Всем привет.
Сразу скажу - поиск юзал, ФАК читал:
http://www.isaserver.org/articles/2004isadlink.html,
viewtopic.php?t=29408&highlight=ISA+2004+DLink+DI-824VUP%2B
Ситуация немножко нетипичная или руки кривые
Имеем - центральный офис с ISA 2004, на сетевой карте реальный IP.
Есть удаленный офис через радиоканал провайдера. Муд...к провайдер дал дебильное подключение через PPPoE - его просили, дай нам статический реальный IP - да, он дал, из диапазона 82.*.*.* - только вот извне этот адрес абсолютно и никак не доступен - при установлении PPPoE соединения клиент получает адрес из совершенно другой сети - 62.*.*.0!!! Да-да, именно IP-адрес завершается нулем, блин.
Т.к. начальство завсегда жмет деньгу, то поставить нормальный комп с ISA 2004 там не удалось, пришлось купить вот эту радость.
Уже месяц трахаюсь, не удается поднять ни один тип VPN - ни IPSec, ни PPPTP, я уж молчу про L2TP
По статье удалось IPSec туннель, типа поднять, только один хер - не работает оно - при пинге из центрального офисе все заканчивается на IPSec negotiating, хотя VPN-статус показывает, что IKE Established
Включение oakley.log показывает, что обе стадии соединения устанавливаются, но потом все либо по таймауту отрубается, либо такие странные вещи пишет в логи:
10-22: 12:27:25:874:c78 SA Dead. sa:0017AB60 status:35f0
Или вот так:
Код:
10-22: 12:29:33:176:184 Sending: SA = 0x01B68758 to 62.***.***.0:Type 2.500
10-22: 12:29:33:176:184 ISAKMP Header: (V1.0), len = 292
10-22: 12:29:33:176:184 I-COOKIE bfbbd21cf221159c
10-22: 12:29:33:176:184 R-COOKIE 9eccb665a84c0f82
10-22: 12:29:33:176:184 exchange: Oakley Quick Mode
10-22: 12:29:33:176:184 flags: 1 ( encrypted )
10-22: 12:29:33:176:184 next payload: HASH
10-22: 12:29:33:176:184 message ID: db0abc83
10-22: 12:29:33:176:184 Ports S:f401 D:f401
10-22: 12:30:05:177:184 retransmit exhausted: sa = 01B68758 centry 000E6558, count = 6
10-22: 12:30:05:177:184 Data Protection Mode (Quick Mode)
10-22: 12:30:05:177:184 Source IP Address 213.**.***.74 Source IP Address Mask 255.255.255.255 Destination IP Address 192.168.1.0 Destination IP Address Mask 255.255.255.0 Protocol 0 Source Port 0 Destination Port 0 IKE Local Addr 213.**.***.74 IKE Peer Addr 62.***.***.0 IKE Source Port 500 IKE Destination Port 500 Peer Private Addr
10-22: 12:30:05:177:184 Preshared key ID. Peer IP Address: 62.***.***.0
10-22: 12:30:05:177:184 Me
10-22: 12:30:05:177:184 Negotiation timed out
10-22: 12:30:05:177:184 Processed third (ID) payload Initiator. Delta Time 64 0x0 0x0
10-22: 12:30:05:177:184 isadb_set_status sa:01B68758 centry:000E6558 status 35ed
Иногда в логах oakley.log мелькает этот фантомный адрес, который дал провайдер - 82.*.*.*
Код:
10-22: 12:26:39:951:178 Acquire from driver: op=0000000F src=213.**.***.74.0 dst=192.168.1.2.0 proto = 0, SrcMask=255.255.255.255, DstMask=255.255.255.0, Tunnel 1, TunnelEndpt=81.***.**.2 Inbound TunnelEndpt=213.**.***.74
10-22: 12:26:39:951:c78 Filter to match: Src 81.***.**.2 Dst 213.**.***.74
10-22: 12:26:39:951:c78 MM PolicyName: ISA Server Remote_VPN MM Policy
10-22: 12:26:39:951:c78 MMPolicy dwFlags 0 SoftSAExpireTime 28800
