Проблему доступа до VPN сервера решил, доступ теперь есть, аутентификацию в домене проходит, но теперь не вижу внутреннею сеть. Я могу ее пинговать, делать трассировку, могу выходить в Интерет. Правило доступа для VPN клиентов до внутренней сети есть. Как я понимаю проблема с правилами Network Rules или с таблицами маршрутизации.

Клиенты получают адреса, шлюз, DNS через DHCP. В DHCP я вижу зарегистрированые 10 адресов для VPN клиентов, как часть внутренней сети (192.168.1.161-192.168.1.170).

Networks Rules


По пункту три пробовал и ROUTE, в этом случае в логе ISA есть сообщения

VPN Client ADR, DestAdr, Denied Connection, правила нет, Local Host to Internal

При NAT тоже самое только VPN Server to DC (PDC), записей по клиенту нет.

В системно логе после перезапуска есть запись - For routing table for the network adapter Internal includess IP address ranges that not defined in the allay level network VPN Clients, to which it is bound. As a result, packet arriving at this network adapter from the IP addreses ranges listed below or sent to these IP address ranges via thes network adapter will be dropped as spoofed// To resolve this issue, add the missinf IP adress ranges to the array network. Приведен адрес клиента. Но в настройках VPN Clients нельзя указать диапазон адресов или вообще что-то.

В свое время из Configuration Network были удалены все записи относящися к VPN и теперь я пробую их восстанавливать по памяти, а посмотреть настройки негде. Может надо еще что то в Networks Sets?

Networks Sets


Route print


Остальные записи относятся к Extertnal, Internal, DMZ

Mожет кто ни будь поможет, хотя бы приведя записи из Neworks, Networks Sets, Networks Rules

Информацию искал на ISASERVER.RU, и на англо язычном форуме (неудобный и очень много), в фирменной документации - по этой части не нашел, полезной была информация от Микрософта по конфигурации и от Шиндера, но не достаточная, да и устаревшая в основном по 2000 и немного по 2004.

Забыл указать Windows server 2003 R2 SE + ISA Server 2005 SE

А насчет ipconfig + route это не в тему, это все работает, я же хочу видеть на клиентской машине сетевое окружение с ресурсами. Я даже могу подключиться к ресурсу по схеме \\machine.domain.local\Share, но это не совсем то. Проблема не клиентской машины а сервера и связана с сетью VPN Clients. Мне бы увидеть родные записи из оригинальное Configuration\Network поскольку у меня они стерты.

aleks2надо

VPN to Internal ROUTE VPN Clients Internal
Internal to VPN ROUTE Internal VPN Clients

и, возможно, надо

VPN to LocalHost ROUTE VPN Clients LocalHost
LocalHost to VPN ROUTE LocalHost VPN Clients


NAT там не годится.

Кроме того запись из лога следовало бы привести ПОЛНОСТЬЮ.
Добавил запись
А вот насчет "возможно" то как раз не возможно, правила запрещают использовать LocalHost
Проверить сейчас не могу, поскольку я сижу за Линуксом (старым) а он GRE не поддерживает, требуется подключать Интернет напрямую к рабочей станции, а это сделать пока не могу, нельзя отключать клиентов, но сделаю при первой возможности.

В системном логе после перезапуска есть запись
авторFor routing table for the network adapter Internal includess IP address ranges that not defined in the allay level network VPN Clients, to which it is bound. As a result, packet arriving at this network adapter from the IP addreses ranges listed below or sent to these IP address ranges via thes network adapter will be dropped as spoofed. To resolve this issue, add the missinf IP adress ranges to the array network.
Приведен адрес клиента. Но в настройках VPN Clients нельзя указать диапазон адресов или вообще что-то. Сообщение касается когда ROUTE (тоже если назначаю отдельную статическую сеть).

В логе ISA
авторVPN Client ADR, DestAdr, Denied Connection, правила нет, Local Host to Internal

До установки ROUTE и второго правила, приблизительно с частотой 10 минут следующая запись
авторVPN Server, DC, Denied Connection, правила нет, Local Host to Internal

Проверил по последней рекомендации.

В системном логе нет ошибок. Есть одно инфорамционное сообщение от IAS с кодом 5050 без текста. Видимо что подключился клиент.

В логе ISA старое сообщение, что VNC Server не может подключиться к DC (PDC) по нетбиос, порт 137. До правил дело не доходит. Соответственно в сетевом окружение сети нет, поскольку не получить список от PDC.

