Проблемы с VPN
Модератор: Модераторы
Сообщений: 35
• Страница 1 из 4 • 1, 2, 3, 4
- pavel_yudin
- Новый участник
- Сообщения: 46
- Зарегистрирован: 11 ноя 2004, 15:35
- Откуда: Москва
pavel_yudin » 31 май 2005, 14:05
Доброго времени суток, уважаемые коллеги!
Нужна ваша помощь или грамотный совет. Возникла проблема при организации VPN-канала. Сразу скажу - литературу, в том числе и руководства на сайте я читал, но видать я для них туповат....
К делу.
Имеем - два домена в разных концах города (Москва).
Домен №1.
1 сервер, 8 рабочих станций. Все станции - W2K плюс ворды, ексели и 1С (я так понимаю, они нам ни к чему).
Сервер - Windows Server 2003, имеет следующие роли: AD, DNS, DHCP, IIS(был нужен для запуска одной администартивной приблуды). Также на сей сервер установлен ISA SERVER 2000 в смешанном режиме (прокся+брандмауэр), на ИСУ в соответсвии с рекомендациями Микрософта установлен СП1 и специальный патчик для обеспечения корректного взаимодействия с 2003-ьим. Домен имеет имя вида local.domen, т. е. нормальной регистрации у него нет и не будет (за ненадобностью). На WAN-карте сервера - прямой IP-адрес от провайдера (т. е. никаких NATов). На ИСе разрешены следующие протоколы - HTTP, HTTPS, POP3, SMTP, FTP Download only (бухгалтеру Консультатнт качать)+специально объявленый порт для банк-клиента. Остальное Deny. Плюс сделаны правила для блокировки порнухи и вирей типа Doom и т. п. Все прекрасно работает, юзвери почту получают, в инет ходят, порнуху и всякую музыку качать не могут, начальство в оргазме.
Домен№2.
Четыре сервера. Все на базе W2K Server SP4.
Сервер №1 - AD, DNS, DHCP.
Сервер №2 - резервный DC, кеширующий DNS, ISA+SP1. Нстройки ИСы аналогичны первому домену.
Сервер №3- Exchange.
Сервер №4 - Terminal в режиме сервера приложений.
Домен имеет "честное" имя вида company.ru. WAN интерфейс ИСы имеет прямой IP-адрес от провайдера.
Между этими двумя сетями решили сделать VPN типа сервер-сервер. Здесь на сайте нашел статью http://www.networkdoc.ru/files/insop/is ... net-1.html и стал действовать по ней. Домен №1 решили сделать принимающим вызов, домен 2 соответсвенно - вызывающим. В домене 1 запустили мастер создания принимающего VPN (как в статье). Все этапы спокойно прошли, запустилась служба RRAS, появились фильтры в ИСе, и итоговый файл настроек в указанной папке. Далее сей файл был доставлен в домен №2 и ту начался цирк - запускаю мастер создания вызывающего VPN на ИСе во втором домене, запускается RRAS, далее мне предлагают указать путь к файлу конфигурации - указываю - электронный болван думает минут десять(!!!) и выдает мне табло со следующим текстом:
" The Wizard cannot create the Virtual Private Network (VPN) connection.
An action to allow dial-in permissions failed"
После нажатия на "OK" на этом табло все "срубается" и никаких фильтров и прочих вещей описанных в статье не происходит - VPN не устанавливается.
HELP!!!!! Хотя бы присоветуйте где копать.....
Заранее спасибо за любую умную мысль.
P.S. Переход на всякие никсы и т. п. не предлагать. Windows only&forewa, корпоративный стандарт, блин....
Нужна ваша помощь или грамотный совет. Возникла проблема при организации VPN-канала. Сразу скажу - литературу, в том числе и руководства на сайте я читал, но видать я для них туповат....
К делу.
Имеем - два домена в разных концах города (Москва).
Домен №1.
1 сервер, 8 рабочих станций. Все станции - W2K плюс ворды, ексели и 1С (я так понимаю, они нам ни к чему).
