[kim-aa]

Цитата Gudy:

На самом деле это и правда странный интерфейс. Его нету негде, но у него странная маска. »

Блин, нормальная у него маска.
Это же соединение точка-точка.
У всех PPP соединений такая маска.


NVI0 is up, line protocol is up
Hardware is NVI
MTU 1514 bytes, BW 10000000 Kbit, DLY 0 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation UNKNOWN, loopback not set
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 output buffer failures, 0 output buffers swapped out

Судя по всему, это оно.
Настройте инкапсуляцию интерфейса в PPP и присвойте ему IP

Цитата Gudy:

IpSec Summary: Local Tunnel Endpoint: 192.168.0.167 Remote Tunnel Endpoint: 89.*.*.67 (внешний циски) To allow HTTP proxy or NAT traffic to the remote site, the remote site configuration must contain the local site tunnel end-point IP address. »

чего-то ты действительно намудрил.
В прошлом снимке ISA у тебя локальный IP виртуального интерфейса объявлен как
192.168.0.167

------------------------

в ipconfig /all же фигурирует
192.168.0.22

[Gudy]

в ipconfig фигурируют оба.
Однако 0.22 не присвоен не одному физическому адаптеру и алиасом не привязан.

Цитата:

Судя по всему, это оно. Настройте инкапсуляцию интерфейса в PPP и присвойте ему IP

Это не оно
я даже зайти на него не могу.

Код:

gw.polygor.local(config)#interface NVI0
                                                                    ^
% Invalid input detected at '^' marker.

Более того
roter#(config)#interface virtual-ppp 1
roter#(config-if)#ip
roter#(config-if)#ip add
roter#(config-if)#ip address 192.168.0.253 255.255.255.255
Bad mask /32 for address 192.168.0.253

[Gudy]

выяснил 0.22 используется RRAS'ом.

[kim-aa]

Цитата Gudy:

выяснил 0.22 используется RRAS'ом. »

У тебя еще последовательные соединения есть, - коммутируемые? Dial-UP например?
Если нет, то данный интерфейс обслуживает таки твой VPN.

Просто в старых версиях Windows (WinNT, 2000)
RRAS занимался и VPN соединениями.
По крайней мере все PPTP отрабатывал он.
Опять же маршрутизировать тоже он будет, следовательно пока он виртуальный интерфейс не увидит - фиг вам, а не связь.

Цитата Gudy:

в ipconfig фигурируют оба. »

Не вижу "оба". Обоснуйте.

[Gudy]

это вин2к3
интерфейс 0,22 в нём значится как "внутренний".
Соединения ещё есть, сотрудники во вторичном офиси цепляются к этому посредствам ППТП.
Теперь вот что бы изабить их от этого необходимо поднять туннель. Вот такая вот заморочка.

Цитата Gudy:

C:\Documents and Settings\Administrator>ipconfig /all Настройка протокола IP для Windows Имя компьютера . . . . . . . . . : ********** Основной DNS-суффикс . . . . . . : ****.local Тип узла. . . . . . . . . . . . . : неизвестный IP-маршрутизация включена . . . . : да WINS-прокси включен . . . . . . . : да Порядок просмотра суффиксов DNS . : ****.local LAN - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC Физический адрес. . . . . . . . . : 80-0D-67-90-58-FD DHCP включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 192.168.0.167 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : DNS-серверы . . . . . . . . . . . : 192.168.0.1 192.168.0.2 WAN - Ethernet адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC #2 Физический адрес. . . . . . . . . : 00-B0-48-F7-5D-28 DHCP включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 89.xx.xx.66 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз . . . . . . . . . . : 89.xx.xx.1 DNS-серверы . . . . . . . . . . . : 89.xx.xx.254 89.xx.xx.254 NetBIOS через TCP/IP. . . . . . . : отключен Интерфейс RAS-сервера - PPP адаптер: DNS-суффикс этого подключения . . : Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface Физический адрес. . . . . . . . . : 00-53-45-a0-80-20 DHCP включен. . . . . . . . . . . : нет IP-адрес . . . . . . . . . . . . : 192.168.0.22 Маска подсети . . . . . . . . . . : 255.255.255.255 Основной шлюз . . . . . . . . . . : »

[kim-aa]

Gudy,
Все равно не вижу еще одного виртуального интерфейса.

Что я вижу:

LAN - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC
Физический адрес. . . . . . . . . : 80-0D-67-90-58-FD

Это внутренняя сеть
--------------------------------------
WAN - Ethernet адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC #2
Физический адрес. . . . . . . . . : 00-B0-48-F7-5D-28

Это внешняя сеть
--------------------------------------
Интерфейс RAS-сервера - PPP адаптер:
DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-a0-80-20

Это старый виртуальный интерфейс PPTP

-------------------------------------

Иде второй виртуальный, или четвертый по счету интерфейс для вновь созданного VPN канала?

