрит в инет);
    IPSEC Phase I: 3DES, SHA1, группа2 (1024 бит);
    IPSEC Phase II: 3DES, SHA1, смена ключа каждые 3600 сек, использование PFS - отключено;
    Проверка подлинности - предварительный ключ.

    при этом еще создается в сетевое правило "сеть vpn к внутренней сети - маршрут" и правило межсетевого экрана "разрешить взаимный доступ между сетями vpn и внутренняя" по всем протоколам.

    в итоге - смотрю по удаленной точке - тоннель встает, но сети между собой не пингуются (и по другим протоколам тоже нет связи).
    смотрю в центре - сеансы (при фильтре - исходная сеть равна "vpn") - есть удаленный узел vpn и, когда из удаленной сети пытаешься, например сделать пинг в центральную сеть, появляется еще secureNAT с того адреса удаленной сети, с которого пытаюсь пинговать.
    сморю ведение журнала - там иногда появляется "проверка связи начато соединение", но пинг все равно не идет.

    подскажите, пожалуйста, я что-то неправильно настроил (есть такое ощущение, что где-то в районе файрвола что-то не так), или такое в принципе невозможно?

    P.S. пробовал делать такой тоннель не на ISA server, а на небольшом "железном" роутере 3Com, в таком случае все работает, сети друг друга видят.
    16 сентября 2009 г. 4:19

Все ответы

  • При создании подключения VPN на исе используете  "IP sec protocol tunnel mode" ?
    http://technet.microsoft.com/ru-ru/forefront/edgesecurity/bb794723%28en-us%29.aspx вот тут есть про  отличия в выборе  типа  соединения.

    Если сообщение было информативным, отметьте его как ответ. И нам приятно и сразу видно ответ на вопрос :-)
    16 сентября 2009 г. 6:15
  • Да, конечно. Там не так много вариантов :)
    16 сентября 2009 г. 6:20
  • Выложите, пожалуйста, лог сетевого монитора ISA , когда  VPN "поднят" , но нет сети.

    А вообще не место  этой теме в этом разделе
    Если сообщение было информативным, отметьте его как ответ. И нам приятно и сразу видно ответ на вопрос :-)
    16 сентября 2009 г. 6:25
  • фильтр:
    тип записи журнала - равно - Межсетевой экран или веб-прокси
    время записи - непосредственное
    исходная сеть равно - vpn