Сервер - Windows Server 2003, имеет следующие роли: AD, DNS, DHCP, IIS(был нужен для запуска одной администартивной приблуды). Также на сей сервер установлен ISA SERVER 2000 в смешанном режиме (прокся+брандмауэр), на ИСУ в соответсвии с рекомендациями Микрософта установлен СП1 и специальный патчик для обеспечения корректного взаимодействия с 2003-ьим. Домен имеет имя вида local.domen, т. е. нормальной регистрации у него нет и не будет (за ненадобностью). На WAN-карте сервера - прямой IP-адрес от провайдера (т. е. никаких NATов). На ИСе разрешены следующие протоколы - HTTP, HTTPS, POP3, SMTP, FTP Download only (бухгалтеру Консультатнт качать)+специально объявленый порт для банк-клиента. Остальное Deny. Плюс сделаны правила для блокировки порнухи и вирей типа Doom и т. п. Все прекрасно работает, юзвери почту получают, в инет ходят, порнуху и всякую музыку качать не могут, начальство в оргазме.
Домен№2.
Четыре сервера. Все на базе W2K Server SP4.
Сервер №1 - AD, DNS, DHCP.
Сервер №2 - резервный DC, кеширующий DNS, ISA+SP1. Нстройки ИСы аналогичны первому домену.
Сервер №3- Exchange.
Сервер №4 - Terminal в режиме сервера приложений.
Домен имеет "честное" имя вида company.ru. WAN интерфейс ИСы имеет прямой IP-адрес от провайдера.
Между этими двумя сетями решили сделать VPN типа сервер-сервер. Здесь на сайте нашел статью http://www.networkdoc.ru/files/insop/is ... net-1.html и стал действовать по ней. Домен №1 решили сделать принимающим вызов, домен 2 соответсвенно - вызывающим. В домене 1 запустили мастер создания принимающего VPN (как в статье). Все этапы спокойно прошли, запустилась служба RRAS, появились фильтры в ИСе, и итоговый файл настроек в указанной папке. Далее сей файл был доставлен в домен №2 и ту начался цирк - запускаю мастер создания вызывающего VPN на ИСе во втором домене, запускается RRAS, далее мне предлагают указать путь к файлу конфигурации - указываю - электронный болван думает минут десять(!!!) и выдает мне табло со следующим текстом:
" The Wizard cannot create the Virtual Private Network (VPN) connection.
An action to allow dial-in permissions failed"
После нажатия на "OK" на этом табло все "срубается" и никаких фильтров и прочих вещей описанных в статье не происходит - VPN не устанавливается.
HELP!!!!! Хотя бы присоветуйте где копать.....
Заранее спасибо за любую умную мысль.
P.S. Переход на всякие никсы и т. п. не предлагать. Windows only&forewa, корпоративный стандарт, блин....
domovoy » 31 май 2005, 14:22
1. В Event Log при этом какая ошибка есть ? (номер и источник)
2. У учетной записи из под кторой запускаешь визард на втором прав хватает ?
3. Небольшой нюанс в статье пользователь от имени которого устанавливается соединение создавался на самом сервере, то есть сервер с ISA не являлся контролером домена и мог иметь своих локальных пользователей. У тебя, так как оба сервера контролеры, пользователь будет создаваться в AD.
Соответственно раз домены разные то при запуске визарда на втором может и оказаться, что ты не можешь создать пользователя.
Как вариант попробуй создать соединени сам без файла, в принципе там ничего сложного нет.
Запости сюда файл конфигурации для второго сервера, там из визарда когда на первом создаешь соединение его можно выдернуть. (реальные адреса интерфейсов соответсвенно убери)
2. У учетной записи из под кторой запускаешь визард на втором прав хватает ?
3. Небольшой нюанс в статье пользователь от имени которого устанавливается соединение создавался на самом сервере, то есть сервер с ISA не являлся контролером домена и мог иметь своих локальных пользователей. У тебя, так как оба сервера контролеры, пользователь будет создаваться в AD.
Соответственно раз домены разные то при запуске визарда на втором может и оказаться, что ты не можешь создать пользователя.
Как вариант попробуй создать соединени сам без файла, в принципе там ничего сложного нет.
Запости сюда файл конфигурации для второго сервера, там из визарда когда на первом создаешь соединение его можно выдернуть. (реальные адреса интерфейсов соответсвенно убери)
Правильно заданный вопрос - это уже половина ответа.
