Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:
 | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » ISA Server / Microsoft Forefront TMG » Vpn Site-to-Site ipsec между cisco 2800 and TMG 2010

Ответить
Настройки темы
Vpn Site-to-Site ipsec между cisco 2800 and TMG 2010

Аватара для Gudy

Пользователь


Сообщения: 98
Благодарности: 3

Профиль | Сайт | Отправить PM | Цитировать

Изменения
Автор: Gudy
Дата: 28-08-2012
Всем привет!
Я пытаюсь настроить ipsec site-to-site vpn между TMG 2010 и Cisco 2800 series.
И у меня не выходит ничего. Я нарыл в интернете кучу мануалов, сделал по ним, потом переделал, а оно НЕ работает. Отчаяние!
Ниже в посте куски конфиги из Циско и ТМГ. В логах windows – ничего.
Буду очень благодарен за любой совет!!


TMG site-to-site summary
Код: Выделить весь код
Local Tunnel Endpoint: 39.59.89.91
Remote Tunnel Endpoint: 78.71.74.8
To allow HTTP proxy or NAT traffic to the remote site, 
the remote site configuration must contain the local 
site tunnel end-point IP address.

IKE Phase I Parameters:
    Mode: Main mode
    Encryption: 3DES
    Integrity: SHA1
    Diffie-Hellman group: Group 2 (1024 bit)
    Authentication Method: Pre-shared secret (Remotekeyagent)
    Security Association Lifetime: 28800 seconds


IKE Phase II Parameters:
    Mode: ESP tunnel mode
    Encryption: 3DES
    Integrity: SHA1
    Perfect Forward Secrecy: ON
    Diffie-Hellman group: Group 2 (1024 bit)
    Time Rekeying: ON
    Security Association Lifetime: 3600 seconds

    Kbyte Rekeying: OFF

Remote Network 'contoso' IP Subnets:
    Subnet: 78.71.74.8/255.255.255.255
    Subnet: 192.168.7.0/255.255.255.0

Local Network 'Internal' IP Subnets:
    Subnet: 10.10.99.0/255.255.255.0
    Subnet: 10.11.99.0/255.255.255.0

VPN Static Pool on Server 'Fabrikam_GW' IP Subnets:
    Subnet: 10.10.199.1/255.255.255.255
    Subnet: 10.10.199.150/255.255.255.255
    Subnet: 10.10.199.2/255.255.255.254
    Subnet: 10.10.199.148/255.255.255.254
    Subnet: 10.10.199.4/255.255.255.252
    Subnet: 10.10.199.144/255.255.255.252
    Subnet: 10.10.199.8/255.255.255.248
    Subnet: 10.10.199.16/255.255.255.240
    Subnet: 10.10.199.128/255.255.255.240
    Subnet: 10.10.199.32/255.255.255.224
    Subnet: 10.10.199.64/255.255.255.192

Routable Local IP Addresses:
    Subnet: 10.10.99.0/255.255.255.0
    Subnet: 10.11.99.0/255.255.255.0
Cisco debug log:
Код: Выделить весь код
cisco2800#
Aug 27 11:56:22: IPSEC(key_engine): request timer fired: count = 1,
  (identity) local= 78.71.74.8, remote= 39.59.89.91,
    local_proxy= 78.71.74.8/255.255.255.255/0/0 (type=1),
    remote_proxy= 10.10.99.0/255.255.255.0/0/0 (type=4)
Aug 27 11:56:22: IPSEC(sa_request): ,
  (key eng. msg.) OUTBOUND local= 78.71.74.8, remote= 39.59.89.91,
    local_proxy= 78.71.74.8/255.255.255.255/0/0 (type=1),
    remote_proxy= 10.10.99.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= NONE  (Tunnel),
    lifedur= 3600s and 4608000kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0
Aug 27 11:56:22: ISAKMP: set new node 0 to QM_IDLE
cisco2800#
Aug 27 11:56:22: ISAKMP:(0):SA is still budding. Attached new ipsec request to it. (local 78.71.74.8, remote 39.59.89.91)
Aug 27 11:56:22: ISAKMP: Error while processing SA request: Failed to initialize SA
Aug 27 11:56:22: ISAKMP: Error while processing KMI message 0, error 2.
cisco2800#
Aug 27 11:56:25: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE...
Aug 27 11:56:25: ISAKMP (0:0): incrementing error counter on sa, attempt 5 of 5: retransmit phase 1
Aug 27 11:56:25: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE
Aug 27 11:56:25: ISAKMP:(0): sending packet to 39.59.89.91 my_port 500 peer_port 500 (I) MM_NO_STATE
cisco2800#
Aug 27 11:56:35: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE...
Aug 27 11:56:35: ISAKMP:(0):peer does not do paranoid keepalives.

