Здравствуйте Коллеги!
Столкнулся с очередной проблемой :))
Решили отправить в дочернее предприятие циску и соединить это всё по vpn site-to-site ipsec. В главном офисе TMG. Циску без труда настроил и на TMG начальные настройки произвёл. И всё вроде бы хорошо, и к папкам с дисками доступ есть, и почта на ура работает, даже 1С ключи корпоративные видит, принтеры как родные прописываются. Но начальство хочет чтоб в дочке инет получали через главный офис, и чтоб сетевое окружение там работало. TMG не пускает на себя по RDP, не пингуется из другой подсети, и естественно интернет не перебросить. В правилах прописано что удалённая сеть имеет право доступа через TMG в инет, пинги и rdp на сам сервер разрешён. В какую сторону копать, уже не знаю. Есть правда один симптом, когда на TMG в нетворк ролях соединение центр оффис + дочка переключаешь в режим NAT, на некоторое время виден альтернативный TMG2.

TMG не пускает на себя по RDP, не пингуется из другой подсети, и естественно интернет не перебросить. »
"согласование безопасности IP"? =)
тогда
http://social.technet.microsoft.com/Forums/ru-RU/isaru/thread/c10494f6-ae4c-47c5-b5ce-586a0d51dc2d

cameron,
проверил, проблема явно не в этом....
все адреса указаны....

проверил, проблема явно не в этом.... »
покажите Summary с STS TMG.

cameron,
Summary of local
Local Tunnel Endpoint: 194.52.94.133
Remote Tunnel Endpoint: 194.52.94.130

To allow HTTP proxy or NAT traffic to the remote site,
the remote site configuration must contain the local
site tunnel end-point IP address.

IKE Phase I Parameters:
Mode: Main mode
Encryption: 3DES
Integrity: MD5
Diffie-Hellman group: Group 2 (1024 bit)
Authentication Method: Pre-shared secret (Key.....)
Security Association Lifetime: 86400 seconds


IKE Phase II Parameters:
Mode: ESP tunnel mode
Encryption: 3DES
Integrity: MD5
Perfect Forward Secrecy: ON
Diffie-Hellman group: Group 2 (1024 bit)
Time Rekeying: ON
Security Association Lifetime: 86400 seconds

Kbyte Rekeying: ON
Rekey After Sending: 4608000 Kbytes

Remote Network 'Remote_Office' IP Subnets:
Subnet: 192168.6.0/255.255.255.0

Local Network 'Internal' IP Subnets:
Subnet: 192.168.0.0/255.255.252.0

Local Network 'Perimeter' IP Subnets:
Subnet: 192.168.10.1/255.255.255.255
Subnet: 192.168.10.10/255.255.255.255
Subnet: 192.168.10.2/255.255.255.254
Subnet: 192.168.10.8/255.255.255.254
Subnet: 192.168.10.4/255.255.255.252

Routable Local IP Addresses:
Subnet: 192.168.0.0/255.255.252.0


Required site-to-site :

Local Tunnel Endpoint: 194.52.94.130
Remote Tunnel Endpoint: 194.52.94.133

IKE Phase I Parameters:
Mode: Main mode
Encryption: 3DES
Integrity: MD5
Diffie-Hellman group: Group 2 (1024 bit)
Authentication Method: Pre-shared secret (Key......)
Security Association Lifetime: 86400 seconds


IKE Phase II Parameters:
Mode: ESP tunnel mode
Encryption: 3DES
Integrity: MD5
Perfect Forward Secrecy: ON
Diffie-Hellman group: Group 2 (1024 bit)
Time Rekeying: ON
Security Association Lifetime: 86400 seconds

Kbyte Rekeying: ON
Rekey After Sending: 4608000 Kbytes

Site-to-Site Network IP Subnets:
Subnet: 192.168.0.0/255.255.252.0

проверил, проблема явно не в этом....
все адреса указаны.... »Local Tunnel Endpoint: 194.52.94.133
Remote Tunnel Endpoint: 194.52.94.130 »

Solution: Ensure that you add the VPN tunnel endpoint address when you define the remote VPN site on each side of the IPsec tunnel. For example, if the ISA Server computer is Server A, and a third-party VPN server is Server B, when you define the VPN network of Server A on Server B, include the address of the Server A VPN endpoint.

cameron,
Может я чего недопонимаю..... вот две сетки 1.(ценр) 194.52.94.133 WAN : 192.168.0.0 LAN 2.(удалённый) 194.52.94.130 WAN : 192.168.6.0 LAN.
Завязка vpn идёт по внешним ip. И что не так.....

включите в Remote Site address внешний IP ISA/cisco соотно.

cameron,
добавлял, эффект тот же

TMG Standart - если это поможет

в FW rules у вас есть разрешения на пингование ISA из Remote Site?

cameron,
проверил, да есть......
from (remote site) :internal - to local host