Здравствуйте.

Имеется рядовой сервер w2k3, под него ISA server 2006. В сети НЕТ больше никких серверов и сеть одноранговая. (то есть без контроллера домена).
Теперь надо поднимать VPN сервер под ISA.
я создал отдельную группу VPN users в "пользователи и группы" на этом же сервере и туда ввел пользователей, которые должны подключаться к нам в сеть. Теперь пытаюсь вводить эту группу в VPN сервер, но выдает такую ошибку:
http://i003.radikal.ru/0910/a6/e65b6623062at.jpg (http://radikal.ru/F/i003.radikal.ru/0910/a6/e65b6623062a.jpg.html)

дела в том, что работаю под привилегиями АДМИНИСТРАТОР !
как можно решить эту проблему ?

krec
В ISA->Конфигурация->Общие->Назначение административных ролей: пользователю под которым работаете дали роль "Полный администратор ISA Server " ???

Telepuzik,

спасибо большое. блин, у меня просто он на виртуальном среде работает и я забыл, что с хостового машины пытаюсь добавить группу из хостового машины )))

А скажите пожалуйста, вот такая политика хватит для тобо, чтоб удаленные пользователи смогли подключиться к нашему сети ?
http://i027.radikal.ru/0910/7f/fd2f5a9a7777.jpg

Да, хватит.

Настраивал VPN на сервер, вроде как все положено, но когда клиент подключается к серверу - у клиента пропадает сам интернет !
Я как понимаю - надо где-то писать маршрутизацию.

настроил так:
- активировал VPN киенты, добавил тех пользователей, которые должны подключаться к серверу(учетные записи), потом добавил пул IP адресов: 192.168.2.200 - 192.168.2.230.
На удаленном машине локальный адреса : 192.168.1.0/24 раздается. а на офисном сети: 192.168.0.0/24.

Щас вот задача в том, чтобы клиенты смогли к нам подключиться, пользоваться нашими расшаренными документми, получили почту из нашего локального почтового сервера, но при этом использовали СВОЙ интернет.

Может подскажете как настроить клиента ?

krec
Смотрите в настройках VPN соединения на клиенте параметр "Использовать основной шлюз в удалённой сети" галка должна быть снята.

Telepuzik

спасибо. нашел ! буду пробовать

пробовал. теперь все нормально подключается, просто не видно и не пингуется к нашего сети.
вот IPconfig у клиента , когда подключен к VPN серверу:

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : Clinet2
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Нет
WINS-прокси включен . . . . . . . : Нет

Адаптер PPP VPN-connect:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : VPN-server
Физический адрес. . . . . . . . . :
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.2.201(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . :
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Подключение по локальной сети:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek RTL8102E Family PCI-E Fast Ethernet NIC
Физический адрес. . . . . . . . . : 00-24-8C-E7-xx-xx
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.1.211(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.1.1
DNS-серверы. . . . . . . . . . . : 192.168.1.1

а вот и таблица маршрутизации у клиента:
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.211 276
77.39.хх.хх 255.255.255.255 192.168.1.1 192.168.1.211 21
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.1.0 255.255.255.0 On-link 192.168.1.211 276
192.168.1.211 255.255.255.255 On-link 192.168.1.211 276
192.168.1.255 255.255.255.255 On-link 192.168.1.211 276
192.168.2.0 255.255.255.0 192.168.2.200 192.168.2.201 21
192.168.2.201 255.255.255.255 On-link 192.168.2.201 276
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.1.211 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.1.211 276
255.255.255.255 255.255.255.255 On-link 192.168.2.201 276
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.1.1 По умолчанию
===========================================================================

подскажите пожалуйста, как настроить правильно ?

krec
Тут есть два варианта:
1. Сделать пул адрессов для VPN клиентов из внутренней подсети 192.168.0.0, а не из подсети 192.168.2.0
2. Оставить пул адрессов VPN 192.168.2.0 и на клиентах прописать route -p ADD 192.168.0.0 MASK 255.255.255.0 192.168.2.200

Telepuzik

1. Сделать пул адрессов для VPN клиентов из внутренней подсети 192.168.0.0, а не из подсети 192.168.2.0 »
а если у нас в локалке используеться адресация 192.168.0.0/24 - ничего?
http://s49.radikal.ru/i126/0910/72/767180fda4fdt.jpg (http://radikal.ru/F/s49.radikal.ru/i126/0910/72/767180fda4fd.jpg.html)

2. Оставить пул адрессов VPN 192.168.2.0 и на клиентах прописать route -p ADD 192.168.0.0 MASK 255.255.255.0 192.168.2.200 »
а после переподключение этот маршрут не удалиться ?

а вот и на всякий случай вкладываю Ipconfig из ISA(vpn) сервера:
C:\>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : server_ISA
Основной DNS-суффикс . . . . . . :
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : да

Интерфейс RAS-сервера - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : 00-53-45-00-00-00
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.2.200
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . :

LOCAL - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter
Физический адрес. . . . . . . . . : 00-0C-29-A2-хх-хх
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.10
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :

INET - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter #2
Физический адрес. . . . . . . . . : 00-0C-29-A2-хх-хх
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.1.11
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.1.1
DNS-серверы . . . . . . . . . . . : 192.168.1.1

C:\>

а если у нас в локалке используеться адресация 192.168.0.0/24 - ничего? »
Исключите из внутренней подсети часть адресов которые будут выдаваться VPN клиентам.

