locked
ISA2006 做了NLB後無法VPN無法訪問內部網絡 RRS feed

  • 問題

  • ]. 前提:

    1).兩台ISA Server 2006 Enterprise (ISA01&ISA02) 作了NLB, 同時兩台Server都有加入到網域,域控IP192.192.192.2,同時也是DNS,DHCP,WEB,IAS Server,所有的Client端都有加入網域(Test ).VPN用戶端用AD帳號的方式管控權限.

     

    2).ISA01&ISA02的信息分別為:Lan IP :192.192.192.1 & 192.192.192.3 Wan IP:172.172.172.1 & 172.172.172.2  DMZ IP:10.10.10.1 & 10.10.10.2 ,NLB虛擬的IP分別為Lan IP:192.192.192.5  Wan IP:172.172.172.5  DMZ IP:10.10.10.5 ,利用我的NLB IP對外部網絡發佈FTP, Http 沒有問題,外部網羅訪問訪問.

     

    3).ISA Server VPN地址分配原則,採用靜態地址池(S)分配方式.分配範圍為:ISA01:192.192.194.20-192.192.194.254 ISA02:192.192.193.153-192.192.193.254 .並且使用內部網絡來獲取DHCP,DNS,WINS服務.ISA Server 啟用的是PPTP的協議方式,並使用ISA 默認的加密方式(MS-CHAPV2)

     

    5).Remote VPN Client網羅為172.172.172.0/24.ISA Server Wan 網卡處於同一個網絡.

      

    ]. 現象描述:

    1).在擔當Remote access VPN client 的機器上撥入VPN,VPN 撥入成功,無任何錯誤信息.取得IP 地址為:192.192.194.56(撥到的ISA Server ISA01)

     

    2).執行Ping 命令,去測試聯通性, Ping 192.192.194.20(ISA01) 得到replay from 192.192.194.20: bytes=32 time=2ms TTL=128 的結果. 但是Ping 內部網絡的其他都是無法訪問.

     

     

    ]. 疑點

    為什麼我的Client端可以撥進來,而且能夠撥到ISA01,並且可以與ISA01通訊,但是為什麼到內網的其他機器就不行了呢? 我可以用NLB成功對外發布Web ,Ftp server ,那我的NLB是成功的,我的測試環境沒有開啟Web Cache的任何功能.

     

    2007年5月27日 下午 12:29

所有回覆

  • 您好:

    使用者透過VPN進入內部網路預設是沒有辦法存取公司內部資源,您必須另外針對VPN使用者設定相關允許規則:

    (1)請於防火牆原則\右鍵\新增存取規則\Allow VPN User access LAT \ 允許\通訊協定(此處依據貴公司存取原則,設定您允許的協定\存取規則來源VPN用戶端\存取規則目的地:內部網路\使用者所有使用者。

    (2)網路\新增網路規則\VPN使用者存取LAN\網路流量來源VPN用戶端\網路流量目的地內部\關聯性\路由

      您可以參閱前篇討論,謝謝。

    http://forums.microsoft.com/TechNet-CHT/ShowPost.aspx?PostID=1565278&SiteID=23

     

    2007年5月29日 上午 02:43
  • 是的 我有定義策略允許我的VPN Client 訪問我的內部網絡和本地主機, 撥進來沒有問題, 但是它只能與它撥到的ISA server 假設是(ISA01)能夠通信,其他的都不行,而且我從ISA01能夠Ping 到VPN Client ... 從Log的紀錄來看我的 雖然我有定義策略(放在第一條),但是Log裡面好像沒有被觸發.一直沒有應用上.......
    2007年5月29日 上午 03:02
  • 您好:

    如果您確定所有的Rule都沒有問題的話您可以Debug一下確定一下是哪一條Rule Deny 掉您的規則

    透過\監視\紀錄\編輯篩選器\用戶端IP值 等於您VPN使用者IP 然後再透過使用者來PING 藉此Debug,相信能找到您的問題。

     

    2007年5月29日 上午 04:28
  • 是的, 我有用到ISA提供的dubug 工具,也找到了那條Deny的Rule, 但是我確定我的策略裡面是由允許出站的服務,但是看起來Rule沒有被應用到. 很奇怪的..請指教
    2007年5月30日 上午 04:01
  • 您好:

    您有找到那條Rule 是被Deny  請您在確定所有 Rule 設定的規則,另外Rule 的設定上面是有先後順序的 請您確定防火牆的Allow 規則是優先於 Deny 。

    2007年6月4日 上午 03:00
  • 很奇怪的就是,我根本就沒有找到任何的Rule是Deny我的VPN撥進來的,而且定義的VPN to Intranet 是第一條策略. 求救呢
    2007年6月4日 上午 03:23
  • 您好:

    建議您參考一下下面連結裡面提到的觀念 VPN 的部份 Microsoft Internet Security and Acceleration (ISA) Server 2006 的網路負載平衡整合概念:http://www.microsoft.com/taiwan/technet/isa/2006/nlb.mspx

     

    使用 NLB 整合設定 VPN

     

