Hyper-V vs Маршрутизация и удаленный доступ
 

Добрый день коллеги.
Столкнулся с проблемой, подключения Site-to-Site на гостевой ОС (2003+ISA, 2008R2+TMG) с ошибкой "Подключение было разорвано раньше чем могло быть установлено"
Вкратце расскажу чем вызвана данная ошибка, на хосте с гипервизором присутствовала роль "Службы политики сети и доступа" она же маршрутизация и удаленный доступ. Проблема в этом, и я не знаю как решить данную проблему без перестановки ОС на хосте, это и решает проблему. Имет место несовместимость служб и ролей в 2008R2, факт на лицо. Может быть кто то сталкивался, знает как лечить? Я сравнивал параметры реестра службы маршрутизации после удаления роли но не нашел каких то различий с чистой ОС. По логам ISA (TMG) тоже ничего, вижу открытые соединения по 1723, затем они закрываются.
При развертывании Гипервизора на чистой обновленной ОС таких проблем в последствии нет.

я вот не поняла о чём именно идёт речь?
кто с кем должен поднимать STS? откуда взялся RRAS на Hyper-V и чем он мешает дальше и почему нельзя снести роль?

cameron, Вы меня не поняли, либо не внимательно читали. Роль мне никто не мешает удалить, я ее удалил. Но если после удаления роли развернуть Гипервизор, то на гостевой не подымется PPTP. Хотите попробуйте сами.
VPN подымается с ЦО например, создается виртуальный свич, туда втыкается виртуальная сеть и т.д.
Что еще непонятно? То что я написал тут я не однократно проверил, так что у меня есть основания говорить о несовместимости. На хосте никто никуда не подключался, необходима была лишь маршрутизация.

illznn,
а если STS сделать на L2TP, то будет работать?

Нет, пробовал, тож самое.

а клиентским VPN удаётся подключиться к обоим участникам STS?
соотно по PPTP/L2TP?

Пробовал. Тоже самое ...
Та же ошибка, скрины прилагаю.

illznn,
и ещё:
1. физические сетевые карты какие?
2. вланы есть?

а к TMG клиент цепляется?

Нет, вланов нет, физика - HP NC326i PCIE Dual Port Gigabit Server Adapter
И еще, в логах такая фича

хотя по сути ничего не дает, правила прописаны трафик ходит. Скорей всего рубится где то на уровне виртуального коммутатора ..

похоже это лог PPTP, потому что L2TP не нуждается в GRE.
тогда вопрос:
гостевая ISA имеет внешний белый адрес или она за каким-то NAT'ом?

и её виртуальная сетевая карточка Emulated или Synthetic?

Да, PPTP, это основной используемый протокол. На L2TP я пробовал, затем вернул обратно.
ISA На виртуалке, внешним интерфейсом подключена к модему ес-но Route, на котором в свою очередь форвардится 1723 на внешку ISA. У меня и раньше была такая примерно схема, только работал я с VMWare.

ну а куда же делся GRE то, необходимый для PPTP? =)

а если модем в Bridge перевести и вписать на ISA реальные IP, проблема сохранится?

Раньше я форвардил 1723. Соединение подымалось. Насчет бриджа надо попробовать.

ну соотно настройки на роутере были разрешающие это.
имеет смысл проверить.
далеко не все роутеры умеют так работать с GRE.

Роутер не заменялся, этот же роутер с этими же настройками использовался и при прошлой конфигурации.
За совет с бриджом спасибо, сам ненавижу шаблонное мышление, но похоже я увяз в этой проблеме, а вы немного толкнули меня в сторону. Отпишусь как что то узнаю.

ну и да, уточнение которое ещё в режиме ROUTE можно проверить:
надеюсь порты для L2TP вы пробрасывали до ISA? =)
ибо по TCP 1723 он не заработает.

Конечно, не школьник же ))