VPN-в ISA server 2006
 

Доброго времени суток, не мог-бы кто-нибудь дать консультацию, по настройке VPN сервера для клиентского доступа, тут на сайте есть статья, (http://www.oszone.net/5833/VPN_ISA_Server_2006) я делал все по ней, к сожалению впн соединение установить не удалось, прочитал кучу литературы, описывающей настройку впн сервера, все вроде понятно и сделано правильно, но при инициализации подключения со-стороны клиента выпадает ошибка 807. Я так понимаю, что клиент не может даже достучаться до сервера. Для подключения я выбрал протокол pptp проверка подлинности ms-chap v 2 соответственно. Единственное, что я не настроил, это сопоставление имен пользователей, ибо у меня нет RADIUS сервера, и я не совсем понимаю,что там можно написать, может у кого-то есть информация, в какую мне сторону копать и что еще посмотреть в настройках?
Заранее спасибо

ну статья то более-менее толковая, быть может и вы теперь соизволите описать более подробно вашу проблему?
скрины настроек? есть ли что либо перед ISA? что в есть в логах?

Статья толковая, спору нет. Я и не говорил, что она плохая. Просто это мой первый опыт, и я возможно не совсем понимаю всех тонкостей, потому и спросил... =) Проблема заключается в том, что удаленный пользователь, инициализирующий подключение не может даже достучаться до сервака, не говоря уж о процедуре аутентификации. Первые два момента, о которых я думаю, не надо-ли создать какое-то правило доступа руками. Там есть два правила, по-умолчанию. Одно доступа, которое включилось, когда я активировал "Включить доступ для vpn клиентов" И второе сетевое: разрешить доступ, для клиентов VPN из внешней, во внутреннюю" Ну и плюс, я ничего не написал во вкладку сопастовление имен пользователей. Надо туда что-то писать или нет? RADIUS сервера у меня нет. И какие скины приложить, там можно осень много отснимать, и настройки впн, и сетевые правила, и правила доступа

нет.
настроек VPN на ISA, всех.
так же, вы не ответили есть ли что либо перед ISA.

Не, перед исой ничего нет. Она шлюз, смотрит в инет с публичным айпишником.

скины выложу, по максимуму. Чуть позже, сейчас нету доступа к машине. Спасибо за помощь.

Вот скины, надеюсь, это то, что нужно

Sleybob,
Зайдите в Наблюдение->Ведение журнала настройте фильтр регистрирующий соединения с внешнего ip при установки VPN соединения и посмотрите какое правило блокирует установку соединения. Посмотрите пакеты хотя бы доходят до ISA сервера, может у Вас провайдер запретил VPN соединения.

Sleybob,
1.png - не правильно, у вас VPN Clients получаеются в той же сети что и Internal. создайте для них пул адресов руками.
в остальном как сказал Telepuzik,

Понял, сейчас попробую. Там будет диапазон адресов, и указывать ДНС доменный надо будет, так?

Да. к примеру если у вас ваша внутренняя сетка 192.168.0.0/24 то пул создайте 192.168.1.0/24 и укажите ваши DNS серверы. WINS можно не указывать =)

Пул статических адресов я из своей сети должен дать, или от балды?

я же вам написала.

спасибо. БУду копать сегодня. Отпишусь о результатах. =)

Спасибо. ВПН удалось прокинуть. Спасибо Cameron, за совет со статическими IP и Telepuzik-y за мониторинг, сам не додумался. Хотя решение на поверхности было. =) Как кстати можно сделать, что-бы клиент получал адрес от DHCP? Что-бы добить эту тему до конца?

а зачем? смысл не очень ясен.
но вообще, в теории, можно.
где то на МС я находила описание, как сделать область в DHCP которая будет сугубо для RRAS, и соот-но ваша идея получится.
сама я этого не делала - надобности нет.

Просто изучаю по, возможности и решания. Надобности тоже особой нет. Но все равно спасибо. Тема решена =)

Если мне не изменяет память то делается это примерно так: указываем вместо статического пула использование DHCP, указываем что получать адреса с сервера DHCP расположенного во внутренней сети (сервер должен быть настроен), смотрим правила системной политики касающиеся DHCP (правила 9, 10). Затем идем Пуск->Администрирование->Маршрутизация и удаленный доступ->Перезапускаем службу. Смотрим на DHCP сервере должны появиться записи о том что был арендован ISA сервером пул адресов. Если не работает смотрим Мониторинг кто что блокирует.