- pavel_yudin
- Новый участник
- Сообщения: 46
- Зарегистрирован: 11 ноя 2004, 15:35
- Откуда: Москва
pavel_yudin » 31 май 2005, 14:44
1. Ошибок появилось две:
В Application log: Код (ID): 1000
"Не удалось получить доступ к реестру на \\asvk-ooo.ru\sysvol\asvk-ooo.ru\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol (53)."
В System log: Код(ID):5774
"Не удалось выполнить регистрацию DNS-записи '_kpasswd._udp.asvk-ooo.ru. 600 IN SRV 0 100 464 isa.asvk-ooo.ru.' из-за следующей ошибки:
Сделана попытка выполнить операцию на сокете для недоступного хоста. "
2. Во втором домене все делается из под учетной записи администратора домена, насколько я понимаю, прав более чем.
3. По поводу файла конфигурации...Из визарда выдернулось следующее:
"ISA Server Virtual Private Network (VPN) connection identification:
qq_qq will be created on this router.
qq_qq will be written to file.
VPN protocol type:
Use L2TP over IPSec, if available. Otherwise, use PPTP.
Destination address of the remote ISA Server computer:
xxxxxxxxxxxxxx
Dial-out credentials used to connect to remote computer running ISA Server:
User account: qq_qq.
Domain name: ISA.Xxxxx.RU.
Remote Network IP addresses range:
192.xxxx.1 - 192.xxxxx.254.
Remote ISA computer configuration:
IP address of this machine: xxxxxxxxx.
Local Network IP addresses range:
192.xxxx.0 - 192.xxx.255.
The configuration file created for the remote ISA Servercomputer:
D:\soft\isa_vpn\vpn1\qq_qq.vpc
Dial-in credentials created:
The user account qq_qq was created on this computer, with the password set to never expire.
Note:
A strong password was generated for the user account.
Changes made to the password will need to be applied to the dial-on-demand credentials of the remote computer."
Или я не то выдернул??
В Application log: Код (ID): 1000
"Не удалось получить доступ к реестру на \\asvk-ooo.ru\sysvol\asvk-ooo.ru\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine\registry.pol (53)."
В System log: Код(ID):5774
"Не удалось выполнить регистрацию DNS-записи '_kpasswd._udp.asvk-ooo.ru. 600 IN SRV 0 100 464 isa.asvk-ooo.ru.' из-за следующей ошибки:
Сделана попытка выполнить операцию на сокете для недоступного хоста. "
2. Во втором домене все делается из под учетной записи администратора домена, насколько я понимаю, прав более чем.
3. По поводу файла конфигурации...Из визарда выдернулось следующее:
"ISA Server Virtual Private Network (VPN) connection identification:
qq_qq will be created on this router.
qq_qq will be written to file.
VPN protocol type:
Use L2TP over IPSec, if available. Otherwise, use PPTP.
Destination address of the remote ISA Server computer:
xxxxxxxxxxxxxx
Dial-out credentials used to connect to remote computer running ISA Server:
User account: qq_qq.
Domain name: ISA.Xxxxx.RU.
Remote Network IP addresses range:
192.xxxx.1 - 192.xxxxx.254.
Remote ISA computer configuration:
IP address of this machine: xxxxxxxxx.
Local Network IP addresses range:
192.xxxx.0 - 192.xxx.255.
The configuration file created for the remote ISA Servercomputer:
D:\soft\isa_vpn\vpn1\qq_qq.vpc
Dial-in credentials created:
The user account qq_qq was created on this computer, with the password set to never expire.
Note:
A strong password was generated for the user account.
Changes made to the password will need to be applied to the dial-on-demand credentials of the remote computer."
Или я не то выдернул??
Harry33 » 31 май 2005, 14:58
pavel_yudin
Сервер должен присутствовать в группе RAS and IAS servers
Сервер должен присутствовать в группе RAS and IAS servers
Знания, которые нельзя применить - бесполезны
domovoy » 31 май 2005, 15:04
asvk-ooo.ru - это какой из доменов ?
Правильно заданный вопрос - это уже половина ответа.
- pavel_yudin
- Новый участник
- Сообщения: 46
- Зарегистрирован: 11 ноя 2004, 15:35
- Откуда: Москва
pavel_yudin » 31 май 2005, 15:14
| Цитата (Harry33 @ 31.05.2005 - 13:58) | ||
| pavel_yudin
Сервер должен присутствовать в группе RAS and IAS servers [/quote] Присутствует....
pavel_yudin
|