Aug 27 11:56:35: ISAKMP:(0):deleting SA reason "Death by retransmission P1" state (I) MM_NO_STATE (peer 39.59.89.91)
Aug 27 11:56:35: ISAKMP:(0):deleting SA reason "Death by retransmission P1" state (I) MM_NO_STATE (peer 39.59.89.91)
Aug 27 11:56:35: ISAKMP: Unlocking peer struct 0x4505C97C for isadb_mark_sa_deleted(), count 0
Aug 27 11:56:35: ISAKMP: Deleting peer node by peer_reap for 39.59.89.91: 4505C97C
Aug 27 11:56:35: ISAKMP:(0):deleting node 1402385507 error FALSE reason "IKE deleted"
Aug 27 11:56:35: ISAKMP:(0):deleting node 201550686 error FALSE reason "IKE deleted"
Aug 27 11:56:35: ISAKMP:(0):deleting node 1605433843 error FALSE reason "IKE deleted"
Aug 27 11:56:35: ISAKMP:(0):deleting node -1482853090 error FALSE reason "IKE deleted"
Aug 27 11:56:35: ISAKMP:(0):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
Aug 27 11:56:35: ISAKMP:(0):Old State = IKE_I_MM1  New State = IKE_DEST_SA

Aug 27 11:56:35: IPSEC(key_engine): got a queue event with 1 KMI message(s)
Aug 27 11:56:36: IPSEC(key_engine): request timer fired: count = 1,
  (identity) local= 78.71.74.8, remote= 39.59.89.91,
    local_proxy= 192.168.7.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 10.10.99.0/255.255.255.0/0/0 (type=4)
Aug 27 11:56:36: IPSEC(sa_request): ,
  (key eng. msg.) OUTBOUND local= 78.71.74.8, remote= 39.59.89.91,
    local_proxy= 192.168.7.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 10.10.99.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= NONE  (Tunnel),
    lifedur= 3600s and 4608000kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0
Aug 27 11:56:36: ISAKMP:(0): SA request profile is (NULL)
Aug 27 11:56:36: ISAKMP: Created a peer struct for 39.59.89.91, peer port 500
Aug 27 11:56:36: ISAKMP: New peer created peer = 0x4505C97C peer_handle = 0x8000060D
Aug 27 11:56:36: ISAKMP: Locking peer struct 0x4505C97C, refcount 1 for isakmp_initiator
Aug 27 11:56:36: ISAKMP: local port 500, remote port 500
Aug 27 11:56:36: ISAKMP: set new node 0 to QM_IDLE
Aug 27 11:56:36: ISAKMP: Find a dup sa in the avl tree during calling isadb_insert sa = 45D78850
Aug 27 11:56:36: ISAKMP:(0):Can not start Aggressive mode, trying Main mode.
Aug 27 11:56:36: ISAKMP:(0):found peer pre-shared key matching 39.59.89.91
Aug 27 11:56:36: ISAKMP:(0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM
cisco2800#
Aug 27 11:56:36: ISAKMP:(0):Old State = IKE_READY  New State = IKE_I_MM1

Aug 27 11:56:36: ISAKMP:(0): beginning Main Mode exchange
Aug 27 11:56:36: ISAKMP:(0): sending packet to 39.59.89.91 my_port 500 peer_port 500 (I) MM_NO_STATE
Aug 27 11:56:36: ISAKMP (0:0): received packet from 39.59.89.91 dport 500 sport 500 Global (I) MM_NO_STATE
Aug 27 11:56:36: ISAKMP:(0):Couldn't find node: message_id 604531173
Aug 27 11:56:36: ISAKMP (0:0): Unknown Input IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY:  state = IKE_I_MM1
Aug 27 11:56:36: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
Aug 27 11:56:36: ISAKMP:(0):Old State = IKE_I_MM1  New State = IKE_I_MM1