и это будет fail, если DHCP сервер будет раздавать адреса, которые находятся в диапазоне Internal для ISA.

Вы уверены?? Насколько я помню все нормально работает. Вот у Томаса Шиндера тоже адреса VPN клиентам выдаются из пула принадлежащего внутренней сети.
Sleybob,
Еще для работы DHCP нужно настроить DHCP Relay Agent на ISA сервере.

DHCP Relay Agent находится в RRAS, а не в ISA и он не нужен в данном случае.

да, абсолютно.
частично "нормально".
там нигде не говорится о том, какие адреса выдаются и как они относятся к Internal диапазону.
http://technet.microsoft.com/en-us/l.../bb794774.aspx
начиная с:

Настроил VPN с выдачей адресов из подсети принадлежащий внутреней сети, есть доступ ко всем ресурсам сети. Что Вы подразумеваете под значением "Частично", что то не должно работать?
Там корпоративная сеть обозначена как 10.0.0.0, а VPN клиент получает адрес 10.0.0.105.

Telepuzik,
да, не внимательно прочитала.
более того, нашла вот это:
поэтому overlap'а не происходит.
видимо, моя абсолютная уверенность была ошибочной, хотя я уверена что на это были какие-то причины.
вынуждена признать что я не права, пока не разберусь в причинах своей ошибки.

Доброго времени суток.

Подскажите, что не докрутил: настроил vpn как тут на сайте рассказывали, клиент (из внешней) устанавливает соединение с тмг, правила системной политики работают, клиент получает ip из диапазона, который указал при настройке (172.33.150.0\24) Но после установки соединения не получается достучатся уже до внутренних серверов (ping, подключение по шаре и т.п.), в чём может быть косяк?

П.С. В меню "Сеть"=> вкладка "Маршрутизация" => пункт "Маршруты топологи сети" прописан постоянный маршрут только для сетки типа 172.16.0.0\12 (это вся внутренняя сеть, так как вланы настроены)

С уважением.

В правилах есть разрешение на доступ к локальной сети VPN-клиентам? (Allow-from VPN Clients - to Intranet).

Доброго времени суток.

Создал правило "Разрешить - Все протоколы - От vpn-клиентов - К внутренняя - Все пользователи (или юзер-сет)". Заработали пинги и доступ по удалённому рабочему столу, но только при указании ip-адресов, по имени не работает (ip DNS прописан в настройке диапазона для впн), так же всё ещё не работает доступ по шаре и отваливается и-нет провайдера (не открываются сайты и т.п., но пинги проходят на ресурсы в и-нете, windows 7) при установлении vpn-соединения, в каком направлении копать дальше?

П.С. По поводу отваливания и-нета, если убрать галку (использовать основной шлюз в удалённой сети) в свойствах vpn, то и-нет не отваливается, vpn соединяется, но вообще перестают пинговаться сервера ну и так далее по списку :(

С уважением.

Ну правильно, как только эта опция выставляется, ты как будто находишься в рабочей сети, а интернет провайдера только поддерживает соединение.
В таком случае можно прописать маршрут на свой машине, примерно так:
route -p add 192.168.1.0 mask 255.255.255.0 192.168.1.100, где 192.168.1.100 - внутренний шлюз.

Доброго времени суток.

Правильно ли я понимаю: вместо 192.168.1.0 я должен прописать ip своей машины (у меня публичный) у провайдера, а в место шлюза 192.168.1.100 - шлюз провайдера в моей подсетки?

Не знаю что произошло, пока не прописывал этот маршрут, но сегодня снова тестировал подключение по vpn, с вкл. галкой теперь и-нет не отваливается, заработал пинг по имени сервера в формате FQDN-имени, а вот шара по прежнему не работает...

С уважением.

Нет, надо прописать всю свою подсеть, т.е. последняя цифра должна быть нулем(например 192.168.1.0, 172.15.2.0 ну и т.д.). Затем указать маску подсети, которая используется в локальной сети. Ну и шлюзом указать тот, который указан как "основной шлюз в локальной сети".