[решено] Проблема с маршрутизацие в VPN-тоннелях на ISA

Telepuzik · Отправлено: **10:25, 28-02-2011** | #2

Цитата Jekael:

по типу site-site по схеме: Филиал1 <-> Центр. офис <-> Филиал2. »

Правильно понимаю что Вы хотите маршрутизировать весь трафик через ISA сервер центрального офиса?

Цитата Jekael:

Есть подозрение что проблема кроется в "робочей группе", но как это проверить? »

Выполните на клиенте в Филиале1 команду ping <ip-adr> где ip-adr - адрес клиентского компа из Филиала2 и вывод покажите. И вывод ipconfig /all с клиентских машин из обоих филиалов покажите.

Delirium · Отправлено: **02:23, 01-03-2011** | #3

и заодно из филиала 1 - tracert IP_филиала_2

cameron · Конфигурация компьютера

Цитата Jekael:

однако пользователи из Филиал1 не могут попасть в сеть Филиал2, причем с самого сервера ISA туда доступ есть, но внутренюю сеть почему-то не пускает и в обратную сторону тоже самое, доступ на сервер ISA в Филиал1 есть, но во внутренюю сеть не пускает. Сетевые правила созданы корректно, правила доступа в массие тоже. Есть подозрение что проблема кроется в "робочей группе", но как это проверить? Подскажите в чем может быть проблема? Сразу оговорюсь что настраивал ISA всегда в домена, это опыт установки ISa в сеть с рабочими группами. »

вам нужно указать сети филиалов в Site-to-Site VPN к голове. так как вы неудосужились указать ваши адреса то пишу "отбалды"
филиал1 - 192.168.0.0/24
филиал2 - 192.168.1.0/24
главный - 192.168.2.0/24

туннель филиал1-голова
удалённые сети:
филиал2 - 192.168.1.0/24
главный - 192.168.2.0/24

туннель филиал2-голова
удалённые сети:
филиал1 - 192.168.0.0/24
главный - 192.168.2.0/24

в ISA головного филиала, куда приходят оба site-to-site:
networks
new route
route filial1 - filial2
в FW Rules этой ISA:
allow - %some traffic% - filial1/filial2/internal - filial1/filial2/internal - all users

Jekael · Отправлено: **23:25, 01-03-2011** | #5

Вот настройки ISA в филиале1(krasnodar) и центре(moskow):
Филиал1, сети:
http://forum.oszone.net/attachment.p...1&d=1299010392

Филиал1, сетевое правило:
http://forum.oszone.net/attachment.p...1&d=1299010449

Филиал1, правило доступа:
http://forum.oszone.net/attachment.p...1&d=1299010209

Центр, сети (филиал1 и филиал2):
http://forum.oszone.net/attachment.p...1&d=1299010660

Центр, сетевые правила:
http://forum.oszone.net/attachment.p...1&d=1299010743

центр, правила доступа:
http://forum.oszone.net/attachment.p...1&d=1299010797

А вот результаты трасировки, которые показывают что дело явно в ISA в филиале1:

ТРасировка с сервера ISA филиал1:

Tracing route to 2.176.localnet [192.168.176.2]

over a maximum of 30 hops:

1 64 ms 64 ms 64 ms 204.178.localnet [192.168.178.204]

2 70 ms 70 ms 69 ms 211.175.localnet [192.168.175.211]

3 73 ms 71 ms 75 ms 2.176.localnet [192.168.176.2]

Трасировка с комьютера внутреней сети филиала1(извините не стал переводить абракадабру, по маршруту и так видно где проблема):

’а*ббЁа®ўЄ* ¬*аиагв* Є 2.176.localnet [192.168.176.2]
б ¬*ЄбЁ¬*«м*л¬ зЁб«®¬ Їал¦Є®ў 4:

1 <1 ¬б <1 ¬б <1 ¬б 1.178.localnet [192.168.178.1]
2 64 ms 65 ms 75 ms 204.178.localnet [192.168.178.204]
3 * * * ЏаҐўлиҐ* Ё*вҐаў*« ®¦Ё¤**Ёп ¤«п §*Їа®б*.
4 * * * ЏаҐўлиҐ* Ё*вҐаў*« ®¦Ё¤**Ёп ¤«п §*Їа®б*.

Выделил жирным для наглядности. Тут явно видно что ISA не пускает внутреннюю сеть в сеть филиала2.

Jekael · Отправлено: **10:59, 03-03-2011** | #6

Есть у кого идеи в чем может быть проблема?