Gudy,

Слушай, а может тебе проще RRAS-ом к Cisco прицепиться?
Какая тебе разница PPTP или IPSec?

Цитата Gudy:

IpSec Summary: Local Tunnel Endpoint: 192.168.0.167 Remote Tunnel Endpoint: 89.*.*.67 (внешний циски) »

мне вот эта настройка в ISA непонятна

Т. е. по идее, должны быть или два внутренних адреса или два внешних.

Такую конфигурацию которая заявлена (на экране) я использовал лишь раз.
Но тогда перед VPN-сервером стоял еще один гейт с NAT, т.е. VPN-шлюз НЕ ОБЛАДАЛ собственным реальным IP и его порты выводились наружу при помощи IP-mappinga.

[Gudy]

Цитата kim-aa:

Gudy, Слушай, а может тебе проще RRAS-ом к Cisco прицепиться? Какая тебе разница PPTP или IPSec? »

Можно и так, но при этом вопрос КАК не пропадает

Цитата kim-aa:

мне вот эта настройка в ISA непонятна »

Это уже поменял.


IpSec Summary:
Local Tunnel Endpoint: 89.*.*.66
Remote Tunnel Endpoint: 89.*.*.67 (внешний циски) »

[kim-aa]

Gudy,

Я не знаю, представляете ли вы функционирование IPSec, и создание тунелей.
Если знаете- извиняйте.
Но я на всякий случай приведу информацию.

1) IPSec не является ни средством VPN, ни создания тунелей.
IPSec является стандартной частью протокола IPv6 прикрученной к IPv4.
Его единственная и основная задача это шифрование трафика хост-хост (IP to IP) или всего подряд
или выборочно какого-либо транспорта (OSI 4), это уж как настроено.
IPSec не управляет (не подменяет) адресными полями в IP пакете, т.е. не обладает ни средствами NAT, ни инкапсуляции.

Первоначальная задача (для чего разрабатывался) - безопасное соединение серверов на 3-м уровне,
.т.е. дабы снять проблему шифрации с верхних служб OSI.
Опять же нет вечного геморроя с кучей сертификатов, ключей и паролей, причем для каждой службы (читай ПО) сертификаты обычно свои.
В сети возможно безопасное использование служб передающих пароли открытым текстом скажем telnet, pop3 (классический).
Шифрация не оказывает заметного влияния на скорость передачи, т. е. в данном случае возможно использование аппаратного акселератора или просто положится на мощность процессора.
При более высокоуровневых решениях криптографии, скорость передачи данных "съедают" и многочисленные пересылки информации с одного уровня OSI на другой, т.е. от одного драйвера к другому.


2) Тунелирование в среде IP.

тунелированием в среде IP занимается протокол "IP over IP" т. е. транспортируется 3й уровень OSI,
в пакетах опять же 3-го уровня OSI (что отличает его скажет от PPTP).

Заведует этим делом протокол
4 IP IP in IP (encapsulation) [RFC2003]
(см http://wiki.oszone.net/index.php/IPv4)

Т. е. выглядит это так:

- На каждой стороне общения создается виртуальный интерфейс, который обладает всеми правами и обязанностями стандартного интерфейса
- Весь трафик "идущий" в тунеле распковывается и запаковывается соответствующими службами, т.е. обычно сетевыс стеком OC.
- Сетевые службы и служба маршрутизации, в том числе, считают что гейт-партнер, связанный тунелем, это соседний (физичиски соединенный) маршрутизатор.
- настраивается маршрутизация на обоих гейтах.

Единственное НО, это то что трафик ничем не шифруется, а просто инкапсулируется, т.е. при наличии соответствующих навыков его легко просмотреть, скажем tcpdump

3) Задача IPSec тупо шифровать весь инкапсулированный трафик от "ворогов"
Или весь протокол 4, или "Виртуальный интерфейс1" <-> "Виртуальный интерфейс 2"

Почему данный вид туннелирования обозвали IPSec - мне лично не ведомо (маркетологи х%евы).

4) Это я описал что позволяет стандарт в полном объеме.
А вот что из этого реализовала MS или как она назвала эти функции в своей документации - я не знаю

5) Предлагаю скачать и прочесть UserGude по cisco.
С вероятностью 99% там есть типовая схема задействованная вами.

[Gudy]

Нашёл вот то:
http://www.microsoft.com/technet/isa.../ipsecvpn.mspx

(не сочтите за рекламу.)
Сейчас читаю, если получится отпишусь о результатах.

[kim-aa]

Цитата Gudy:

(не сочтите за рекламу.) »

Ну это врядли.
Скрытой рекламы Microsoft или Cisco я еще не припомню