Клиент VPN работает, но только из определенных мест (ISA/TMG)

Question

Клиент VPN работает, но только из определенных мест (ISA/TMG)

Я сделал что-то очень простое. Или так я думал...

Я настроил доступ VPN-клиента в TMG (или ISA, они довольно похожи). Я создал группу под названием VPN в AD, добавил, что в качестве разрешенных пользователей VPN в TMG, настроил область IP для VPN-клиентов (192.168.6.0-192.168.6.255) и добавил сетевые правила маршрутизации между VPN-клиентами и внутренней сетью на TMG (192.168..5.0-192.168.5.255). Я также добавил правило "Разрешить все" между VPN-клиентами и внутренней сетью в политиках брандмауэра.

К моей проблеме: я подключился к этой сети с клиента под управлением Windows 7, используя PPTP-соединение (которое также установлено в TMG). Я могу войти в систему без ошибок, но когда я пытаюсь связаться с любым сервером во внутренней сети, я не получаю ответ. Поэтому, естественно, я сделал много устранения неполадок (в логах TMG ничего не отображалось, нигде не было отказано в доступе) без успеха..

Позже я попытался подключить VPN с помощью своего мобильного телефона и использовал RDP-клиент на своем телефоне для связи с сервером во внутренней сети. Это сработало!

Я попробовал другую рабочую станцию Windows 7 в другом физическом месте, и с помощью этого я даже не мог войти в VPN.

Еще одна рабочая станция в другом физическом месте, и я могу войти и получить доступ к внутренней сети.

Что может быть причиной этих расхождений? Почему это работает из одних мест, но не из других, и с разными ошибками?

Заранее спасибо!

1

vpn pptp isa-server microsoft-ftmg

Источник

jos 21 окт '10 в 11:39

1 ответ

Другие вопросы по тегам vpn pptp isa-server microsoft-ftmg

Evan Anderson 21 окт '10 в 21:23 2010-10-21 21:23 · Answer 1 · 2010-10-21 21:23

У вас могут быть несколько проблем здесь. Один из них, вероятно, связан с фактическим попаданием трафика GRE на VPN-сервер, а другой, вероятно, является проблемой IP-маршрутизации.

Проблемы с PPTP обычно возникают из-за того, что устройства NAT или брандмауэры обрабатывают пакеты GRE, которые содержат инкапсулированный трафик PPP.

Обычно я снимаю трафик с VPN-сервера и клиента, когда устраняю проблемы с PPTP. Таким образом я могу наблюдать, что трафик GRE действительно проходит между клиентом и сервером. Ваша проблема с машиной, которая "не может даже войти в VPN", вероятно, связана с переадресацией GRE или NAT пакетов GRE.

Проблема с "подключенным" клиентом, который не может получить доступ к сетевым ресурсам, обычно является проблемой маршрутизации. Посмотрите таблицу маршрутизации "подключенного" клиента и посмотрите, как будут маршрутизироваться пакеты, привязанные к удаленной локальной сети. Обычно это не проблема, если опция "Использовать шлюз по умолчанию в удаленной сети" по умолчанию включена в клиентских "Расширенных" свойствах TCP/IP, но если вы ее отключили, вам может понадобиться явно добавить маршрут после клиент подключается для маршрутизации трафика в удаленную локальную сеть вместо Интернета. (Версии Windows до Windows 7 добавляют "классный" маршрут к удаленной сети, когда опция "Использовать шлюз по умолчанию в удаленной сети" снята. Windows 7 - это первая версия Windows, которая также позволяет вам отключить это поведение.)