Добрый день!
Есть выход в Интернет через DSL-2500U (прошивка 1,20) - PPoE. Все ПК локальной сети могут устанавливать VPN соединения.
Есть план установить на сервер главной сети ISA 2006 и выпускать всех в сеть через него, также ISA необходим для связи с другими филиалами через site-to-site (термин ISA Server). Такое соединение работает через PPTP (VPN). Так вот, после установки на сервер ISA он перестал выполнять VPN соединения!
Ошибка при установке VPN соединения - "628: Удаленный компьютер разорвал соединение раньше, чем оно было установлено". Ошибок в логах никаких.
Сразу скажу, это соединение было настроено и рабочее (сервер физически перемещали из другой сети - там все работало). Т.е. не работает именно эта связка: ISA + DSL-2500U + провайдер. Предъявлять провайдеру тяжело (без ISA все работает), 2500U тоже позволяет VPN соединения без ISa. Вроде все указывает на глюкавость ISA. Но в другой сети этот экземпляр (со всеми настройками и т.д.) работает!

Подскажите, в каком направлении копать.

Расписываю настройки:

1.
Головной офис:
ISA внутр. 192.168.1.111, внеш. 192.168.58.105, шлюз для ISA роутер DLink DI-604 192.168.58.100.
Роутер соответственно LAN 192.168.58.100, WAN после установки PPoE статика xxx.xxx.xxx.xxx.


Через виртуальный сервер проброс всех необходимых сервисов на 192.168.58.105.

Настройки роутера приводить пока не буду, так как имеем 4 рабочих site-to-site соединения к головному офису. По идее дело не в головном офисе.


2.
Удаленный офис:
ISA внутр. 192.168.3.111, внеш. 192.168.4.2, шлюз для ISA маршрутизатор DLink DSL-2500U 192.168.4.1.
Роутер соответственно LAN 192.168.4.1, WAN после установки PPoE статика yyy.yyy.yyy.yyy.

Привожу настройки DSL-2500U в режиме роутера

WAN Info:

Port/VPI/VCI Con. ID Category Service Interface Protocol Igmp QoS State Status IP Address
0/8/35 1 UBR br_0_8_35 nas_0_8_35 Bridge N/A Disabled Enabled Up
0/8/35 2 UBR pppoe_0_8_35_2 ppp_0_8_35_2 PPPoE Disabled Disabled Enabled Up 77.106.20.98
Device Info -- Route

Device Info -- Route:

Flags: U - up, ! - reject, G - gateway, H - host, R - reinstate
D - dynamic (redirect), M - modified (redirect).

Destination Gateway Subnet Mask Flag Metric Service Interface
<шлюз пров-ра> <0.0.0.0> <255.255.255.255> UH 0 pppoe_0_8_35_2 ppp_0_8_35_2
<192.168.4.0> <0.0.0.0> <255.255.255.0> U 0 br0
<0.0.0.0> <шлюз пров-ра> <0.0.0.0> UG 0 pppoe_0_8_35_2 ppp_0_8_35_2


Настройки NAT:

Server Name External Port Start External Port End Protocol Internal Port Start Internal Port End Server IP Address Remove
Windows 2000 Terminal Server 3389 3389 TCP 3389 3389 192.168.4.2
IPSEC 500 500 UDP 500 500 192.168.4.2
IRC 1024 5000 TCP 1024 5000 192.168.4.2
IRC 6660 6669 TCP 6660 6669 192.168.4.2
IRC 113 113 UDP 113 113 192.168.4.2
PPTP 1723 1723 TCP 1723 1723 192.168.4.2


В результате следующая картина:

ISA в удаленном офисе раздает пользователям инернет, я могу заходить в терминале на сервер с ISA. Но не могу поднять соединение между головной и удаленнной ISA site-to-site: VPN соединения не устанавливаются ни в одну, ни в другую сторону. Соответствующие настройки на ПК c ISA произведены.

В чем может быть дело?

Диагностируем дальше:

на головном ISA в логах при установке VPN соединения от удаленного филиала:


Начато соединение
Тип журнала: Служба межсетевого экрана
Состояние:
Правило: [System] Разрешить трафик от VPN-клиента к серверу ISA Server
Источник: Внешняя (yyy.yyy.yyy.yyy:8386)
Назначение: Локальный компьютер (192.168.58.105:1723)
Протокол: PPTP


затем на удаленном филиале та же ошибка 628.

В обратную сторону то же самое.

После смены оборудования (убрал роутер - провайдер сделал напрямую адрес) все заработало.