а после переподключение этот маршрут не удалиться ? »
Могу конечно и ошибаться но помоему ISA присваевает себе первый адрес из пула. При переподключении адрес шлюза остается 192.168.2.200 или меняется? После того как прописали route -p ADD 192.168.0.0 MASK 255.255.255.0 192.168.2.200 пинг стал проходить во внутреннюю сеть ?

Telepuzik,

Исключите из внутренней подсети часть адресов которые будут выдаваться VPN клиентам. »
И как это делать ? если в DHCP сервере "урезать" адреса для локального сети: 192.168.0.20 - 192.168.0.199, то получится в ISA добавить пул 192.168.0.200 - 192.168.0.220 ?
хотя вот картина из DHCP сервера:
http://i012.radikal.ru/0910/32/d6009dc37211.jpg
Могу конечно и ошибаться но помоему ISA присваевает себе первый адрес из пула. При переподключении адрес шлюза остается 192.168.2.200 или меняется? После того как прописали route -p ADD 192.168.0.0 MASK 255.255.255.0 192.168.2.200 пинг стал проходить во внутреннюю сеть ? »
просто это немного нудно кажется, и не очень уверен, что после переподключене все будет работать.

P.S. кстати, я в предыдушем посте добавил Ipconfig из ISA сервера. посмотрите, может поможет разобратся ситуацией ?

И как это делать ? если в DHCP сервере "урезать" адреса для локального сети: 192.168.0.20 - 192.168.0.199, то получится в ISA добавить пул 192.168.0.200 - 192.168.0.220 ? »
В ISA->Конфигурация->Сети выбираете внутреннюю сеть и на закладке "Адреса" задаете например два диапазона:
1.192.168.0.0 - 192.168.0.199
2.192.168.0.221 - 192.168.0.255
А VPN клиентам отдаете диапазон 192.168.0.200 - 192.168.0.220, и соответственно исключаете этот диапазон из выдачи на DHCP сервере.

подключился клиент к нам. И по IP может посмотреть наши расшаренные ресурсы, но мы не сможем достучатья до клиенам. вот окно состояния клиента:
http://s53.radikal.ru/i142/0910/8a/594561106c1b.jpg

Пинги не идут на 192.168.0.204. (это IP VPN клиента). как можно установить 2-х сторонную работу?

P.S. кстати, можно длать так, чтоб клиеты всегда имели один и тот же IP при каждом подключение ? а то каждый раз у них другой IP.

вот так выглядит сетевые политики:
http://i051.radikal.ru/0910/e6/8e75af9a34b2.jpg

Пинги не идут на 192.168.0.204. (это IP VPN клиента). как можно установить 2-х сторонную работу? »
Создайте правило файрвола: Весь исходящий трафик из Internal к VPN Clients Разрешить Все пользователи
И сетевое правило: Сети источника: Internal Сети назначения: VPN Clients Отношение сетей: Маршрутизация

Ага. сделел все, как сказали. создал правило в файрвола - пинги пошли. все с пнгами в порядке, а вот подключиться к расшаренным папкам VPN клиента - не получается, выдает такая ошибка:
http://i051.radikal.ru/0910/71/eb472ec3ebe4.jpg

само сетевое правило создал так:
http://s47.radikal.ru/i118/0910/4a/b2c6e8f51838.jpg

krec
Это уже проблема с настройками системы VPN клиента, посмотрите вот эту тему (http://forum.oszone.net/thread-66023.html).

Telepuzik

блин, а там Windows vista home basic. так что надо искать альтернативные методы. ну ладно, это в другом разделе обсужу. Но у меня остались несколько непоняток - чисто любопытные вопросы:
- можно делать так, чтоб пользователи получили статический IP от VPN сервера ? (чтоб прописать у себя пути к расшаренным папкам клинта)
- можно настроить клиент так, чтоб при подключение к сети(интернет) - автоматом подключились к нам в сети? (чтоб сразу составили чась нашего локальног сети)
- зачем надо было сетевое правило:
Сети источника: Internal Сети назначения: VPN Clients Отношение сетей: Маршрутизация »
??

можно делать так, чтоб пользователи получили статический IP от VPN сервера ? (чтоб прописать у себя пути к расшаренным папкам клинта) »
В свойствах пользователя, под которым подключается клиент(в Active directory) - вкладка Входящие звонки - ставим галку "Статический адрес пользователя" - и указываем нужный IP. У меня так 3 филиала работают.

можно настроить клиент так, чтоб при подключение к сети(интернет) - автоматом подключились к нам в сети? (чтоб сразу составили чась нашего локальног сети) »
Как подключение происходит? Если подключение по требованию(ADSL или еще как), то можно просто сделать bat файл, в котором прописать:
rasdial "имя подключения к интернет"
rasdial "имя подключения к VPN"