none
VPN на ISA 2006 Нужна помощь! RRS feed

  • Вопрос

  • Ситуация следующая. Есть сервер ISA 2006, нужно настроить подключения пользователей к нему по VPN. Но есть 2 вида пользователей, вернее сказать 2 вида компьютеров - одни входят в домен, другие нет, но и стех и других нужно организовать доступ к данному серверу. Если честно, голова идет кругом, вроде все и просто, а с другой стороны как то расплывчато, вобщем каша в голове и не знаю с чего начать!!!
    3 ноября 2008 г. 7:14

Ответы

  • Для настройки подключения обоих видов пользователей необходимо сделать следующее:
    1) если система с ISA Server не является членом домена, завести её в домен;
    2) для "недоменных" пользователей создать локальные учетные записи пользователей на компьютере с ISA Server, причем имена пользователей и пароли должны быть идентичны тем, с которыми пользователи регистрируются в своих системах (зеркальные учетные записи);
    3) в ISA Server Management Console создать объект User Set с именем, к примеру VPN Users и включить в него локальные и доменные учетные записи пользователей;
    4) разрешить пользователям подключение к VPN-серверу указав созданный User Set:

    Networking: Configure VPN Remote Access with ISA Server 2006
    3 ноября 2008 г. 19:38

Все ответы

  • Для настройки подключения обоих видов пользователей необходимо сделать следующее:
    1) если система с ISA Server не является членом домена, завести её в домен;
    2) для "недоменных" пользователей создать локальные учетные записи пользователей на компьютере с ISA Server, причем имена пользователей и пароли должны быть идентичны тем, с которыми пользователи регистрируются в своих системах (зеркальные учетные записи);
    3) в ISA Server Management Console создать объект User Set с именем, к примеру VPN Users и включить в него локальные и доменные учетные записи пользователей;
    4) разрешить пользователям подключение к VPN-серверу указав созданный User Set:

    Networking: Configure VPN Remote Access with ISA Server 2006
    3 ноября 2008 г. 19:38
  •  

    Доброго дня. А подскажите где открыть правило, разрешающее трафик протокола GRE ?

    А то при попытке соединения из внешней сетки-выдается ошибка 721....

    4 ноября 2008 г. 3:11
  • Насколько я помню, явно разрешать протокол GRE не нужно (тем более описания данного протокола нет в конфигурации ISA Server). Для того, чтобы внутренние пользователи могли подключаться к внешним PPTP-серверам необходимо чтобы был включен PPTP-фильтр (ISA Server Management Console - Configuration - Add-ins), создано правило доступа для протокола PPTP и клиенсткие системы сконфигурированы в качестве SecureNAT-клиентов ISA Server.
    4 ноября 2008 г. 12:10
  • Я немног не допонял...

    Если внешний интрефейс ИСА у меня 192,168,155,125, и разрешены подключения по VPN снаружи. То какие настройки необходимо произвести на машине клиента, что бы он мого подключится...

     

    Дело в том, что если я делаю на клиенте(в тестовой среде) адрес 192,168,155,100-то соединение происходит, а если 192,168,100,100 то пишет не удается соединится с сервером, а насколько я понимаю при подключении через модем адрес естественно не будет соответ. 192,168,155,,,,, а будеи адрес присвоеный провайдером...

    5 ноября 2008 г. 4:37
  • Обычно подсеть класса C имеет маску 255.255.255.0

    Предполагаю, что именна такая маска используется для VPN-сервера 192.168.155.125 и VPN-клиента 192.168.100.100

    Поскольку адреса находятся в разных подсетях, между ними невозможно установить прямое соединение.
    5 ноября 2008 г. 6:08
  • А каким образом мне тогда установить VPN канал?

    5 ноября 2008 г. 7:45
  •  

    а в чем собственно проблема то? у клиента должен быть тот адрес какой ему дадут, главное чтобы впн сервак был доступен и все
    5 ноября 2008 г. 8:17
    Отвечающий
  • VPN-соединение представляет собой транспортную "малую трубу" внутри другой "большой трубы".

    Во время установки VPN-соединения - сначала вы соединяете пункт А и пункт Б с помощью "большой трубы".

    И пункт А, и пункт Б для установки прямого* соединения должны иметь адреса из одной подсети. Например, для подсети 192.168.1.0/24 (маска 255.255.255.0):
    Пункт А, а именно VPN-сервер: 192.168.1.1
    Пункт Б, а именно VPN-клиент: 192.168.1.100

    И только после того, как вы успешно проложили "большую трубу" от VPN-клиента (Пункт Б) до VPN-сервера (Пункт А), только после этого начинает прокладыватся "малая труба". Обычно в "малой трубе" используется другая IP-адресация, к примеру, из подсети 192.168.5.0/24.



