locked
TMG的VPN無法撥通 RRS feed

  • 一般討論

  • 各位好!

    客戶端那邊原本從Internet可以VPN撥號透過TMG連回公司內部

    但是其Core Switch由Cisco 3550更換成Brocade 7250之後,VPN撥號連線就不通了

    錯誤訊息為:「無法建立與遠端連線的連線,您可能需要變更這個連線的網路設定」

    請問這個問題有什麼可能的原因嗎?感恩!


    • 已編輯 Jerry.Hong 2016年8月2日 上午 09:47 make it more proper
    • 已變更類型 Jerry.Hong 2016年8月22日 上午 10:16
    2016年8月2日 上午 07:49

所有回覆

  • Hi DannyLee,

    想請問一下,您換了switch之後,只有出現這個問題嗎? 還是還有其他的網路問題?

    那只有這個客戶出現這樣的情況嗎?


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2016年8月2日 上午 09:52
  • Hi DannyLee,

    想請問一下,您換了switch之後,只有出現這個問題嗎? 還是還有其他的網路問題?

    那只有這個客戶出現這樣的情況嗎?


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    對,更換Switch後目前的確只有這個問題而已,沒有其他網路問題,謝謝!
    2016年8月3日 上午 12:57
  • 您好,

    我的猜測是不是認證這塊的設定沒有設對,造成VPN撥號連線就不通了.

    其實,還是要看Config才知道哪兒出錯了?

    提供您參考,

    希望對您有所幫助

    謝謝.

    2016年8月3日 上午 01:05
  • 您好,

    我的猜測是不是認證這塊的設定沒有設對,造成VPN撥號連線就不通了.

    其實,還是要看Config才知道哪兒出錯了?

    提供您參考,

    希望對您有所幫助

    謝謝.

    如果是認證的設定有問題,應該更換Switch之前就會有問題

    所以這個問題真的還挺詭異的,謝謝您的回覆!

    2016年8月3日 上午 02:37
  • Hi Dannylee,

    您有試著重新設定過嗎?


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2016年8月3日 上午 03:09
  • Hi Dannylee,

    您有試著重新設定過嗎?


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    我有試著重裝一台TMG,從舊的TMG把相關設定匯出,然後再匯入到新的TMG一樣不行 Orz
    2016年8月3日 上午 03:24
  • Hi DannyLee,

    建議您可以參考下面這篇文章,裡面有提到使用TMG 在VPN上常見的issue,希望能幫助到您!


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2016年8月3日 上午 03:36
  • 我想Cisco 和Brocade Switch在設計上是有分別的, 也有其實使用者在從Cisco轉到Brocade後出現狀況

    http://community.brocade.com/t5/Ethernet-Switches-Routers/Microsoft-TMG-2010-NLB-routing-multiport-ARP-issue/td-p/35202

    在Cisco和Brocade配搭使用時也會需要調整參數..例如

    http://community.brocade.com/t5/Ethernet-Switches-Routers/Issue-connecting-Brocade-Cisco-switches/td-p/32795

    所以這可能不是改變TMG能消除的問題...必須從Brocade上調整


    邊幫助, 邊鍛鍊

    2016年8月3日 上午 04:01
  • 因為之前的DCHP Server為Cisco 3550,後續由Brocade 7250接手

    所以懷疑是TMG無法從DHCP Server拿到IP...

    剛剛建立了另外一個測試環境並測試了一下,TMG會一口氣從DHCP Server承租了10個IP

    目前猜測或許是TMG無法從7250這邊的DHCP Server取得IP來配給VPN Client,但是目前不知如何從Brocade設備上克服這個問題

    請問是否可以改用Static Address Pool的方式來設定? 這個部分應該如何進行呢?感謝


    • 已編輯 DannyLee 2016年8月3日 上午 07:08
    2016年8月3日 上午 07:07
  • 自問自答一下,原來這個Static Address Pool所設定的IP Range要從Internal中進行剃除,這樣就可以套用成功!

    剛剛測試了一下,VPN果然就可以撥通了,看來問題真的是TMG無法從7250的DHCP拿到IP的樣子

    問題暫時就先用這個Workaround的方式處理掉了,謝謝各位的協助,再次感謝  

    參考資料: https://social.technet.microsoft.com/Forums/forefront/en-US/9babcfa2-54fe-49bf-b35d-581e41fb5ec6/tmg-2010-setting-up-vpn-with-static-address-pool-and-no-dhcp?forum=Forefrontedgegeneral

    2016年8月3日 上午 07:28
  • 從描述及最後的解決方法,
    不知道是不是之前的 Cisco 3550 上面有設定 DHCP Relay,
    所以 TMG 在連接 3550 時可以正常取得 DHCP 資料,
    建議檢查新更換的 7250 有沒有對應的設定

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2016年8月3日 上午 07:48
  • 從描述及最後的解決方法,
    不知道是不是之前的 Cisco 3550 上面有設定 DHCP Relay,
    所以 TMG 在連接 3550 時可以正常取得 DHCP 資料,
    建議檢查新更換的 7250 有沒有對應的設定

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    既然您把DHCP Relay都拋出來了,就順便請教一下

    我的印象中,假設DHCP Server是其他主機或設備擔任,才需要設定這個DHCP Relay的參數

    目前DHCP Server的角色就是直接On在3550和7250上面,理論上應該是毋須這個DHCP Relay的參數

    而且記憶中在3550上面是沒有這個DHCP Relay的設定,如果沒有記錯的話

    假使在下的觀念有誤,也請各位指正,萬分感謝

    2016年8月3日 上午 08:06
  • 如果 DHCP 是 On 在上面,的確就不需要 Relay 了

    不過我遇到的環境,如果企業內部有導入 AD,
    大多會同時使用 DC 或一台 Windows 做 DCHP Server,
    在查詢及管理用戶端電腦時會比較方便


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2016年8月3日 上午 08:15
  • DHCP Relay是在該網段(如20.10.0.0/16)沒有DHCP服務器時經路由器把DHCP Request broadcast packet轉送到目的地服務器(如10.0.0.1/8)的.

    因為20.10.0.0/16的客戶端發放出來的廣播封包只能在該網段生效, 如果不想在該網段放置DHCP Server, 就必須借助DHCP Relay作位中繼


    邊幫助, 邊鍛鍊


    2016年8月3日 上午 08:33
  • 如果 DHCP 是 On 在上面,的確就不需要 Relay 了

    不過我遇到的環境,如果企業內部有導入 AD,
    大多會同時使用 DC 或一台 Windows 做 DCHP Server,
    在查詢及管理用戶端電腦時會比較方便


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    然也,我們也有其他客戶的確是用Windows Server來擔任DHCP Server的角色 ^^
    2016年8月3日 上午 08:54
  • Justin Lau 解釋得比較正確且完整,
    如果跨網段的話,就必須做 Relay了 :)

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2016年8月3日 上午 08:56
  • Justin Lau 解釋得比較正確且完整,
    如果跨網段的話,就必須做 Relay了 :)

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    Yes,回歸到客戶端的環境來看,TMG和DHCP Server都是在同一個網段,沒有跨網段的問題

    所以才覺得很納悶怎麼會租用不到IP  

    2016年8月3日 上午 09:05
  • 可能要收封包觀察溝通狀況才有辦法找到原因了

    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2016年8月3日 上午 09:30