none
Forefront TMG site-to-site - Проблемы с маршрутизацией RRS feed

  • Вопрос

  • Коллеги, нужна помощь в решении сложившейся проблемы.

    Описание топологии:

    HQ (Головной офис) - 192.168.5.0.

    Branch (Филиал) - 192.168.6.0

    Сервер FW1 (головной офис) (Forefront TMG): 192.168.5.2

    Сервер FW2 (филиал) (Forefront TMG): 192.168.6.1

     

    Между FW1 и FW2 организован Site-To-Site VPN через L2TP/IPsec. Site-To-Site полностью настроен по wizard-у с обоих сторон. Тип подключения L2TP с использование политики IPsec посредством "предварительного ключа".

    На FW01 для назначения IP-адреса клиентам VPN прописан диапазон: 172.16.0.0-172.16.0.255

    На FW02 для назначения IP-адреса клиентам VPN прописан диапазон: 172.16.1.0-172.16.1.255

    Соединение между серверами по site-to-site устанавливается без проблем.
    В "маршрутизации и удаленном доступе" и с той и другой стороны создается статический маршрут:
    HQ: 192.168.6.0 - 255.255.255.0 - Branch_VPN -  255

    Branch: 192.168.5.0 - 255.255.255.0 - HQ_VPN -  255

    Проблема:

    Сервера FW01 - FW02 после соединения могут пинговать друг-друга. 192.168.5.2 <--> 192.168.6.1

    Сервер FW02 (филиал) так же может пинговать IP-адрес 192.168.5.5 который в головном офисе является Exhcange+dc (он опубликован через FW01 во внешнюю сеть). Видит всех клиентов использующих 192.168.5.2 в качестве шлюза. Но остальные хосты в сети не видит.

    Ни тот ни другой, кроме самих себя и друг друга, никого в удаленной сети не видят (ну и филиал, как указано выше, пингует почтовый сервер в головном офисе 192.168.6.1 <--> 192.168.5.5, и клиентов работающих через TMG)

    Не могли бы Вы помочь решить проблему, как заставить компьютеры удаленных сетей видеть друг-друга?

    Нужен дельный совет, ибо по инструкциям, мануалам и визардам получается именно этот результат.


    • Изменено streKZa 13 августа 2011 г. 7:43 Исправлены обозначения
    10 августа 2011 г. 12:03

Ответы

  • Проблема решена (частично, ибо возникли новые грабли) путем пересоздания site-to-site.

    Мы допустили ошибку при первоначальном создании, неправильно сопоставив имена пользователей и названия сайтов.

    Однако после того как пересобрали site-to-site, возникли другие непонятные для нас трудности с маршрутизацией которые лучше будет вынести в новую тему.

    Итог: Внимательней нужно было читать мануал.

    • Помечено в качестве ответа streKZa 15 августа 2011 г. 7:53
    15 августа 2011 г. 7:53

Все ответы

  • tracert`ы где затыкаются?

    сеть на tmg правильно настроена? указывать шлюз рекомендуется только на одном интерфейсе.

     


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    11 августа 2011 г. 12:59
  • Здравствуй, Юрий,

    В итоге получается следующая картина:

    На сервере в HQ (Головной офис) 2 сетевые платы: Внешняя, внутренняя. Только на внешней плате прописан шлюз провайдера. На внутренней только IP 192.168.5.2 и DNSы.

    Тоже самое и на сервере Branch (филиал) 2 сетевые платы:Внешняя, внутренняя. Только на внешней плате прописан шлюз. На внутр. только её IP 192.168.6.1.

    Картина не изменилась за все это время пока я пытался понять где у меня проблема. Сервера так же завязываются по VPN в обе стороны:

    Отлично пингуют друг-друга 192.168.5.2 <--> 192.168.6.1.

    Сервер в филиале Brach пингует все сервера и клиентов у которых в HQ в качестве шлюза на внутреннем интерфейсе прописан адрес ForefrontTMG 192.168.5.2. Что есть нормально.

    А вот обратная связь: От серверов и клиентов в HQ в сторону Branch 192.168.6.0 не проходит, и на сервер 192.168.6.1 тоже не идет. Такая же ситуация и в Branch: Все подключенные клиенты не видят ничего в 192.168.5.0. а так же сам сервер 192.168.5.2.

    Трасерты с обоих сторон затыкаются одинаково: На IP адресах серверов. В случае с HQ на 192.168.5.2; В случае с Branch на 192.168.6.1.

    На обоих серверах создается один единственный статический маршрут:

    Маршрут в HQ: 192.168.6.0 - 255.255.255.0 - Brach_VPN - 256

    Маршрут в Branch: 192.168.5.0 - 255.255.255.0 - HQ_VPN - 256

     

    Потерял всякую надежду, ибо пересобирал site-to-site раза три, и всегда результат один и тот же. Не знаю на что грешить. Очень нужна помощь в указании направления для раскопок.

    P/S: (Может ли быть затык, если на внешних интерфейсах прописаны IP адреса одной подсети? т.е. у нас в офисе сеть от провайдера на 8 IP адресов. На одном IP хх,хх,,хх,26/29 - сервер HQ, а на другом IP хх,хх,,хх,27/29 сервер Branch? (тестируем в офисе, а потом отправим сервера в филиал). Сомневаюсь что это может быть проблемой, но мало ли, как считаете?)



    13 августа 2011 г. 5:43
  • Проблема решена (частично, ибо возникли новые грабли) путем пересоздания site-to-site.

    Мы допустили ошибку при первоначальном создании, неправильно сопоставив имена пользователей и названия сайтов.

    Однако после того как пересобрали site-to-site, возникли другие непонятные для нас трудности с маршрутизацией которые лучше будет вынести в новую тему.

    Итог: Внимательней нужно было читать мануал.

    • Помечено в качестве ответа streKZa 15 августа 2011 г. 7:53
    15 августа 2011 г. 7:53