    * Для упрощения я не рассматриваю маршрутизацию.
    5 ноября 2008 г. 8:21
  •  

    Хорошо, если я имею ИСА с внешним адресом присвоеным провайдером 87,258,12,69 и внутреним адресом 192,168,10,1. На клиенте стоит адрес 192,168,10,10, я выехал из конторы и в гостинице мне необходимо получить доступ к локальным ресурсам нашей сетки. Соот. при подключении получил адрес от провайдера -что дальше то?

    Где что должно быть-не могу понять...

    5 ноября 2008 г. 9:01
  •  Kilogen написано:

     

    Хорошо, если я имею ИСА с внешним адресом присвоеным провайдером 87,258,12,69 и внутреним адресом 192,168,10,1. На клиенте стоит адрес 192,168,10,10, я выехал из конторы и в гостинице мне необходимо получить доступ к локальным ресурсам нашей сетки. Соот. при подключении получил адрес от провайдера -что дальше то?

    Где что должно быть-не могу понять...

    Дальше создаёте VPN-подключение, в котором в качестве адреса VPN-сервера указываете внешний адрес ISA Server (87.258.12.69).

    Я полагаю, Вам стоит ознакомиться с технологией VPN хотя бы на концептуальном уровне:

    What Is VPN?

    5 ноября 2008 г. 12:02
  • И, думаю, отрабатывать лучше на стенде с RRAS из состава Windows Server. А уже потом переходить на использование ISA Server.
    5 ноября 2008 г. 13:49
  • Хотя VPN-функционал ISA Server и реализован за счет использования службы Windows Server RRAS, настройка в ISA Server является более простой. К примеру, в контексте ISA Server понятия политики удалённог доступа отсутствует как таковое.

    Так что тестируйте, на чем пожелаете

    6 ноября 2008 г. 12:34
  •  

    Спасибо, за опжелание, НО вопрос там для меня и не разрешился...

     

    Я сделал все как по инструкции, ввёл адрес назначени именно внешний адрес ИСА 2006-и нечего не происходит...

    Более подробно.

     

    На ИСА сервере адрес (в тестовой сетке) 192,168,155,125-внешний, 192,168,10,1 внутрений. На ИСЕ прописано правило для доступа из ВНЕ на ИСУ и локальную сеть.

    На клиенте  ХР 192,168,10,10.

    Настриваю подключение по VPN на адрес ИСЫ 192,168,155,125, долго проверят имя пользователя и пароль-затем выдаёт ошибку 721...А в логах в журнале пишет проблемма по протаколу GRE...Ошибка 721: Удаленный компьютер не отвечает.

     

    7 ноября 2008 г. 4:43
  •  Kilogen написано:

     

    Спасибо, за опжелание, НО вопрос там для меня и не разрешился...

     

    Я сделал все как по инструкции, ввёл адрес назначени именно внешний адрес ИСА 2006-и нечего не происходит...

    Более подробно.

     

    На ИСА сервере адрес (в тестовой сетке) 192,168,155,125-внешний, 192,168,10,1 внутрений. На ИСЕ прописано правило для доступа из ВНЕ на ИСУ и локальную сеть.

    На клиенте  ХР 192,168,10,10.

    Настриваю подключение по VPN на адрес ИСЫ 192,168,155,125, долго проверят имя пользователя и пароль-затем выдаёт ошибку 721...А в логах в журнале пишет проблемма по протаколу GRE...Ошибка 721: Удаленный компьютер не отвечает.

    Так получается что у Вас клиент из внутренней сети пытается подключиться к VPN-серверу. А в настройках VPN Access выставлена галка на прослушивание внутренней сети?

    7 ноября 2008 г. 8:25
  • Тут такая ситуация, я поставил клиенту адрес 192,168,100,10 а на предидущем примере я просто не правельно указал 192,168,10,10...

    7 ноября 2008 г. 8:42
  • Тогда получается, что клиент сидит в другой сети относительно внутреннего сетевого интерфейса ISA Server. Или у Вас маска 255.255.0.0?

    7 ноября 2008 г. 10:02
  •  Artyom [d.raven] Sinitsyn написано:

    Тогда получается, что клиент сидит в другой сети относительно

    внутреннего сетевого интерфейса ISA Server. Или у Вас маска 255.255.0.0?

    нет я имел ввиду этот адрес, как если бы клиент подсоединился из Инета-для простоты...

    Ведь клиент будет в Интернете за периметром локальной сети...

    7 ноября 2008 г. 10:46
  • Уважаемый, Kilogen, честно говоря, я уже с трудом ориентируюсь в Вашей проблеме. Предлагаю Вам создать отдельное обсуждение с кумулятивным детальным описанием Вашей конфигурации с указанием всех сетевых параметров.
    10 ноября 2008 г. 7:01