Точно также могу подключиться по DNS имени к Интранет сервере и к файл серверу.

VPN to Internal & Internal to VPN использован ROUTE

Так что нужны еще идеи.

Я писал не видна внутреннея сеть - в сетевом окружение, по ДНС я могу работать, но без сетевого окружения. По ДНС имени я могу обратиться, но пользователям это очень не удобно.

1В логе ISA старое сообщение, что VNC Server не может подключиться к DC (PDC) по нетбиос, порт 137.
2Точно также могу подключиться по DNS имени к Интранет сервере и к файл серверу.

Думаешь это не решаемая проблема?
А как тогда быть с сообщением в ISA
Я так понимаю проблема здесь, DC не хочет принимать подключения по NetBios c этого адреса. Таких сообщений по 7 штук, примерно каждые 10-15 минут. Я думаю как только это подключение получится, так сразу появится и сеть в сетевом окружение.

Примечание 1: компьютер с которого подключаюсь не является членом домена. А пользователь доменный и проходит проверку в АД. У меня пока нет возможности проверить это на других компьютерах. Да и на моем проверка тоже затруднительна, поскольку надо отключать сеть и подключаться к провайдеру напрямую, минуя сервер. У меня старый Линукс без поддержки GRE.

Примечание 2: если проблему не удастся решить нормально, то обеспечу доступ пользователей к их папкам через ярлыки, это работает, но это не полноценное решение.
Мне даже проконсультироваться на месте не с кем, из тех с кем знаком никто не использует VPN для доступа к корпоративной среде. Так что не знаю возможно это или нет.

Примечание 3: Я включил в ISA фильтр по 137 порту и вижу пока подключение с DC к компьютеру в DMZ (через NAT). Пока еще нет записей в другом направление.

aleks2Ни разу мне не удавалось обеспечить обзор локальной сети для клиента по VPN подключению. Даже в отсутствие всех и всяческих ISA на голом RRAS-сервере это не канает.

Чтение KB - не помогло.


Что касается
Мне немного трудновато понимать этот формат лога - я хорошо знаком только с ISA 2000 и начал работать с ISA 2006 EE. Но если правила нет - его можно создать. Правда тебе все одно не полегчает...
Прокоментирую
Правила не помогут, до правил дело не доходит - они начинают действовать если есть соединение, а в данном случае DC отказывает в соединение.

А вот насчет возможности увидеть сетевое окружение пока никто не смог сказать - возможно это или нет, но есть намеки в TechNet, где сказано, что если сетевое окружение не видно, то использовать доступ в форме \\{IP}\Share, но это у меня и так работает в более расширенной форме \\{machine.domain.local}\Share

Так что я возможно ломюсь не в ту дверь, возможно, что это просто не возможно, хотя на этот вопрос я не нашел никакой информации в TechNet\MSDN\KB - я пока просто испытываю все возможности. И после последней перезагрузки сервера я пока не вижу ошибок в логе ISA по поводу VNC Server, но я также пока не вижу никаких других попыток соединения по NETBIOS к DC
К моему сожалению мне тяжело экспериментировать, мой домашний сервер на основе SBS 2003 будет только в следующем году, а экспериментировать с GRE на Линуксе я не хочу.

Ладно, если ничего даже и не получится, то путь предоставления доступа клиентов к их папкам у меня уже есть, пусть и не такой удобный.

Очень просто VPN Server это ISA Server, все VPN принадлежат ему, именно он инициирует соединение к DC. Также как и соединения к DMZ и к другим сетям. Тебя же не смущает, что он точно такое же делает и для рабочих станций при соединение с узлом в Интернет и точно также будет подобная запись в логе WS_IP External_IP Denied, а не один из адресов ISA Server.

Сегодня после перезагрузки ситуация такая, до подключения VPN клиента никаких ошибок в логе, а после подключения каждые 12 минут сообще в логе, что VPN Server не может подключиться к DC через Netbios, порт 137 - от трех до шести сообщений подряд и это идет уже много часов подряд. Отключения клиента не приводит к отключению VPN сервера, он все равно пытает достучаться до DC.

Других попыток от других участников подключения к DC не наблюдаются, только успешные попытки подключения DC к Local Host и к DMZ серверам. В системных логах на DC и ISA сообщений об ошибках нет.

В DHCP даже явно указан, что диапазон VPN адресов относится к файрволу.

aleks2Ну а с какого хрена DC отказывать в соединении? Ему то какая печаль?

