на сайт
на сайт

Поиск  Правила  Войти
Главная страница » Главный раздел » Traffic Inspector - технические вопросы.
Страницы: 1
RSS
VPN Lan-to-Lan & Traffic Inspector.
 
#1
0
25.12.2004 12:55:00
Возникла друдность.


Есть две локальные сети. Одная 192.168.0.*, другая 192.168.4.*.


С каждой стороны - выделенный ip и Windows 2003 c настроенным RRAS и работоспособным VPN тунелем.


Локальный адреc сервера 192.168.0.8, и 192.168.4.8 c другой стороны соответственно.


И так, на 192.168.4.8 - настроено все, NAT, VPN - и все работает.


После установки Traffic Inspector - VPN соединение есть, но пинг, и все остальне не проходит.


По файрволу видно, что запрос от сети отправляется на 192.168.0.8, и

ответ приходит, но не маршрутизируется на локальную сеть 192.168.4.*, а

пропадает.


В Traffic Inspector прописан "VPN" клиент, с адресами

196.254.0.0-169.254.255.255 (это диапазон выдаваемых ip для VPN) и

поставлена галочка DialIn клиент.


Складывается такое впечатление, что при приеме по VPN тунелю данных они не передаются на локальную сеть, а просто гасятся.


FireWall у Traffic Inspector отключен.


И что самое интересное, как только службу Traffic Inspector выключить

все пакеты опять начинают исправно ходить из одной сети в другую, потом

опять включаем службу Traffic Inspector - и опять затык...





Помогите пожалуйста..
 
 
 
#2
0
25.12.2004 13:03:00

ТИ не поддерживает VPN (DialDemand) в режиме приема звонков. Взамен надо настраивать RAS сервер.



Тема описана в справке и тут на форуме.
 
 
 
#3
0
25.12.2004 15:54:00
Не понял немного...


С одной стороны 192.168.0.8 - настроен RAS, в нем создан VPN интерфейс.


С другой стороны 192.168.4.8 - настроен RAS, и тоже создан VPN интерфейс.


Плюс - на каждом сервере в Windows 2003 создан пользователь vpn1 (на

первом сервере) и vpn2 (на втором сервере) - с разрешением на удаленный

доступ и ответный вызов не производится.


В RAS прописано (каждого сервера), что это постоянное соединение, и указан внешний ip противоположного сервера.


Так устанавливается vpn связь, и устанавливается статический маршрут, для каждого.


Т.е. фактически устанавливается два канала, один от одного сервера, другой от другого.


тогда же и появляется в Traffic Inspector два новый интерфейла..


Один WAN (PPP/SLIP), другой WAN miniPort.


Вот такая заморочка.
 
 
 
#4
0
08.01.2005 02:25:00
После нескольких дней трудов получилось вот что:


Имеем 2 офиса с двумя серверами


Первый: Windows 2003, RRAS+VPN, TI (192.168.0.*)


Второй: Windows 2003, RRAS+VPN, TI (192.168.4.*)


Соединяем две подсти по VPN с помощь RRAS, ни каких там удаленных

подключений нет ни с одной ни с другой стороны, все подключения

осуществляются только RRAS.


Имеем следующую проблему...


После активации VPN подключения на Первом сервере TI обноруживает два соединения WAN (PPP/SLIP) и VPN отлично работает...


На втором по непонятным причинам обноруживаются тоже два соединения -

но одно WAN (PPP/SLIP), а другое WAN miniPort - и VPN канал остается

активным, но весь траффик рубит TI...


На Перовм сервере тоже раньше было два VPN соединения WAN (PPP/SLIP) и

WAN miniPort, а потом каким-то волшебным образом они стали определятся

TI как WAN (PPP/SLIP) - и там все заработало!


А на втором они определяются как WAN (PPP/SLIP) и WAN miniPort.


Где копать???
 
 
 
#5
0
22.07.2005 09:02:00
Вводная: 2 удаленных маршрутирезатора сетей подразделений предприятия соединены по L2TP тунелю.

Задача: обеспечить учет трафика пользователей сети интернет и прохождение трафика между сетями подразделений.

1 сервер инициализирующий вызовы имеет один внешний интерфейс, один внутренний, один интерфейс RRAS Dail-In сервера и один WAN miniport L2TP. (TI обозначает их как 2 внешних/2 внутренних).

2. сервер принимающий вызовы имеет один внешний интерфейс, один внутренний, два внутренних RRAS Dial-In интерфейса. (Обозначены в TI как 3 внутренних/1 внешний)

Проблема: На инетфейс WAN L2TP сервера №1 трафик проходит только до сервера (т.е. со стороны сервера №2 и всей сети трафик проходит). Все рабочие станции находящиеся за сервером №1 не доступны из сети сервера №2 до тех пор пока на рабочей станции не авторизируется клиент при помощи Traffic Inspector Agent.

Примечание: Если на сервере №1 остановить службу TI - сеть становиться доступной со стороны сервера №2.

Уважаемая администрация форума и техническая поддержа: как обойти это ограничение в функциональности программы. Как я понимаю, сложная топология объединенной сети, в которой есть несколько подразделений и каждое использует свой сервер TI для учета трафика сети интернет в стандартных конфигурациях программы не рассматривалось. Как решить данную проблему?
 
 
 
#6
0
25.07.2005 12:02:00
Решение подсказал Александр из техподдержки - за что ему отдельное спасибо.

У кого есть 2 или больше ЛВС соединенных через инет тунелем или по IPSec через программные маршрутизаторы (думаю с аппаратными таких случаев не будет, в силу вынесения механизма Router от сервера ТИ) на базе серверных ОС, настраиваем ТИ так:

Консоль ТИ - Внутренние сети - Общие фильты - Разрешение для всех. Создаем новый фильтр на разрешение - указываем подсеть ЛВС удаленного маршрутизатора. Все. Пакеты теперь определяются как нетарифицируемые и проходят. Что и требовалось.
 
 
 
#7
0
25.07.2005 12:04:00
Для модераторов и администрации - можете вынести этот случай в хелп программы - т.к. прециндент реально существует и встречаться будет все чаще из-за объединения удаленных офисов через инет.
 
 
 
#8
0
02.10.2006 15:29:00
AlexanderWeb

Цитата
Один WAN (PPP/SLIP), другой WAN miniPort.

Вот такая заморочка.


У меня тоже самое, на одном сервере два интерфейса WAN (PPP/SLIP), а на втором также, один WAN (PPP/SLIP), другой WAN miniPort.
 
 
 
Страницы: 1
Читают тему (гостей: 2)