Logo MurCode
Windows Новое сообщение

Не видна внутренняя сеть через VPN соединение

Anatoly Podgoretsky
Дата: 21.12.2007 15:21:54
Проблему доступа до VPN сервера решил, доступ теперь есть, аутентификацию в домене проходит, но теперь не вижу внутреннею сеть. Я могу ее пинговать, делать трассировку, могу выходить в Интерет. Правило доступа для VPN клиентов до внутренней сети есть. Как я понимаю проблема с правилами Network Rules или с таблицами маршрутизации.

Клиенты получают адреса, шлюз, DNS через DHCP. В DHCP я вижу зарегистрированые 10 адресов для VPN клиентов, как часть внутренней сети (192.168.1.161-192.168.1.170).

Networks Rules

1. Local Host Access    Route    Local Host       All Networks

2. VPN to External      NAT      VPN Clients      External

3. VPN to Internal      NAT      VPN Clients      Internal  <-- Вот здесь проблема, может эта запись лишняя?

4. Internal to DMX      NAT      Internal         DMZ

5. DMZ to External      NAT      DMZ              External             

6. Intenet Access       NAT      Internal         External

По пункту три пробовал и ROUTE, в этом случае в логе ISA есть сообщения

VPN Client ADR, DestAdr, Denied Connection, правила нет, Local Host to Internal

При NAT тоже самое только VPN Server to DC (PDC), записей по клиенту нет.

В системно логе после перезапуска есть запись - For routing table for the network adapter Internal includess IP address ranges that not defined in the allay level network VPN Clients, to which it is bound. As a result, packet arriving at this network adapter from the IP addreses ranges listed below or sent to these IP address ranges via thes network adapter will be dropped as spoofed// To resolve this issue, add the missinf IP adress ranges to the array network. Приведен адрес клиента. Но в настройках VPN Clients нельзя указать диапазон адресов или вообще что-то.

В свое время из Configuration Network были удалены все записи относящися к VPN и теперь я пробую их восстанавливать по памяти, а посмотреть настройки негде. Может надо еще что то в Networks Sets?

Networks Sets

All Networks ......

All protected Networks .....

Route print

192.168.1.170   255.255.255.255   127.0.0.1   127.0.0.1   50   <-- VPN Server

Остальные записи относятся к Extertnal, Internal, DMZ

Mожет кто ни будь поможет, хотя бы приведя записи из Neworks, Networks Sets, Networks Rules

Информацию искал на ISASERVER.RU, и на англо язычном форуме (неудобный и очень много), в фирменной документации - по этой части не нашел, полезной была информация от Микрософта по конфигурации и от Шиндера, но не достаточная, да и устаревшая в основном по 2000 и немного по 2004.
Yanis
Дата: 21.12.2007 17:33:04
автор
не вижу внутреннею сеть. Я могу ее пинговать, делать трассировку
Не понял...
Ну и как обычно:
ipconfig /all на впн-сервере и на компе после установки ВПН-соединения.
Также route print на клиенте после установки ВПН-соединения
Anatoly Podgoretsky
Дата: 21.12.2007 17:40:07
Забыл указать Windows server 2003 R2 SE + ISA Server 2005 SE

А насчет ipconfig + route это не в тему, это все работает, я же хочу видеть на клиентской машине сетевое окружение с ресурсами. Я даже могу подключиться к ресурсу по схеме \\machine.domain.local\Share, но это не совсем то. Проблема не клиентской машины а сервера и связана с сетью VPN Clients. Мне бы увидеть родные записи из оригинальное Configuration\Network поскольку у меня они стерты.
aleks2
Дата: 21.12.2007 18:19:53
надо

VPN to Internal ROUTE VPN Clients Internal
Internal to VPN ROUTE Internal VPN Clients

и, возможно, надо

VPN to LocalHost ROUTE VPN Clients LocalHost
LocalHost to VPN ROUTE LocalHost VPN Clients


NAT там не годится.

Кроме того запись из лога следовало бы привести ПОЛНОСТЬЮ.
Anatoly Podgoretsky
Дата: 21.12.2007 18:46:04
aleks2
надо

VPN to Internal ROUTE VPN Clients Internal
Internal to VPN ROUTE Internal VPN Clients

и, возможно, надо

VPN to LocalHost ROUTE VPN Clients LocalHost
LocalHost to VPN ROUTE LocalHost VPN Clients


NAT там не годится.