cisco2800#
Aug 27 11:56:46: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE...
Aug 27 11:56:46: ISAKMP (0:0): incrementing error counter on sa, attempt 1 of 5: retransmit phase 1
Aug 27 11:56:46: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE
Aug 27 11:56:46: ISAKMP:(0): sending packet to 39.59.89.91 my_port 500 peer_port 500 (I) MM_NO_STATE
Aug 27 11:56:46: ISAKMP (0:0): received packet from 39.59.89.91 dport 500 sport 500 Global (I) MM_NO_STATE
Aug 27 11:56:46: ISAKMP:(0):Couldn't find node: message_id 475017874
Aug 27 11:56:46: ISAKMP (0:0): Unknown Input IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY:  state = IKE_I_MM1
Aug 27 11:56:46: ISAKMP:(0):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
Aug 27 11:56:46: ISAKMP:(0):Old State = IKE_I_MM1  New State = IKE_I_MM1

cisco2800#
Aug 27 11:56:46: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed with peer at 39.59.89.91
sh crypto isakmp po
Код: Выделить весь код
 
Global IKE policy
Protection suite of priority 1
        encryption algorithm:   AES - Advanced Encryption Standard (128 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #2 (1024 bit)
        lifetime:               86400 seconds, no volume limit
Protection suite of priority 10
        encryption algorithm:   Three key triple DES
        hash algorithm:         Message Digest 5
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #2 (1024 bit)
        lifetime:               7200 seconds, no volume limit
Protection suite of priority 20
        encryption algorithm:   Three key triple DES
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #2 (1024 bit)
        lifetime:               28800 seconds, no volume limit
Protection suite of priority 21
        encryption algorithm:   Three key triple DES
        hash algorithm:         Secure Hash Standard
        authentication method:  Pre-Shared Key
        Diffie-Hellman group:   #2 (1024 bit)
        lifetime:               3600 seconds, no volume limit
Default protection suite
        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).
        hash algorithm:         Secure Hash Standard
        authentication method:  Rivest-Shamir-Adleman Signature
        Diffie-Hellman group:   #1 (768 bit)
        lifetime:               86400 seconds, no volume limit
sh crypto map int fa0/0 (outside int)
Код: Выделить весь код
Crypto Map "MTDcryptoMap" 10 ipsec-isakmp
        
        Peer = 91.85.63.1
        Extended IP access list mtd_tunnel
            access-list mtd_tunnel permit ip 192.168.7.0 0.0.0.255 192.168.2.0 0.0.0.255
        Current peer: 91.85.63.52
        Security association lifetime: 4608000 kilobytes/3600 seconds
        PFS (Y/N): Y
        DH group:  group2
        Transform sets={
                AES-LZW,
        }

Crypto Map "MTDcryptoMap" 20 ipsec-isakmp
        Peer = 39.59.89.91
        Extended IP access list fabrikam
            access-list itmain permit ip 192.168.7.0 0.0.0.255 10.10.99.0 0.0.0.255
            access-list itmain permit ip 192.168.7.0 0.0.0.255 host 39.59.89.91
            access-list itmain permit ip host 78.71.74.8 10.10.99.0 0.0.0.255
        Current peer: 39.59.89.91
        Security association lifetime: 4608000 kilobytes/3600 seconds
        PFS (Y/N): Y
        DH group:  group2
        Transform sets={
                fabrikam,
        }
        Interfaces using crypto map MTDcryptoMap:
                FastEthernet0/0
Parts of Cisco config
Код: Выделить весь код
crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2
!
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
 lifetime 7200
!
crypto isakmp policy 20
 encr 3des
 authentication pre-share
 group 2
 lifetime 28800
!
crypto isakmp policy 21
 encr 3des
 authentication pre-share
 group 2
 lifetime 3600
crypto isakmp key Remotekeyagent address 39.59.89.91
crypto isakmp invalid-spi-recovery
!
!
crypto ipsec transform-set AES-LZW esp-3des esp-md5-hmac
crypto ipsec transform-set fabrikam esp-3des esp-sha-hmac
no crypto ipsec nat-transparency udp-encaps
!
crypto ipsec profile MTD
 set transform-set AES-LZW
!
crypto ipsec profile itmain
 set transform-set itmain
!
!
crypto map MTDcryptoMap 10 ipsec-isakmp
 set peer 91.85.63.52
 set peer 91.85.63.1	
 set transform-set AES-LZW
 set pfs group2
 match address mtd_tunnel
crypto map MTDcryptoMap 20 ipsec-isakmp
 set peer 39.59.89.91
 set transform-set fabrikam
 set pfs group2
 match address fabrikam
!
ip access-list extended fabrikam
 permit ip 192.168.7.0 0.0.0.255 10.10.99.0 0.0.0.255
 permit ip 192.168.7.0 0.0.0.255 host 39.59.89.91
 permit ip host 78.71.74.8 10.10.99.0 0.0.0.255