    遠端存取 VPN 和 NLB

    當遠端存取用戶端初始到陣列的 VPN 連線時,其中一個陣列成員會建立 VPN 連線並分配該用戶端的 IP 位址。之後,該遠端用戶端所有的流量就會通過該陣列成員。

    網站間的 VPN 和 NLB

    在遠端網站網路上啟用 NLB 後,ISA Server 會自動指派一個陣列成員來處理 VPN 通道。在這個動作中,不會在兩個網站間建立平行通道。如果指派的伺服器失敗 (不論原因為何),就會在另一部伺服器上重新建立通道。

    兩個陣列間可以使用網站間 VPN 通道進行通訊。不過,每個網站都必須知道另一個網站的專用 IP 位址。若為點對點通道通訊協定 (PPTP) 及第二層通道通訊協定 (L2TP) 遠端網站網路,則您必須指定遠端網站的專用 IP 位址以作為其他遠端閘道。

    您可以使用 ISA Server 的 NLB 功能,來設定及管理在 ISA Server 陣列上執行的 Windows Server 2003 的 NLB 功能。當遠端網站網路是啟用 NLB 的陣列時,來自此 ISA Server 防火牆陣列的初始連線,將會連線到電腦的虛擬 IP 位址。將從遠端陣列的一個專用 IP 位址中建立通道。因此,您必須將所有專用 IP 位址指定為其他遠端通道端點。

    此外,以下是網站間 VPN 部署的整合 NLB 模式下所支援的動作:

    將用戶端要求自動路由到主控 VPN 連線的陣列成員。

    如果擁有網站間 VPN 連線的伺服器失敗,就會自動將連線轉移到另一個 ISA Server 陣列成員。

    NLB 會維持現有的 PPTP 和網際網路通訊協定安全性 (IPsec) 通道連線。這表示在 VPN 實例中,即使對應會隨著主機的改變而變更,NLB 仍會繼續保留通道。

    設定 VPN 網站間網路時必須考量下列需求:

    如果使用多重伺服器 ISA Server 陣列,而且打算使用 NLB,您必須使用 ISA Server 整合式 NLB。如果您是使用 Windows NLB,將不支援網站間連線。

    如果您不是使用 ISA Server 來提供 NLB 功能,就必須設定您的公司路由器,以確保指派給特定電腦 (執行 ISA Server 服務) 之特定集區的用戶端流量,會透過該伺服器路由傳回。

    如果您確實已在提供靜態位址的 ISA Server 陣列上設定 NLB,ISA Server 就會自動處理用戶端流量的路由傳送工作。在此情況下,請將路由器的所有靜態路由,設定為使用 ISA Server 陣列的虛擬 IP 位址。

    當您使用 ISA Server 整合式 NLB 時,它會為每一個網站間連線選擇一部伺服器,並為該連線提供容錯移轉保護。啟用 NLB 時,必須在外部網路上設定 NLB,網站間連線才能正常運作。此外,在每一個與遠端網路間擁有路由關聯性的網路中都應啟用 NLB。

    在已啟用 NLB 的多重伺服器 ISA Server 陣列中,我們建議您不要在其中一個陣列成員上安裝設定存放區伺服器。在陣列成員上安裝設定存放區伺服器時,該陣列成員將無法處理網站間連線,而遠端網站將遺失與設定存放區伺服器的連線。請在 ISA Server 陣列後方的其他電腦上安裝設定存放區伺服器。

    連線擁有者

    建立與 ISA Server 電腦陣列的網站間連線之後,只有一個陣列成員是真正的連線擁有者。連線擁有者是 VPN 通道端點。

    當啟用 NLB 之後,ISA Server 會自動指派連線擁有者。不需要其他設定。ISA Server 會使用演算法來最佳化連線擁有者的指派作業,以儘可能建立一個平衡的網路。建立通道後,即使新增或移除了其他伺服器,指派為連線擁有者的伺服器仍保持不變。若無法使用指派的連線擁有者,ISA Server 會自動將連線傳給另一個陣列成員。利用這種方式,ISA Server 可支援 VPN 網站間連線的容錯移轉。

    停用 NLB 時,必須指派遠端網站網路的連線擁有者。若無法使用連線擁有者,則可能是未連線到遠端網站。

    啟用 NLB 遠端網站的 IP 位址

    您連線的遠端網站網路是啟用 NLB 的陣列時,指定給遠端通道端點的位址必須是啟用 NLB 陣列的虛擬 IP 位址。

    當您建立遠端網站網路時,請指定遠端網站內的所有位址。

    此外,若為 IPsec 網路、HTTP Proxy,或網站之間的 NAT 流量,您必須包含與遠端網站網路相關之網路介面卡的所有專用 IP 位址。這是因為系統會對來自遠端網站的 HTTP Proxy 和 NAT 流量的來源 IP 位址,進行位址轉譯 (在遠端)。因此,本機網站會將流量視為來自遠端網站的主要 IP 位址,而實際上是來自其專用的 IP 位址。

     

     

    2007年6月6日 下午 12:22