    лог в то время, когда с удаленной машины идет постоянный пинг
    192.168.30.100                CERBERUS    -        ICMP    -                        -                16.09.2009 6:30:41    8    128890    720    720    0x800700b7 ERROR_ALREADY_EXISTS        0x0    0x0    Межсетевой экран    -    16.09.2009 14:30:41    192.168.2.254    0    Проверка связи    Закрытое соединение    Разрешить взаимный доступ между vpn и внутренней сетью    192.168.30.100        -    Локальный компьютер    Soft VPN    -
    192.168.30.254                CERBERUS    -        ICMP    -                        -                16.09.2009 6:30:41    8    66375    84    84    0x800700b7 ERROR_ALREADY_EXISTS        0x0    0x0    Межсетевой экран    -    16.09.2009 14:30:41    192.168.2.254    0    Проверка связи    Закрытое соединение    Разрешить взаимный доступ между vpn и внутренней сетью    192.168.30.254        -    Локальный компьютер    Soft VPN    -
    192.168.30.254                CERBERUS    -        ICMP    -                        -                16.09.2009 6:30:41    8    79422    252    252    0x800700b7 ERROR_ALREADY_EXISTS        0x0    0x0    Межсетевой экран    -    16.09.2009 14:30:41    192.168.2.254    0    Проверка связи    Закрытое соединение    Разрешить взаимный доступ между vpn и внутренней сетью    192.168.30.254        -    Локальный компьютер    Soft VPN    -
    192.168.30.100                CERBERUS    -        ICMP    -                        -                16.09.2009 6:30:43    8    0    0    0    0x0 ERROR_SUCCESS        0x0    0x0    Межсетевой экран    -    16.09.2009 14:30:43    192.168.2.80    0    Проверка связи    Начато соединение    Разрешить взаимный доступ между Soft VPN и внутренней сетью    192.168.30.100        -    Внутренняя    Soft VPN    -
    192.168.30.100                CERBERUS    -        UDP    -                        -                16.09.2009 6:32:23    138    0    0    0    0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED        0x0    0x0    Межсетевой экран    -    16.09.2009 14:32:23    192.168.30.255    138    Датаграмма NetBios    Отклоненное соединение        192.168.30.100        -    Soft VPN    Soft VPN    -
    192.168.30.100                CERBERUS    -        UDP    -                        -                16.09.2009 6:32:23    137    0    0    0    0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED        0x0    0x0    Межсетевой экран    -    16.09.2009 14:32:23    192.168.30.255    137    Служба имен NetBIOS    Отклоненное соединение        192.168.30.100        -    Soft VPN    Soft VPN    -
    192.168.30.100                CERBERUS    -        UDP    -                        -                16.09.2009 6:32:23    137    0    0    0    0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED        0x0    0x0    Межсетевой экран    -    16.09.2009 14:32:23    192.168.30.255    137    Служба имен NetBIOS    Отклоненное соединение        192.168.30.100        -    Soft VPN    Soft VPN    -
    192.168.30.100                CERBERUS    -        UDP    -                        -                16.09.2009 6:32:25    137    0    0    0    0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED        0x0    0x0    Межсетевой экран    -    16.09.2009 14:32:25    192.168.30.255    137    Служба имен NetBIOS    Отклоненное соединение        192.168.30.100        -    Soft VPN    Soft VPN    -
    192.168.30.100                CERBERUS    -        UDP    -                        -                16.09.2009 6:32:27    138    0    0    0    0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED        0x0    0x0    Межсетевой экран    -    16.09.2009 14:32:27    192.168.30.255    138    Датаграмма NetBios    Отклоненное соединение        192.168.30.100        -    Soft VPN    Soft VPN    -
    192.168.30.100                CERBERUS    -        UDP    -                        -                16.09.2009 6:32:27    137    0    0    0    0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED        0x0    0x0    Межсетевой экран    -    16.09.2009 14:32:27    192.168.30.255    137    Служба имен NetBIOS    Отклоненное соединение        192.168.30.100        -    Soft VPN    Soft VPN    -
    192.168.30.100                CERBERUS    -        UDP    -                        -                16.09.2009 6:32:27    137    0    0    0    0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED        0x0    0x0    Межсетевой экран    -    16.09.2009 14:32:27    192.168.30.255    137    Служба имен NetBIOS    Отклоненное соединение        192.168.30.100        -    Soft VPN    Soft VPN    -
    192.168.30.100                CERBERUS    -        UDP    -                        -                16.09.2009 6:32:29    137    0    0    0    0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED        0x0    0x0    Межсетевой экран    -    16.09.2009 14:32:29    192.168.30.255    137    Служба имен NetBIOS    Отклоненное соединение        192.168.30.100        -    Soft VPN    Soft VPN    -
    192.168.30.100                CERBERUS    -        UDP    -                        -                16.09.2009 6:32:31    138    0    0    0    0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED        0x0    0x0    Межсетевой экран    -    16.09.2009 14:32:31    192.168.30.255    138    Датаграмма NetBios    Отклоненное соединение        192.168.30.100        -    Soft VPN    Soft VPN    -
