none
VPN через TMG 2010 RRS feed

  • Вопрос

  • Решил настроить на нашем файрволе VPN PPTP сервер. На свитче создал отдельных VLAN с отдельной подсетью, создал DHCP область, воткнул кабель в TMG с этой подсетью. Создал новую сеть в TMG с этой подсетью.

    Указал в назначении адресов для VPN, что использовать DHCP с этой новой сети.

    Сам интерфейс получил адрес по DHCP от свитча и работоспособен. 

    Однако при попытке соединиться появляется ошибка: "Ошибка 720: Не удается подключиться к удаленному компьютеру. Возможно, потребуется изменение сетевых параметров соединения".

    На сервере в евентах появляется такая ошибка с номером евента 20253: "CoID={ACFF60FF-29D9-4181-90A6-EF9993EBAEAC}: Пользователь DOMA"IN\user, подключенный к порту VPN3-99, отключен, поскольку не удалось успешно согласовать ни один сетевой протокол."

    Однако, если в настройках VPN указать сеть не новосозданную, а обычную, в которой работает TMG, то соединение действительно успешно устанавливается. Клиент получает оттуда адрес и успешно работает с сетью.

    Посмотрел статистику соединения, исходящего трафика в этом интерфейсе при VPN соединении нет. 

    Может быть я что-то неверно настроил? И читал уже документы и пробовал использовать другой адаптер, статический адрес и все равно ничего не понятно.


    MCITP: Server Administrator
    MCTS: Desktop Virtualization
    MCTS: Windows 7, Configuration

    10 февраля 2013 г. 21:20

Все ответы

  • а можно поподробнее, где было указано "использовать DHCP с этой новой сети"?

    11 февраля 2013 г. 10:49
    Отвечающий
  • а можно поподробнее, где было указано "использовать DHCP с этой новой сети"?

    Конфигурация выглядит следующим образом:


    В этой закладке я поменял сеть из которой брать адрес:

    В настройках RRAS стоит верный адаптер.

    Разрешил DHCP для всех сетей. Пробовал через ведение журнала определить есть ли отклоненные соединения. Также никаких соединений, связанных с новой сетью я не нашел.


    MCITP: Server Administrator
    MCTS: Desktop Virtualization
    MCTS: Windows 7, Configuration

    11 февраля 2013 г. 11:04
  • а если пул задать вручную, все работает?

    11 февраля 2013 г. 12:41
    Отвечающий
  • а если пул задать вручную, все работает?

    Да, если указать статический пул, либо внутреннюю сеть, то соединение устанавливается, адрес выдается.

    MCITP: Server Administrator
    MCTS: Desktop Virtualization
    MCTS: Windows 7, Configuration

    11 февраля 2013 г. 12:45
  • правилами точно разрешен dhcp запрос от тмг в новую сеть и ответ из это сети на тмг?

    11 февраля 2013 г. 14:54
    Отвечающий
  • правилами точно разрешен dhcp запрос от тмг в новую сеть и ответ из это сети на тмг?

    Проверял, вроде не должно быть. Но решил проверить через журнал есть ли запросы DHCP. С удивлением обнаружил, что они вообще не идут никуда. Если установлен статический пул, то появляется сообщение DHCP (запрос), но если поставить dhcp на 7-ую подсеть, то в журнале пусто. Если настройках VPN указать внутреннюю сеть, то тоже появляется запрос в логах. Но, однако, еще появляется и DHCP (ответ), которого почему-то при статическом пуле нет.

    В общем, судя по всему, TMG даже не пытается запросить адрес.


    MCITP: Server Administrator
    MCTS: Desktop Virtualization
    MCTS: Windows 7, Configuration

    11 февраля 2013 г. 15:30
  • правилами точно разрешен dhcp запрос от тмг в новую сеть и ответ из это сети на тмг?

    Попробовал разобраться, проблема несколько иная. Получается, что действительно TMG блокирует DHCP. Вероятно, интерфейс успевал получить адрес во время загрузки. Однако если я пробую включить интерфейс после полной загрузки, то адрес интерфейс не получает, либо получает старый, но пишет что подлинность не проверена.

    При этом от имени этого интерфейса я могу посылать пинги, например, то есть сам интерфейс рабочий.

    Вот так выглядит ошибка:

    Отклоненное соединение HALT 11.02.2013 23:54:27
    <id id="L_LogPane_LogType">Тип журнала: </id><id id="L_LogPane_FirewallService">Служба межсетевого экрана</id>
    <id id="L_LogPane_Status">Состояние: </id>Было заблокировано недопустимое предложение DHCP.
    <id id="L_LogPane_Source">Источник: </id>VPN Network (10.0.0.1:67)
    <id id="L_LogPane_Destination">Назначение: </id>VPN Network (10.0.0.254:68)
    <id id="L_LogPane_Protocol">Протокол: </id>DHCP (ответ)
    Дополнительные сведения
    • <id id="L_LogPane_BytesSent">Число отправленных байтов: </id>0<id id="L_LogPane_BytesReceived">Число полученных байтов: </id>0
    • <id id="L_LogPane_ProcessingTime">Время обработки: </id>0ms<id id="L_LogPane_OriginalClientIp">Первоначальный IP-адрес клиента: </id>10.0.0.1

    Примечание: это я изменил подсеть на не пересекающуюся. Ошибки те же что и при другой подсети.

    Код результата в логах: 0xc004002c FWC_E_INVALID_DHCP_OFFER.

    Такое ощущение, что ему чем-то не нравятся пакеты подтверждения. Чем они могут не нравиться? Все клиенты получают исправно адрес, а TMG чего-то не понравилось. 


    MCITP: Server Administrator
    MCTS: Desktop Virtualization
    MCTS: Windows 7, Configuration

    11 февраля 2013 г. 20:02
  • может не из того скопа dhcp предлагает адрес? если снифером послушать и посмотреть что сервер возвращает

    12 февраля 2013 г. 13:50
    Отвечающий
  • может не из того скопа dhcp предлагает адрес? если снифером послушать и посмотреть что сервер возвращает

    Проверил еще раз, вроде все должно быть верно, не так много разночтений может быть. Пул создан новый, один, доступ к нему сейчас есть только для TMG. Адреса выдает.

    Проблема с выдачей адресов для самого TMG, похоже, исчезла. Отклонения соединений пропали. Адрес выдается в любое время, а не только при старте системы, проверил, если добавить в исключение текущий адрес, то после release адрес получает новый.

    Тем не менее при попытке создать VPN соединение ошибка в точности повторяется. Новых запросов DHCP сниффер не показывает. Ошибок в журнале TMG, связанных с выдачей адреса, тоже нет.

    Странно как-то это выглядит. Кажется, что я что-то примитивное упускаю, но не знаю что.


    MCITP: Server Administrator
    MCTS: Desktop Virtualization
    MCTS: Windows 7, Configuration

    12 февраля 2013 г. 20:40
  • Создал два лога PPP. Один при неудачном соединении. Другой при удачном соединении, когда указывается стандартная внутренняя подсеть.

    ошибка - https://dl.dropbox.com/u/15877830/Screen/forum/microsoft/error.txt 

    успешно - https://dl.dropbox.com/u/15877830/Screen/forum/microsoft/success.txt


    MCITP: Server Administrator
    MCTS: Desktop Virtualization
    MCTS: Windows 7, Configuration


    14 февраля 2013 г. 18:07
  • При замене DHCP сервера на авторизованный виндовский, проблема не исчезает.


    MCITP: Server Administrator
    MCTS: Desktop Virtualization
    MCTS: Windows 7, Configuration


    15 февраля 2013 г. 19:08