skimitar
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Добрый день. Имеется сеть. + филиалы Филиалы с головным офисом связаны по S-T-S Через L2tp/ipsec В основном офисе В роли VPN сервера сидит ISA2006 На филиалах TMG 2010. Все IP Статические. Как в головном офисе так и в филиалах. ДНС работает нормально все резольвится. пинги до филиалов нормальные. VPN Сервер Головного офиса смотрит Бриджем сразу в Инет. Филиальные VPN сервера смотрят в инет по Нату. Они опубликованы на ADSL модемах на 1701 порт. по схеме Internet>-->ADSL>--(192.168.1.2:1701TCP)-->TMG2010 (Также по этой схеме Без проблем работают другие сервисы по RDP, HTTPS, SSH и другие.) (По идее 1701 порта хватать должно и Трафик по IPSEC маршрутить ненадо) Проблема в том что VPN соединение не всегда подключается автоматом. Зависает, в RAS-е в статусе бранч висит на "подключение" приходится отключать ,заново нажимать подключить и тогда Бранчи соединяются, но опять же не всегда, пишет "901 Интерфейс уже подключен."(Хотя на противоположной стороне бранч имеет статус "Подключение"), либо идет подключение бесконечное количество секунд. Бывает схватывает бранчи моментом. Бывает Автоматом. И еще с Головного офиса где висят все бранчи невозможно соединится с Бранчем филиала . Только если соединяться из филиала к Основному офису. При этом логи чистые. Как на Основном VPN сервере так и на филиалах. ************************* Основной офис Win2003 ISA2006 SP2 x86 ************************* Филиалы Win2008R2 TMG2010 X64 ************************* Дополнительно каждый бранч висит в своей подсети с собственным сайтом прописанным в АД, На каждом филиале Есть собсвенный DC обслуживающий сайт. *********************** *********************** Схема такая Головной офис Default Site 192.168.1.0/24 HeadBranch Филиал1 FilialSite1 172.24.10.0/24 FilialBranch1 Филиал2 FilialSite2 172.24.11.0/24 FilialBranch2 .................. .................. Филиал22 FilialSite22 172.24.22.0/24 FilialBranch22 И так далее. С маршрутизацией все нормально. При соединенных бранчах пинги из подсети в подсети ходят нормально. )()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()(() ********/////NAT на Модемах Филиалов\\\\\\\************************************************************************* Rule Application Protocol Start Port End Port Local IP Address 1 L2TP ALL 1701 1701 192.118.159.32 IP для IFACE Internal TMG 2 RDP TCP 3389 3389 192.118.159.32 IP для IFACE Internal TMG 3 ESXi TCP 443 443 192.118.159.132 4 ESXi TCP 902 903 192.118.159.132 )()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()()(() ******************************************************************************************************************** Раньше на 2003R2 ISA2004SP2 все Крутилось без проблем. Уже все перелопатил , решения проблемы не нашол.... Вариант все юзать опять на 2004 отпадает. Выплывает 2 вопроса..... Почему маты на 901 Эрорр О подключенном интерфейсе (Хотя 2-й интерфейс в статусе "Подключение") ??? Почему основной офис не может создать туннель в филиал, а филиал в основной офис без проблем(Подозрения на NAT ADSL модемов на филиалах).??? |