    192.168.30.100                CERBERUS    -        UDP    -                        -                16.09.2009 6:32:31    137    0    0    0    0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED        0x0    0x0    Межсетевой экран    -    16.09.2009 14:32:31    192.168.30.255    137    Служба имен NetBIOS    Отклоненное соединение        192.168.30.100        -    Soft VPN    Soft VPN    -
    192.168.30.100                CERBERUS    -        UDP    -                        -                16.09.2009 6:32:33    137    0    0    0    0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED        0x0    0x0    Межсетевой экран    -    16.09.2009 14:32:33    192.168.30.255    137    Служба имен NetBIOS    Отклоненное соединение        192.168.30.100        -    Soft VPN    Soft VPN    -
    192.168.30.100                CERBERUS    -        UDP    -                        -                16.09.2009 6:32:33    137    0    0    0    0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED        0x0    0x0    Межсетевой экран    -    16.09.2009 14:32:33    192.168.30.255    137    Служба имен NetBIOS    Отклоненное соединение        192.168.30.100        -    Soft VPN    Soft VPN    -
    192.168.30.100                CERBERUS    -        UDP    -                        -                16.09.2009 6:32:35    137    0    0    0    0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED        0x0    0x0    Межсетевой экран    -    16.09.2009 14:32:35    192.168.30.255    137    Служба имен NetBIOS    Отклоненное соединение        192.168.30.100        -    Soft VPN    Soft VPN    -
    192.168.30.100                CERBERUS    -        UDP    -                        -                16.09.2009 6:32:37    137    0    0    0    0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED        0x0    0x0    Межсетевой экран    -    16.09.2009 14:32:37    192.168.30.255    137    Служба имен NetBIOS    Отклоненное соединение        192.168.30.100        -    Soft VPN    Soft VPN    -
    192.168.30.100                CERBERUS    -        UDP    -                        -                16.09.2009 6:32:37    137    0    0    0    0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED        0x0    0x0    Межсетевой экран    -    16.09.2009 14:32:37    192.168.30.255    137    Служба имен NetBIOS    Отклоненное соединение        192.168.30.100        -    Soft VPN    Soft VPN    -
    192.168.30.254                CERBERUS    -        ICMP    -                        -                16.09.2009 6:33:48    8    0    0    0    0x0 ERROR_SUCCESS        0x0    0x0    Межсетевой экран    -    16.09.2009 14:33:48    192.168.2.254    0    Проверка связи    Начато соединение    Разрешить взаимный доступ между vpn и внутренней сетью    192.168.30.254        -    Локальный компьютер    Soft VPN    -
    192.168.30.254                CERBERUS    -        ICMP    -                        -                16.09.2009 6:34:01    8    0    0    0    0x0 ERROR_SUCCESS        0x0    0x0    Межсетевой экран    -    16.09.2009 14:34:01    192.168.2.254    0    Проверка связи    Начато соединение    Разрешить взаимный доступ между vpn и внутренней сетью    192.168.30.254        -    Локальный компьютер    Soft VPN    -
    192.168.30.254                CERBERUS    -        ICMP    -                        -                16.09.2009 6:34:50    8    62672    252    252    0x80074e20 FWX_E_GRACEFUL_SHUTDOWN        0x0    0x0    Межсетевой экран    -    16.09.2009 14:34:50    192.168.2.254    0    Проверка связи    Закрытое соединение    Разрешить взаимный доступ между vpn и внутренней сетью    192.168.30.254        -    Локальный компьютер    Soft VPN    -
    192.168.30.254                CERBERUS    -        ICMP    -                        -                16.09.2009 6:35:01    8    60625    84    84    0x80074e20 FWX_E_GRACEFUL_SHUTDOWN        0x0    0x0    Межсетевой экран    -    16.09.2009 14:35:01    192.168.2.254    0    Проверка связи    Закрытое соединение    Разрешить взаимный доступ между vpn и внутренней сетью    192.168.30.254        -    Локальный компьютер    Soft VPN    -
    192.168.30.254                CERBERUS    -        ICMP    -                        -                16.09.2009 6:38:13    8    0    0    0    0x0 ERROR_SUCCESS        0x0    0x0    Межсетевой экран    -    16.09.2009 14:38:13    192.168.2.254    0    Проверка связи    Начато соединение    Разрешить взаимный доступ между vpn и внутренней сетью    192.168.30.254        -    Локальный компьютер    Soft VPN    -
    192.168.30.254                CERBERUS    -        ICMP    -                        -                16.09.2009 6:38:27    8    0    0    0    0x0 ERROR_SUCCESS        0x0    0x0    Межсетевой экран    -    16.09.2009 14:38:27    192.168.2.254    0    Проверка связи    Начато соединение    Разрешить взаимный доступ между vpn и внутренней сетью    192.168.30.254        -    Локальный компьютер    Soft VPN    -


    192.168.30.254 - локальный адрес удаленного жлюза
    192.168.2.254 - локальный адресцентрального шлюза
    192.168.30.100 - удаленная машина, с которой идет пинг
    192.168.2.80 - машина, которую пингуем.
    16 сентября 2009 г. 6:46
  • А вообще не место  этой теме в этом разделе
    В эту тему, к сожалению, засунул по ошибке... я сам могу переместить?
    16 сентября 2009 г. 6:48