Проблема с маршрутизацие в VPN-тоннелях на ISA
 

Всем доброго дня!

У меня в 3-х офисах стоят 3 сервера ISA 2006EE. Все соеденены по VPN-тоннелям по типу site-site по схеме: Филиал1 <-> Центр. офис <-> Филиал2.
Филиал1 - сеть на основе рабочих групп, Центр. офис и Филиал2 - домены (разные домены, но с двусторонним доверием). Настройки в ISA позволяют иметь доступ ко всем ресурсам любого офиса. Между центр. офис и Филиал2 все работает нормально, однако пользователи из Филиал1 не могут попасть в сеть Филиал2, причем с самого сервера ISA туда доступ есть, но внутренюю сеть почему-то не пускает и в обратную сторону тоже самое, доступ на сервер ISA в Филиал1 есть, но во внутренюю сеть не пускает. Сетевые правила созданы корректно, правила доступа в массие тоже. Есть подозрение что проблема кроется в "робочей группе", но как это проверить? Подскажите в чем может быть проблема? Сразу оговорюсь что настраивал ISA всегда в домена, это опыт установки ISa в сеть с рабочими группами.

Правильно понимаю что Вы хотите маршрутизировать весь трафик через ISA сервер центрального офиса?
Выполните на клиенте в Филиале1 команду ping <ip-adr> где ip-adr - адрес клиентского компа из Филиала2 и вывод покажите. И вывод ipconfig /all с клиентских машин из обоих филиалов покажите.

и заодно из филиала 1 - tracert IP_филиала_2

вам нужно указать сети филиалов в Site-to-Site VPN к голове. так как вы неудосужились указать ваши адреса то пишу "отбалды"
филиал1 - 192.168.0.0/24
филиал2 - 192.168.1.0/24
главный - 192.168.2.0/24

туннель филиал1-голова
удалённые сети:
филиал2 - 192.168.1.0/24
главный - 192.168.2.0/24

туннель филиал2-голова
удалённые сети:
филиал1 - 192.168.0.0/24
главный - 192.168.2.0/24

в ISA головного филиала, куда приходят оба site-to-site:
networks
new route
route filial1 - filial2
в FW Rules этой ISA:
allow - %some traffic% - filial1/filial2/internal - filial1/filial2/internal - all users

Вот настройки ISA в филиале1(krasnodar) и центре(moskow):
Филиал1, сети:
http://forum.oszone.net/attachment.p...1&d=1299010392

Филиал1, сетевое правило:
http://forum.oszone.net/attachment.p...1&d=1299010449

Филиал1, правило доступа:
http://forum.oszone.net/attachment.p...1&d=1299010209

Центр, сети (филиал1 и филиал2):
http://forum.oszone.net/attachment.p...1&d=1299010660

Центр, сетевые правила:
http://forum.oszone.net/attachment.p...1&d=1299010743

центр, правила доступа:
http://forum.oszone.net/attachment.p...1&d=1299010797

А вот результаты трасировки, которые показывают что дело явно в ISA в филиале1:

ТРасировка с сервера ISA филиал1:

Tracing route to 2.176.localnet [192.168.176.2]

over a maximum of 30 hops:



1 64 ms 64 ms 64 ms 204.178.localnet [192.168.178.204]

2 70 ms 70 ms 69 ms 211.175.localnet [192.168.175.211]

3 73 ms 71 ms 75 ms 2.176.localnet [192.168.176.2]


Трасировка с комьютера внутреней сети филиала1(извините не стал переводить абракадабру, по маршруту и так видно где проблема):

’а*ббЁа®ўЄ* ¬*аиагв* Є 2.176.localnet [192.168.176.2]
б ¬*ЄбЁ¬*«м*л¬ зЁб«®¬ Їал¦Є®ў 4:

1 <1 ¬б <1 ¬б <1 ¬б 1.178.localnet [192.168.178.1]
2 64 ms 65 ms 75 ms 204.178.localnet [192.168.178.204]
3 * * * ЏаҐўлиҐ* Ё*вҐаў*« ®¦Ё¤**Ёп ¤«п §*Їа®б*.
4 * * * ЏаҐўлиҐ* Ё*вҐаў*« ®¦Ё¤**Ёп ¤«п §*Їа®б*.

Выделил жирным для наглядности. Тут явно видно что ISA не пускает внутреннюю сеть в сеть филиала2.

Есть у кого идеи в чем может быть проблема?