Страница печати | Закрыть окно

VPN Lan-to-Lan & Traffic Inspector.

Распечатать форум: Форум компании Смарт-Софт
Категория: Главный раздел
Название форума: Traffic Inspector - технические вопросы.
Описание форума: Вопросы по установке, настройке, возможностям и т.п.
URL: http://forum.smart-soft.ru/forum_posts.asp?TID=2105
Дата печати: 24-Май-19 в 03:47
Версия ПО: Web Wiz Forums 10.14 - http://www.webwizforums.com


Тема: VPN Lan-to-Lan & Traffic Inspector.
Автор: AlexanderWeb
Тема: VPN Lan-to-Lan & Traffic Inspector.
Дата отправки: 25-Дек-04 в 12:55
Возникла друдность.
Есть две локальные сети. Одная 192.168.0.*, другая 192.168.4.*.
С каждой стороны - выделенный ip и Windows 2003 c настроенным RRAS и работоспособным VPN тунелем.
Локальный адреc сервера 192.168.0.8, и 192.168.4.8 c другой стороны соответственно.
И так, на 192.168.4.8 - настроено все, NAT, VPN - и все работает.
После установки Traffic Inspector - VPN соединение есть, но пинг, и все остальне не проходит.
По файрволу видно, что запрос от сети отправляется на 192.168.0.8, и ответ приходит, но не маршрутизируется на локальную сеть 192.168.4.*, а пропадает.
В Traffic Inspector прописан "VPN" клиент, с адресами 196.254.0.0-169.254.255.255 (это диапазон выдаваемых ip для VPN) и поставлена галочка DialIn клиент.
Складывается такое впечатление, что при приеме по VPN тунелю данных они не передаются на локальную сеть, а просто гасятся.
FireWall у Traffic Inspector отключен.
И что самое интересное, как только службу Traffic Inspector выключить все пакеты опять начинают исправно ходить из одной сети в другую, потом опять включаем службу Traffic Inspector - и опять затык...

Помогите пожалуйста..




Ответов:
Автор: Administrator
Дата отправки: 25-Дек-04 в 13:03

ТИ не поддерживает VPN (DialDemand) в режиме приема звонков. Взамен надо настраивать RAS сервер.

Тема описана в справке и тут на форуме.



Автор: AlexanderWeb
Дата отправки: 25-Дек-04 в 15:54
Не понял немного...
С одной стороны 192.168.0.8 - настроен RAS, в нем создан VPN интерфейс.
С другой стороны 192.168.4.8 - настроен RAS, и тоже создан VPN интерфейс.
Плюс - на каждом сервере в Windows 2003 создан пользователь vpn1 (на первом сервере) и vpn2 (на втором сервере) - с разрешением на удаленный доступ и ответный вызов не производится.
В RAS прописано (каждого сервера), что это постоянное соединение, и указан внешний ip противоположного сервера.
Так устанавливается vpn связь, и устанавливается статический маршрут, для каждого.
Т.е. фактически устанавливается два канала, один от одного сервера, другой от другого.
тогда же и появляется в Traffic Inspector два новый интерфейла..
Один WAN (PPP/SLIP), другой WAN miniPort.
Вот такая заморочка.


Автор: AlexanderWeb
Дата отправки: 08-Янв-05 в 02:25
После нескольких дней трудов получилось вот что:
Имеем 2 офиса с двумя серверами
Первый: Windows 2003, RRAS+VPN, TI (192.168.0.*)
Второй: Windows 2003, RRAS+VPN, TI (192.168.4.*)
Соединяем две подсти по VPN с помощь RRAS, ни каких там удаленных подключений нет ни с одной ни с другой стороны, все подключения осуществляются только RRAS.
Имеем следующую проблему...
После активации VPN подключения на Первом сервере TI обноруживает два соединения WAN (PPP/SLIP) и VPN отлично работает...
На втором по непонятным причинам обноруживаются тоже два соединения - но одно WAN (PPP/SLIP), а другое WAN miniPort - и VPN канал остается активным, но весь траффик рубит TI...
На Перовм сервере тоже раньше было два VPN соединения WAN (PPP/SLIP) и WAN miniPort, а потом каким-то волшебным образом они стали определятся TI как WAN (PPP/SLIP) - и там все заработало!
А на втором они определяются как WAN (PPP/SLIP) и WAN miniPort.
Где копать???


Автор: Megabyte
Дата отправки: 22-Июл-05 в 09:02
Вводная: 2 удаленных маршрутирезатора сетей подразделений предприятия соединены по L2TP тунелю.
Задача: обеспечить учет трафика пользователей сети интернет и прохождение трафика между сетями подразделений.
1 сервер инициализирующий вызовы имеет один внешний интерфейс, один внутренний, один интерфейс RRAS Dail-In сервера и один WAN miniport L2TP. (TI обозначает их как 2 внешних/2 внутренних).
2. сервер принимающий вызовы имеет один внешний интерфейс, один внутренний, два внутренних RRAS Dial-In интерфейса. (Обозначены в TI как 3 внутренних/1 внешний)
Проблема: На инетфейс WAN L2TP сервера №1 трафик проходит только до сервера (т.е. со стороны сервера №2 и всей сети трафик проходит). Все рабочие станции находящиеся за сервером №1 не доступны из сети сервера №2 до тех пор пока на рабочей станции не авторизируется клиент при помощи Traffic Inspector Agent.
Примечание: Если на сервере №1 остановить службу TI - сеть становиться доступной со стороны сервера №2.
Уважаемая администрация форума и техническая поддержа: как обойти это ограничение в функциональности программы. Как я понимаю, сложная топология объединенной сети, в которой есть несколько подразделений и каждое использует свой сервер TI для учета трафика сети интернет в стандартных конфигурациях программы не рассматривалось. Как решить данную проблему?


Автор: Megabyte
Дата отправки: 25-Июл-05 в 12:02
Решение подсказал Александр из техподдержки - за что ему отдельное спасибо.
У кого есть 2 или больше ЛВС соединенных через инет тунелем или по IPSec через программные маршрутизаторы (думаю с аппаратными таких случаев не будет, в силу вынесения механизма Router от сервера ТИ) на базе серверных ОС, настраиваем ТИ так:
Консоль ТИ - Внутренние сети - Общие фильты - Разрешение для всех. Создаем новый фильтр на разрешение - указываем подсеть ЛВС удаленного маршрутизатора. Все. Пакеты теперь определяются как нетарифицируемые и проходят. Что и требовалось.


Автор: Megabyte
Дата отправки: 25-Июл-05 в 12:04
Для модераторов и администрации - можете вынести этот случай в хелп программы - т.к. прециндент реально существует и встречаться будет все чаще из-за объединения удаленных офисов через инет.


Автор: Лёхан
Дата отправки: 02-Окт-06 в 15:29
AlexanderWeb
Цитировать Один WAN (PPP/SLIP), другой WAN miniPort.
Вот такая заморочка.

У меня тоже самое, на одном сервере два интерфейса WAN (PPP/SLIP), а на втором также, один WAN (PPP/SLIP), другой WAN miniPort.

-------------



Страница печати | Закрыть окно