MS ISA Server (часть 1) - [45] :: В помощь системному администратору

UNKNOWING

Цитата:

Есть такое понятие НАТ, так вот оно используется не только для раздачи интернета:

Кстати, никак не могу заставить работать L2TP если ISA стоит за линуксом, - клиент отваливается по таймауту, типа что сервер не отвечает

Хотя по PPTP - все прекрасно работает.
Если-же серврер с ISA-й подключаю напрямую к модему - все типы тунелей работают нормально.
Вот так правила завел на линуксе :
# VPN-P
$IPTABLES -t nat -A PREROUTING -p TCP -i $INET_IFACE -d $INET_IP --dport 50 \
-j DNAT --source 0/0 --to-destination 192.168.2.5:50
$IPTABLES -t nat -A PREROUTING -p UDP -i $INET_IFACE -d $INET_IP --dport 500 \
-j DNAT --source 0/0 --to-destination $ISA_IP:500
$IPTABLES -t nat -A PREROUTING -p UDP -i $INET_IFACE -d $INET_IP --dport 1701 \
-j DNAT --source 0/0 --to-destination $ISA_IP:1701
$IPTABLES -t nat -A PREROUTING -p TCP -i $INET_IFACE -d $INET_IP --dport 1701 \
-j DNAT --source 0/0 --to-destination $ISA_IP:1701
$IPTABLES -t nat -A PREROUTING -p TCP -i $INET_IFACE -d $INET_IP --dport 1723 \
-j DNAT --source 0/0 --to-destination $ISA_IP:1723
$IPTABLES -t nat -A PREROUTING -p TCP -i $INET_IFACE -d $INET_IP --dport 1745 \
-j DNAT --source 0/0 --to-destination $ISA_IP:1745
$IPTABLES -t nat -A PREROUTING -p UDP -i $INET_IFACE -d $INET_IP --dport 4500 \
-j DNAT --source 0/0 --to-destination $ISA_IP:4500

# 47 -for pptp, 50 - l2tp
$IPTABLES -t nat -A PREROUTING -p 47 -i $INET_IFACE -d $INET_IP \
-j DNAT --source 0/0 --to-destination $ISA_IP
$IPTABLES -t nat -A PREROUTING -p 50 -i $INET_IFACE -d $INET_IP \
-j DNAT --source 0/0 --to-destination $ISA_IP

Что я забыл еще добавить ?

Добавлено
Уф-ф-ф ... я почти уже отчаялся, но решение было найдено !!! :

L2TP IPSec NAT Traversal Problems After You Install Windows XP SP2
One of the changes with the increased security in Windows XP SP2 is Microsoft have disabled the NAT-T functionality that allows L2TP to work across NAT as default. For a description of this NAT Traversal enhancement Microsoft made availble to Windows 2000/XP that is now disabled as default, see Q818043. To renable the NAT-T fuctionality you need to edit a registry key:-

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSec\AssumeUDPEncapsulationContextOnSendRule

This REG_DWORD will have the default value of "0" that disables the NAT-T fuctionality. A value of "1" will only enable a Client with a public (i.e.non-NAT’d) address to connect to a NAT’d server. The value of "2" enables both public and NAT’d clients to connect to a NAT’d server. The value of "2" is equal to the pre-SP2 behaviour

Поставил 2-ку и, о чудо, - все сразу заработало !!

----------
Да помогут Вам те боги, в которых Вы верите

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
articlebot (23-03-2016 15:24): http://forum.ru-board.com/topic.cgi?forum=8&topic=27989#1	Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105