BTW
Может можно как-то иначе получить доступ к удалённым сетям? Я уже вспотел изрядно!

-------
Without Mind!
Without Soul!
Without Heart!

Отправлено: 13:41, 27-08-2012

 

Аватара для Telepuzik

Ветеран


Сообщения: 3722
Благодарности: 747

Профиль | Отправить PM | Цитировать

Цитата Gudy:
crypto isakmp policy 21
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600 - уберите
crypto isakmp key fcnfkfdbckf address 194.58.68.1
crypto isakmp key fcnfkfdbckf address 194.58.36.25
crypto isakmp key Remotekeyagent address 93.95.98.104
crypto isakmp key Remotekeyagent address 93.95.98.195
crypto isakmp invalid-spi-recovery »
Цитата Gudy:
crypto map MTDcryptoMap 20 ipsec-isakmp
set peer 39.59.89.91
set security-association lifetime seconds 28800
set transform-set fabrikam
set pfs group2
match address fabrikam »
Цитата Gudy:
permit ip 192.168.7.0 0.0.0.255 host 39.59.89.91
permit ip host 78.711.741.8 10.10.99.0 0.0.0.255 »
Пока уберите. В основных правилах есть запрещающее правило вида:
access-list <номер> deny 192.168.7.0 0.0.0.255 10.10.99.0 0.0.0.255
К интерфейсу crypto map привязали? Настройки сети с TMG скрины покажите.

-------
По'DDoS'ил и бросил :-)

Отправлено: 15:14, 27-08-2012 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для Gudy

Пользователь


Сообщения: 98
Благодарности: 3

Профиль | Сайт | Отправить PM | Цитировать

Туннель, поднялся, но обрисовалась следующая проблема:

MAIL1>>>ISA>>>>>VPN<<<<cisco<<<<MAIL2


Проблемы
1)Если пинговать с Cisco любой адрес из сети за ISA, то пакеты уходят к провайдеру. На лицо проблема с маршрутизацией, но как её в таком случае править? Куда зарулить трафик?
2)С ISA не пингуется Cisco и вся сеть за ней
3)С MAIL2 можно попасть по 25 и 443 портам на MAIL1 используя его внутренний ИП, используя внешний - нет.
4)Совершенно не очевидный момент. С MAIL1 пинг до MAIL 2 проходит. но трафик - нет! MTU?

-------
Without Mind!
Without Soul!
Without Heart!

Отправлено: 01:14, 29-08-2012 | #3


Аватара для Telepuzik

Ветеран


Сообщения: 3722
Благодарности: 747

Профиль | Отправить PM | Цитировать

Цитата Gudy:
1)Если пинговать с Cisco любой адрес из сети за ISA, то пакеты уходят к провайдеру. На лицо проблема с маршрутизацией, но как её в таком случае править? Куда зарулить трафик? »
Для меня данная вещь не является проблеммой т.к. основная задача чтобы трафик ходил из одной подсети в другую, а не возможность пинговать с cisco хосты из другой подсети.
Цитата Gudy:
2)С ISA не пингуется Cisco и вся сеть за ней »
А Вам это нужно?
Цитата Gudy:
3)С MAIL2 можно попасть по 25 и 443 портам на MAIL1 используя его внутренний ИП, используя внешний - нет. »
Странно это должно работать. До установления туннеля проблем с публикацией не было?
Цитата Gudy:
4)Совершенно не очевидный момент. С MAIL1 пинг до MAIL 2 проходит. но трафик - нет! MTU? »
Попробуйте пропинговать пакетами большого размера и посмотрите результат. И правило на ISA было бы неплохо увидеть которое разрешает прохождение трафика между подсетями.

