none
Ipsec через TMG RRS feed

  • Вопрос

  • Здравствуйте, коллеги!

    Неделю бьюсь с проблемой проброса через TMG 2010 туннеля ipsec.

    Общая схема построения сети такова: криптошлюз(192.168.101.2)->кошка->TMG2010(192.168.1.1)<-(192.168.1.2)кошка-<криптошлюз.

    На сервере с TMG настроен NAT. Весь исходящий трафик разрешен, а входящий по 4500 и 500 портам сразу пробрасывается вовнутрь на криптошлюз. Трафик "наружу" по 4500 и 500 портам уходит без проблем. А "снаружи" по 500 порту ходит хорошо, а вот по 4500 порту не пускает с ошибкой: 

    A packet was dropped due to periodic inconsistency between the IPSec policy and the Forefront TMG snapshot of the IPSec policy.0xc004003e FWX_E_FW_IPSEC_DROPPED
    Source: External (192.168.1.2:4500) 
    Destination: Local Host (192.168.1.1:4500)

    Погуглив немного пытался решить проблему вот таким костылем:http://forums.forefrontsecurity.org/default.aspx?g=posts&t=996

    Но появилась новая ошибка:

    You were not connected because a duplicate name exists on the network. If joining a domain, go to System in Control Panel to change the computer name and try again. If joining a workgroup, choose another workgroup name.0x80070034 ERROR_DUP_NAME  
    Source: External (192.168.1.2:4500) 
    Destination: Internal (192.168.101.2:4500) 

    Т.е. в первом случае: он сразу же дропает пакет, который попадает на "внешний" интерфейс сервера с TMG, а во втором случае - когда пытается на криптошлюз сразу пробросить.

    Вот такие вот странности, господа!:)

    Прошу помощи, ибо сломал уже голову. Как заставить такую схему работать?

    UPD1: Если инициировать создание туннеля "изнутри" - все работает, все круто, а если пытаться инициировать тунель "снаружи" - 0x80070034 ERROR_DUP_NAME. очень странно ... думаю это баг)
    • Изменено lifecool 11 февраля 2012 г. 14:02
    11 февраля 2012 г. 8:14