Кроме того запись из лога следовало бы привести ПОЛНОСТЬЮ.

Добавил запись
Internal to VPN      ROUTE      Internal           VPN Clients
А вот насчет "возможно" то как раз не возможно, правила запрещают использовать LocalHost
Проверить сейчас не могу, поскольку я сижу за Линуксом (старым) а он GRE не поддерживает, требуется подключать Интернет напрямую к рабочей станции, а это сделать пока не могу, нельзя отключать клиентов, но сделаю при первой возможности.

В системном логе после перезапуска есть запись
автор
For routing table for the network adapter Internal includess IP address ranges that not defined in the allay level network VPN Clients, to which it is bound. As a result, packet arriving at this network adapter from the IP addreses ranges listed below or sent to these IP address ranges via thes network adapter will be dropped as spoofed. To resolve this issue, add the missinf IP adress ranges to the array network.

Приведен адрес клиента. Но в настройках VPN Clients нельзя указать диапазон адресов или вообще что-то. Сообщение касается когда ROUTE (тоже если назначаю отдельную статическую сеть).

В логе ISA
автор
VPN Client ADR, DestAdr, Denied Connection, правила нет, Local Host to Internal
Anatoly Podgoretsky
Дата: 21.12.2007 18:51:10
До установки ROUTE и второго правила, приблизительно с частотой 10 минут следующая запись
автор
VPN Server, DC, Denied Connection, правила нет, Local Host to Internal
Anatoly Podgoretsky
Дата: 22.12.2007 02:40:44
Проверил по последней рекомендации.

В системном логе нет ошибок. Есть одно инфорамционное сообщение от IAS с кодом 5050 без текста. Видимо что подключился клиент.

В логе ISA старое сообщение, что VNC Server не может подключиться к DC (PDC) по нетбиос, порт 137. До правил дело не доходит. Соответственно в сетевом окружение сети нет, поскольку не получить список от PDC.

Точно также могу подключиться по DNS имени к Интранет сервере и к файл серверу.

VPN to Internal & Internal to VPN использован ROUTE

Так что нужны еще идеи.
aleks2
Дата: 22.12.2007 11:47:50
Anatoly Podgoretsky
Проверил по последней рекомендации.

В системном логе нет ошибок. Есть одно инфорамционное сообщение от IAS с кодом 5050 без текста. Видимо что подключился клиент.

В логе ISA старое сообщение, что VNC Server не может подключиться к DC (PDC) по нетбиос, порт 137. До правил дело не доходит. Соответственно в сетевом окружение сети нет, поскольку не получить список от PDC.

Точно также могу подключиться по DNS имени к Интранет сервере и к файл серверу.

VPN to Internal & Internal to VPN использован ROUTE

Так что нужны еще идеи.


Дык ты "не можешь подключиться" или "не можешь подключиться по DNS имени"?
Это две большие разницы...
Anatoly Podgoretsky
Дата: 22.12.2007 13:32:22
Я писал не видна внутреннея сеть - в сетевом окружение, по ДНС я могу работать, но без сетевого окружения. По ДНС имени я могу обратиться, но пользователям это очень не удобно.

1
В логе ISA старое сообщение, что VNC Server не может подключиться к DC (PDC) по нетбиос, порт 137.

2
Точно также могу подключиться по DNS имени к Интранет сервере и к файл серверу.
aleks2
Дата: 22.12.2007 15:08:19
Anatoly Podgoretsky
Я писал не видна внутреннея сеть - в сетевом окружение, по ДНС я могу работать, но без сетевого окружения. По ДНС имени я могу обратиться, но пользователям это очень не удобно.

1
В логе ISA старое сообщение, что VNC Server не может подключиться к DC (PDC) по нетбиос, порт 137.

2
Точно также могу подключиться по DNS имени к Интранет сервере и к файл серверу.


Я писал... пИсал, наверное, правильнее.

Не увидишь, никогда. (с) Нострадамус.

Это проблема ОБЗОРА многосегментных сетей. Как ты, наверное, знаешь в Windows это разрешимо только в рамках домена. Но, боюсь, поднять доменный контроллер у каждого клиента - это тебе не по зубам.