-------
По'DDoS'ил и бросил :-)

Отправлено: 09:28, 29-08-2012 | #4


Аватара для Gudy

Пользователь


Сообщения: 98
Благодарности: 3

Профиль | Сайт | Отправить PM | Цитировать

Изображения
Тип файла: jpg access_rules.jpg
(252.9 Kb, 26 просмотров)
Тип файла: jpg network rules.jpg
(125.7 Kb, 26 просмотров)
Тип файла: jpg remote_net.jpg
(155.8 Kb, 25 просмотров)

1) Для меня важно чтобы трафик от Cisco мог достучаться до парочки хостов за ISA(TMG)
2)Нет, вот это действительно не критичный момент, мне просто ИНТЕРЕСНО почему так происходит и как этого избежать?
3)Да. Работало, из любого другого места работает и сейчас.
4)Пропинговал. Пинги большими пакетами проходят нормально. ping 192.168.7.18 -l 23670 больше уже не проходит.

Тут ещё:
с MAIL1 доступен MAIL2 только по ВНЕШНЕМУ адресу, по внутреннему - нет.

*лицоладонь*

Снизу скрины.
Я попробовал прокинуть порты для удалённой сети отдельно - толку ноль. На скрине это есть.

-------
Without Mind!
Without Soul!
Without Heart!

Отправлено: 16:24, 29-08-2012 | #5


Аватара для Telepuzik

Ветеран


Сообщения: 3722
Благодарности: 747

Профиль | Отправить PM | Цитировать

Цитата Gudy:
3)Да. Работало, из любого другого места работает и сейчас. »
Какие ACL у Вас в конфиге cisco, я думаю что в ней проблема.
Цитата Gudy:
4)Пропинговал. Пинги большими пакетами проходят нормально. ping 192.168.7.18 -l 23670 больше уже не проходит. »
Значит не в MTU дело.

-------
По'DDoS'ил и бросил :-)

Отправлено: 16:39, 29-08-2012 | #6


Аватара для Gudy

Пользователь


Сообщения: 98
Благодарности: 3

Профиль | Сайт | Отправить PM | Цитировать

ACL который НАТ:

читать дальше »
ip access-list extended NAT_ACL
deny ip 192.168.7.0 0.0.0.255 10.10.99.0 0.0.0.255
deny ip host 192.168.7.3 host 172.30.2.42
permit ip host 192.168.7.71 any
permit ip host 192.168.7.13 any
permit ip host 192.168.7.12 any
permit ip host 192.168.7.10 any
permit ip host 192.168.7.9 any
permit ip host 192.168.7.8 any
permit ip host 192.168.7.7 any
permit ip host 192.168.7.5 any
permit ip host 192.168.7.4 any
permit ip host 192.168.7.3 any
permit ip host 192.168.7.2 any
permit ip host 192.168.7.30 any
permit ip host 192.168.7.252 any
permit ip 192.168.10.0 0.0.0.255 any
permit ip host 192.168.7.15 any
permit ip host 192.168.7.18 any
permit ip 192.168.7.0 0.0.0.255 any
deny ip 192.168.6.0 0.0.0.255 192.168.6.0 0.0.0.255
deny ip 192.168.6.0 0.0.0.255 192.168.7.0 0.0.0.255
deny ip 192.168.6.0 0.0.0.255 192.168.8.0 0.0.0.255
permit ip 192.168.6.0 0.0.0.255 any


ACL который отбирает трафик в туннель
Цитата:
ip access-list extended fabrikam
permit ip 192.168.7.0 0.0.0.255 10.10.99.0 0.0.0.255
Вот и все ACL

-------
Without Mind!
Without Soul!
Without Heart!

Отправлено: 16:43, 29-08-2012 | #7


Аватара для Telepuzik

Ветеран


Сообщения: 3722
Благодарности: 747

Профиль | Отправить PM | Цитировать

Цитата Gudy:
3)С MAIL2 можно попасть по 25 и 443 портам на MAIL1 используя его внутренний ИП, используя внешний - нет. »
ОС на серверах MAIL1 и MAIL2 какая? Вывод ipconfig /all с этих серверов покажите. Покажите вывод команды tracert <внешний ip ISA> с сервера MAIL2.

