Sunday, July 22nd, 2018

Решение проблем со сценариями туннельного режима IPSec (IPSec Tunnel Mode)

Published on Февраль 9, 2009 by   ·   Комментариев нет

Проблема

Постоянное получение сообщения «Negotiating IP Security» от ISA сервера при проверке соединения Remote Site.

Рассмотрим следующую ситуацию: ISA-A сервер имеет подключение Remote Site к серверу ISA-B (или к IPSec firewall другого производителя) использующее туннельный режим IPSec.

Negotiating IP isa server

Рисунок 1

После создания Remote Site и правила Firewall (Firewall Rule) позволяющего локальной сети (Local Host Network) иметь доступ к Remote Site, вы не можете установить соединение используя все возможные протоколы. При попытке проверки соединения при помощи пингования (PING) вы постоянно получаете сообщение «Negotiating IP Security».

Решение проблемы

Для каждого ISA сервера (или IPSec gateway другого производителя) добавьте IP адрес внешнего сетевого интерфейса ISA firewall противоположной стороны в закладку адресов (Addresses Tab) cоединения.

Описание

Если ISA firewall установлен на платформе Windows 2003, вы можете использовать команду netsh ipsec dynamic show qmfilters all для получения информации о фильтрах перечисленных ниже.

SubnetA (Подсеть A) — ISA-A — Internet — ISA-B — SubnetB (Подсеть Б)

ISA-A имеет подключение Remote Site к SubnetB содержащей принадлежащее ей пространство адресов.

В результате чего, для ISA-A имеем следующий IPSec Filter List:

A1 SubnetA > SubnetB A3 ISA-A > SubnetB
A2 SubnetA < SubnetB A4 ISA-A < SubnetB

ISA-B имеет подключение Remote Site к SubnetA содержащей принадлежащее ей пространство адресов. ISA-B IPSec Filter List:

B1 SubnetB > SubnetA B3 ISA-B > SubnetA
B2 SubnetB < SubnetA B4 ISA-B < SubnetA

При попытке пингования от ISA-A к подсети SubnetB источником траффика является IP адрес внешнего сетевого интерфейса ISA-A. Получается, что сервер ISA-A имеет соотвествующий фильтр для траффика (A1), но сервер ISA-B такого фильтра не имеет (ни один из фильтров от B1 до B4 не соответствуют траффику). В результате, сервер ISA-A продолжает попытки соединения IP Secure (negotiate IP secure) с сервером ISA-B, но это ни к чему привести не может, так как сервер ISA-B не имеет соотвествующего фильтра для этого траффика.

Для устранения этой проблемы на сервере ISA-A должен быть введен IP адрес внешнего сетевого интерфейса сервера ISA-B в закладку адресов (Addresses Tab) cоединения Remote Site. На сервере ISA-B должен быть введен IP адрес внешнего сетевого интерфейса сервера ISA-A, соответственно.

Теперь мы имеем следующую картину:

ISA-A

A1 SubnetA > SubnetB A3 ISA-A > SubnetB A5 ISA-B > SubnetA
A2 SubnetA < SubnetB A4 ISA-A < SubnetB A6 ISA-B < SubnetA

ISA-B

B1 SubnetB > SubnetA B3 ISA-B > SubnetA B5 ISA-A > SubnetB
B2 SubnetB < SubnetA B4 ISA-B < SubnetA B6 ISA-A < SubnetB

При данных установках при попытке сервера ISA-A соединиться с подсетью SubnetB фильтры A3 и B5, A4 и B6 соответствуют друг другу. В результате чего Security Associations выходит режим онлайн.

Источник www.isaserver.org


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]