Paper_Knight
15-10-2012, 11:38
Всем доброго времени суток!
Есть две сети, А (192.168.1.0) и Б (192.168.2.0). Между ними поднят VPN на ISA 2006, один домен, в каждой сети свой DC (в А - master), DNS, DHCP. IP-адреса VPN - динамические. Происходит следующее: Устанавливется соединение, VPN-интерфейсы становятся "подключено", но сети не доступны (пинги не ходят). В rras-остнастке смотрю на ИСЕ в сети Б порты и вижу, что IP-адрес выдан из сети А, отключаю, переконнекчивается автоматически и уже IP-адрес из сети Б. И все нормально, сети досупны, пинги пошли. В системных логах при этом периодически появляется событие:
Код:
Источник: Microsoft Firewall
Цитата:
ID: 14147
ISA Server detected routes through the network adapter XXXXX that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 192.168.2.106-192.168.2.106;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.
При разрыве все повторяется снова.
DHCP-диапазон исключен из Internal
При получении IP-адреса из сети А маршрут на эту сеть не добавляется, добавление его вручную не помогает.
По этому поводу вычитал отсюда http://www.isadocs.ru/docs/FW_TrblVPN.php?phrase_id=2724277, что может блокироваться трафик как спуффинг, если нет шлюза по умолчанию. Если даже это так - не нашел, где бы его можно было указать. В таблице маршрутизации дефолтный шлюз - провайдера.
Собственно вопросы: почему сразу не выдается IP из сети Б и как пофиксить?
Смотрю на ISA в сети Б - Маршрутизация, порты, МинипортWAN(PPTP) - IP-192.168.2.108. Вроде бы выдан DHCP, смотрю аренду на DHCP - нет такого, зато есть 192.168.2.100. ipconfig /all - 192.168.2.100 - интерфейс RAS-сервера. В систем полиси в allow replies from DHCP servers to ISA server стоит internal, т.е если я правильно понимаю, ответы от DHCP из сети А, которая в internal не входит, вообще не должны приниматься? Как в таком случае МинипортWAN получает IP -из сети А?
Есть что почитать, где разжевано, какие адреса каким интерфесам для VPN присваиваются?
Прошу помощи в ликвидации и понимании происходящего.
Есть две сети, А (192.168.1.0) и Б (192.168.2.0). Между ними поднят VPN на ISA 2006, один домен, в каждой сети свой DC (в А - master), DNS, DHCP. IP-адреса VPN - динамические. Происходит следующее: Устанавливется соединение, VPN-интерфейсы становятся "подключено", но сети не доступны (пинги не ходят). В rras-остнастке смотрю на ИСЕ в сети Б порты и вижу, что IP-адрес выдан из сети А, отключаю, переконнекчивается автоматически и уже IP-адрес из сети Б. И все нормально, сети досупны, пинги пошли. В системных логах при этом периодически появляется событие:
Код:
Источник: Microsoft Firewall
Цитата:
ID: 14147
ISA Server detected routes through the network adapter XXXXX that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 192.168.2.106-192.168.2.106;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.
При разрыве все повторяется снова.
DHCP-диапазон исключен из Internal
При получении IP-адреса из сети А маршрут на эту сеть не добавляется, добавление его вручную не помогает.
По этому поводу вычитал отсюда http://www.isadocs.ru/docs/FW_TrblVPN.php?phrase_id=2724277, что может блокироваться трафик как спуффинг, если нет шлюза по умолчанию. Если даже это так - не нашел, где бы его можно было указать. В таблице маршрутизации дефолтный шлюз - провайдера.
Собственно вопросы: почему сразу не выдается IP из сети Б и как пофиксить?
Смотрю на ISA в сети Б - Маршрутизация, порты, МинипортWAN(PPTP) - IP-192.168.2.108. Вроде бы выдан DHCP, смотрю аренду на DHCP - нет такого, зато есть 192.168.2.100. ipconfig /all - 192.168.2.100 - интерфейс RAS-сервера. В систем полиси в allow replies from DHCP servers to ISA server стоит internal, т.е если я правильно понимаю, ответы от DHCP из сети А, которая в internal не входит, вообще не должны приниматься? Как в таком случае МинипортWAN получает IP -из сети А?
Есть что почитать, где разжевано, какие адреса каким интерфесам для VPN присваиваются?
Прошу помощи в ликвидации и понимании происходящего.