-------
По'DDoS'ил и бросил :-)

Отправлено: 16:57, 29-08-2012 | #8


Аватара для Gudy

Пользователь


Сообщения: 98
Благодарности: 3

Профиль | Сайт | Отправить PM | Цитировать

Пинг от MAIL1 to MAIL2

Код: Выделить весь код
C:\Users\rgudkov>ping 192.168.7.18

Pinging 192.168.7.18 with 32 bytes of data:
Reply from 192.168.7.18: bytes=32 time=5ms TTL=126
Reply from 192.168.7.18: bytes=32 time=4ms TTL=126
Reply from 192.168.7.18: bytes=32 time=4ms TTL=126
Reply from 192.168.7.18: bytes=32 time=4ms TTL=126
tracert

Код: Выделить весь код
C:\Users\gudy>tracert 192.168.7.18


Tracing route to MI-SR-MAIL-003 [192.168.7.18]
over a maximum of 30 hops:

  1    <1 ms     *       <1 ms  Itmain_GW [10.10.99.254]
  2     *        *        *     Request timed out.
  3     *        *        *     Request timed out.
  4     *        *        *     Request timed out.
  5     *        *        *     Request timed out.
  6     *        *        *     Request timed out.
  7     *        *        *     Request timed out.
  8     *        *        *     Request timed out.
  9     *        *        *     Request timed out.
 10     *        *        *     Request timed out.
 11     *        *        *     Request timed out.
 12     5 ms     5 ms     5 ms  MI-SR-MAIL-003 [192.168.7.18]

Trace complete.



от MAIL2 к MAIL1
Код: Выделить весь код
C:\Documents and Settings\Adm1>tracert 10.10.99.4

Tracing route to MAIL [10.10.99.4]
over a maximum of 30 hops:

  1     1 ms     1 ms     1 ms  192.168.7.254
  2     *        *        *     Request timed out.
  3     4 ms     4 ms     3 ms  MAIL [10.10.99.4]

Trace complete.
Telepuzik,
У mail1 шлюз - ЕЬП
У mail2 шлюз - Cisco

Маршрут ОДИН дефолтный: всё через гейт

Трассировка от MAIL2 к MAIL1 идёт через инет и приходит на внешний адрес TMG

-------
Without Mind!
Without Soul!
Without Heart!

Последний раз редактировалось Gudy, 29-08-2012 в 17:07.

Отправлено: 16:57, 29-08-2012 | #9


Аватара для Gudy

Пользователь


Сообщения: 98
Благодарности: 3

Профиль | Сайт | Отправить PM | Цитировать

На текущий момент есть две актуальные проблемы:



1)Из сети за TMG пингуются ВСЕ внутренние адреса, но получить доступ хоть к какому-то сервисунереально (25, 3389, 443,80).

2)С Cisco не пингуются адреса за TMG, а мне хотелось бы чтобы они пинговались.





Из сети за CISCO всё пингуется, всё заходит, как по внутренним адресам, так и по внешним.

Из сети за TMG всё работает только, если обращаться к внешним адресам.

-------
Without Mind!
Without Soul!
Without Heart!

Отправлено: 17:18, 29-08-2012 | #10



Компьютерный форум OSzone.net » Серверные продукты Microsoft » ISA Server / Microsoft Forefront TMG » Vpn Site-to-Site ipsec между cisco 2800 and TMG 2010

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
VPN - Site 2 Site IPSec TMG+DSR250 diga Сетевые технологии 1 15-07-2012 10:39
2008 R2 - VPN Site-to-Site между windows 2008 <- и -> "Cisco" kuvalda Windows Server 2008/2008 R2 0 13-07-2012 15:48
VPN - Установление VPN Site-To-Site между удалёнными площадками. На одном сайте есть ADSL. PIL123 Сетевые технологии 0 05-06-2012 15:25
[решено] Site-To-Site vpn между ISA 2006 и Linux VladDV ISA Server / Microsoft Forefront TMG 26 28-04-2010 09:49
VPN - [решено] site to site IPSec (Windows XP) kimbox Сетевые технологии 3 26-09-2009 22:27


« Предыдущая тема | Следующая тема »


 
Переход