10-22: 12:26:39:951:c78 MMOffer[0] LifetimeSec 28800 QMLimit 0 DHGroup 2
10-22: 12:26:39:951:c78 MMOffer[0] Encrypt: Triple DES CBC Hash: SHA
10-22: 12:26:39:951:c78 Auth[0]:PresharedKey KeyLen 10
10-22: 12:26:39:951:c78 QM PolicyName: ISA Server Remote_VPN QM Policy dwFlags 0
10-22: 12:26:39:951:c78 QMOffer[0] LifetimeKBytes 0 LifetimeSec 3600
10-22: 12:26:39:951:c78 QMOffer[0] dwFlags 0 dwPFSGroup 2
10-22: 12:26:39:951:c78 Algo[0] Operation: ESP Algo: Triple DES CBC HMAC: SHA
10-22: 12:26:39:951:c78 Starting Negotiation: src = 213.**.***.74.0500, dst = 81.***.**.2.0500, proto = 00, context = 0000000F, ProxySrc = 213.**.***.74.0000, ProxyDst = 192.168.1.0.0000 SrcMask = 255.255.255.255 DstMask = 255.255.255.0
10-22: 12:26:39:951:c78 constructing ISAKMP Header
10-22: 12:26:39:951:c78 constructing SA (ISAKMP)
10-22: 12:26:39:951:c78 Constructing Vendor MS NT5 ISAKMPOAKLEY
10-22: 12:26:39:951:c78 Constructing Vendor FRAGMENTATION
10-22: 12:26:39:951:c78 Constructing Vendor draft-ietf-ipsec-nat-t-ike-02
10-22: 12:26:39:951:c78 Constructing Vendor Vid-Initial-Contact
10-22: 12:26:39:951:c78
10-22: 12:26:39:951:c78 Sending: SA = 0x0017AB60 to 81.***.**.2:Type 2.500
10-22: 12:26:39:951:c78 ISAKMP Header: (V1.0), len = 168
10-22: 12:26:39:951:c78 I-COOKIE d474add02207b13b
10-22: 12:26:39:951:c78 R-COOKIE 0000000000000000
10-22: 12:26:39:951:c78 exchange: Oakley Main Mode
10-22: 12:26:39:951:c78 flags: 0
10-22: 12:26:39:951:c78 next payload: SA
10-22: 12:26:39:951:c78 message ID: 00000000
10-22: 12:26:39:951:c78 Ports S:f401 D:f401
10-22: 12:26:40:841:c78 ClearFragList
10-22: 12:26:41:169:184 retransmit: sa = 0017AB60 centry 00000000 , count = 1
10-22: 12:26:41:169:184
10-22: 12:26:41:169:184 Sending: SA = 0x0017AB60 to 81.***.**.2:Type 2.500
10-22: 12:26:41:169:184 ISAKMP Header: (V1.0), len = 168
10-22: 12:26:41:169:184 I-COOKIE d474add02207b13b
10-22: 12:26:41:169:184 R-COOKIE 0000000000000000
10-22: 12:26:41:169:184 exchange: Oakley Main Mode
10-22: 12:26:41:169:184 flags: 0
10-22: 12:26:41:169:184 next payload: SA
10-22: 12:26:41:169:184 message ID: 00000000
10-22: 12:26:41:169:184 Ports S:f401 D:f401
10-22: 12:26:43:170:184 retransmit: sa = 0017AB60 centry 00000000 , count = 2
10-22: 12:26:43:170:184
10-22: 12:26:43:170:184 Sending: SA = 0x0017AB60 to 81.***.**.2:Type 2.500
10-22: 12:26:43:170:184 ISAKMP Header: (V1.0), len = 168
10-22: 12:26:43:170:184 I-COOKIE d474add02207b13b
10-22: 12:26:43:170:184 R-COOKIE 0000000000000000
10-22: 12:26:43:170:184 exchange: Oakley Main Mode
10-22: 12:26:43:170:184 flags: 0
10-22: 12:26:43:170:184 next payload: SA
10-22: 12:26:43:170:184 message ID: 00000000
10-22: 12:26:43:170:184 Ports S:f401 D:f401
10-22: 12:26:47:170:184 retransmit: sa = 0017AB60 centry 00000000 , count = 3
10-22: 12:26:47:170:184
10-22: 12:26:47:170:184 Sending: SA = 0x0017AB60 to 81.***.**.2:Type 2.500
10-22: 12:26:47:170:184 ISAKMP Header: (V1.0), len = 168
10-22: 12:26:47:170:184 I-COOKIE d474add02207b13b
10-22: 12:26:47:170:184 R-COOKIE 0000000000000000
10-22: 12:26:47:170:184 exchange: Oakley Main Mode
10-22: 12:26:47:170:184 flags: 0
10-22: 12:26:47:170:184 next payload: SA
10-22: 12:26:47:170:184 message ID: 00000000
