Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4) - [76] :: В помощь системному администратору

Windows 2003, ISA 2006 Site-To-Site VPN Static IP Pool Problem L2TP PSK

Товарищи, вполне возможно что уже ктони-будь сталкивался, есть два сайта, голова и типа филиал, между ними isa site-to-site vpn со cтатическим выделением ипишников для vpn подключений, в голове внутр. сеть 192.168.0.0/24, vpn ip pool 10.0.0.1-10.0.0.254, в филиале внутр. сеть 192.168.1.0/24, vpn ip pool 10.1.1.1-10.1.1.254, собственно вот что глаз мозолит: в закладке Alerts в обоих isa постоянно выскакивают предупреждения типа:

Description: ISA Server detected routes through the network adapter hq that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 10.0.0.2-10.0.0.2,10.1.1.3-10.1.1.3;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.

Жалуется на те самые статические ипишники и пинги при этом не ходят (в логах пишет Connection denied), с DHCP нормально работает без Alert-ов и пинги ходят и ваще всё в ажуре, но хочется статику.
Шиндер по этому поводу писАл:

If you use a static address pool, you might want to consider using off-subnet IP addresses. There is no problem with this, but you must make your routing infrastructure aware that in order to reach the network ID used for the VPN clients network that they must forward those connections to the ISA firewall interface from which the connection was received. In a simple dual NIC configuration, this would be the Internal interface.

Если вы используете статические адреса, подумайте об использовании IP-адресов другой подсети. С этим проблем не будет, только инфраструктура маршрутизации должна знать, что для перехода к сети VPN-клиентов нужно переадресовывать соединения на тот интерфейс ISA-сервера, с которого они были получены. В обычной схеме с двумя сетевыми картами это будет внутренний интерфейс.

только что это значит мине не ясно, кто шарит подскажите, а то в резюме написано что isa знаю, а на деле...

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146