Я, правда, никогда не задумывался как выглядит запись в журнале ISA, когда DestinationIP отказывает или не принимает подключение... как-то это меня никогда не беспокоило.

Да и поле Action журнала ISA - это, вроде, Действие самой ISA? Т.е. отказ ISA? А отказы DestinationIP отображаются в виде ErrorCode?
Кто его знает почему отказывает, я просмотрел Network Monitor'ом на DC и ничего плохого не вижу.
Запись выглядит так

Примерно так, правило начинают действовать только после выполнения пункта три
DestinationIP отображается нормально. Я привел точный формат сообщения, кроме реальных адресов, поскольку они будут только запутывать.

Задача такая, или заставить работать, или как то запретить соединение, поскольку лог сильно забивается сообщениями об ошибке. Сегодня ночью я попробовал со статически выделеными адресами, выделил отдельную сеть 192.168.2.0 результат такой же. У меня еще есть ошибки в логе такого же рода, поскольку моя рабочая станция находится в VLAN с удаленой сетью и у них общий broadcast адрес, тут ничего не могу поделать, broadcast сообщения моей машины поступают на вход ISA, а ISA не разрешает посылать broadcast внешним адресам, срабатывает Default правило - но это нормально и от этого не уйти, но это только для моего домашнего соединения. MyWS -> broadcast

Включил в лог дополнительные колонки, колонка Result Code показывает 0xc0040030 FWX_E_OUTBOUND_PATH_THROUGH_DROPPED

Сейчас штудирую Интернет на предмет ошибки, уже нашел некоторое количество сообщений по нет. В MSDN это
MSDN A packet generated on the local host was rejected because its source IP address is assigned to one network adapter and its destination IP address is reachable through another network adapter.
Пока еще решений не нашел

Я думаю предыдущее сообщение точно характеризует проблему, только пока это мало что дает, поиск по коду ошибки результата не дал, хотя сообщений много, одно из первых аналогично моей проблеме, но ответа нет. Поиск в MSDN пока тоже безрезультатен, общие слова.

Не работают только Нетбиос протоколы, все остальные понры нормально

Green2
какой
ipconfig /all
и route print
у клиента VPN ? Там указан правильный DNS?

Начну с конца

DNS
правильный иначе как бы это вообще работало, я получаю любой адрес локальной сети, могу заходить на них. Адрес выдает DHCP с DC1

route print
Я приводил в первом сообщение, маршрут на VPN сервер есть и он же является маршрутом по умолчанию, в качестве шлюза полученый клиентом адрес. Потверждается подключением к любым ресурсам и трассировкой, что маршрут прогладывается имено через VPN тунель.

ipconfig /all
Аналогично требует подключения к серверу, которое я могу делать только в ночное время.
Но появляются два интерфейса, подключение к серверу и после установки тунеля еще одно, характеристики правильные, включая шлюз, DNS. Я подключаюсь напрямую к ISA серверу, минуя какие либо прокси или маршрутизаторы, устанавливаю на локальном соединение адрес ISA сервера, нахожусь в одной и той же VLAN.

Все это никак не влияет на ошибку в логах ISA, поскольку ошибка начинается с момента подключения клиента, до этого он спит. После отключения клиента VPN сервер так и продолжает долбиться на DC2 (PDC) на порт 137 и это будет до бесконечности. Кроме NETBIOS портов, все остальные работают правильно, теже AD, LDAP, DNS и так далее, как с клиента, так и с сервера.
Вся проблема связана с указаной ошибкой - 0xc0040030 FWX_E_OUTBOUND_PATH_THROUGH_DROPPED

MSDN A packet generated on the local host was rejected because its source IP address is assigned to one network adapter and its destination IP address is reachable through another network adapter.
Я так понимаю перевод
Source IP назначен одному "адаптеру" VPN Server, а IP приемник доступен через другой адаптер, видимо LAN Adapter.
Route Print
Первая строчка шлюз по умолчанию
вторая маршрут для локальной сети
третья маршрут на VPN Server

VPN сеть логическия является отдельной сетью, хоть и находится в диапазоне локальной сети, имеет виртуальный адаптер. Пробовал выводить и в отдельную сеть 192.168.2.0 - но это ничего не меняет, ни на грамм.

Я могу контролировать и управлять серверами с любого компьютера, через RMM модуль, а скорость сети у меня приличная, я не могу только отключаться от сети провайдера для прямого подключения к ISA серверу, а без этого у меня не строится тунель.

Обратил внимание, что ClientIP = VNC Server, а Source Network = Local Host