10-22: 12:26:47:170:184 Ports S:f401 D:f401
10-22: 12:26:55:170:184 retransmit: sa = 0017AB60 centry 00000000 , count = 4
10-22: 12:26:55:170:184
10-22: 12:26:55:170:184 Sending: SA = 0x0017AB60 to 81.***.**.2:Type 2.500
10-22: 12:26:55:170:184 ISAKMP Header: (V1.0), len = 168
10-22: 12:26:55:170:184 I-COOKIE d474add02207b13b
10-22: 12:26:55:170:184 R-COOKIE 0000000000000000
10-22: 12:26:55:170:184 exchange: Oakley Main Mode
10-22: 12:26:55:170:184 flags: 0
10-22: 12:26:55:170:184 next payload: SA
10-22: 12:26:55:170:184 message ID: 00000000
10-22: 12:26:55:170:184 Ports S:f401 D:f401
10-22: 12:27:11:171:184 retransmit: sa = 0017AB60 centry 00000000 , count = 5
10-22: 12:27:11:171:184
10-22: 12:27:11:171:184 Sending: SA = 0x0017AB60 to 81.***.**.2:Type 2.500
10-22: 12:27:11:171:184 ISAKMP Header: (V1.0), len = 168
10-22: 12:27:11:171:184 I-COOKIE d474add02207b13b
10-22: 12:27:11:171:184 R-COOKIE 0000000000000000
10-22: 12:27:11:171:184 exchange: Oakley Main Mode
10-22: 12:27:11:171:184 flags: 0
10-22: 12:27:11:171:184 next payload: SA
10-22: 12:27:11:171:184 message ID: 00000000
10-22: 12:27:11:171:184 Ports S:f401 D:f401
10-22: 12:27:25:874:c78 SA Dead. sa:0017AB60 status:35f0
10-22: 12:27:25:874:c78 isadb_set_status sa:0017AB60 centry:00000000 status 35f0
10-22: 12:27:25:874:c78 Key Exchange Mode (Main Mode)
10-22: 12:27:25:874:c78 Source IP Address 213.**.***.74 Source IP Address Mask 255.255.255.255 Destination IP Address 81.***.**.2 Destination IP Address Mask 255.255.255.255 Protocol 0 Source Port 0 Destination Port 0 IKE Local Addr 213.**.***.74 IKE Peer Addr 81.***.**.2 IKE Source Port 500 IKE Destination Port 500 Peer Private Addr
10-22: 12:27:25:874:c78
10-22: 12:27:25:874:c78 Me
10-22: 12:27:25:874:c78 IKE SA deleted before establishment completed
10-22: 12:27:25:874:c78 Sent first (SA) payload Initiator. Delta Time 46 0x0 0x0
10-22: 12:27:25:874:c78 constructing ISAKMP Header
10-22: 12:27:25:874:c78 constructing DELETE. MM 0017AB60
10-22: 12:27:25:874:c78
10-22: 12:27:25:874:c78 Sending: SA = 0x0017AB60 to 81.211.13.2:Type 1.500
10-22: 12:27:25:874:c78 ISAKMP Header: (V1.0), len = 56
10-22: 12:27:25:874:c78 I-COOKIE d474add02207b13b
10-22: 12:27:25:874:c78 R-COOKIE 0000000000000000
10-22: 12:27:25:874:c78 exchange: ISAKMP Informational Exchange
10-22: 12:27:25:874:c78 flags: 0
10-22: 12:27:25:874:c78 next payload: DELETE
10-22: 12:27:25:874:c78 message ID: 53b2f2b4
10-22: 12:27:25:874:c78 Ports S:f401 D:f401
10-22: 12:27:25:874:c78 ClearFragList
Прошивка самая свежая.
Вчера удалось только PPPTP-соединение поднять, да и то какое-то убогое - с ISA 2004 пингуется удаленный сервер, этот же сервер ничего пинговать из сети центрального офиса не может. Telnet на удаленный сервер на все порты проходит, однако \\IP\C$ показывает большую дулю
, хотя удаленный сервер как раз контроллер домена.
Догадываюсь, что если бы на внешнем интерфейсе был бы нормальный вид соединения, например, статический IP, а не PPPoE, то шансы установить хотя бы IPSec-соединение были бы.
Короче, есть еще какие нибудь мысли, кроме как аффтар - убей себя ап стену
?
Вход
Регистрация
FAQ
Поиск
