Доброго времени суток, не мог-бы кто-нибудь дать консультацию, по настройке VPN сервера для клиентского доступа, тут на сайте есть статья, (http://www.oszone.net/5833/VPN_ISA_Server_2006) я делал все по ней, к сожалению впн соединение установить не удалось, прочитал кучу литературы, описывающей настройку впн сервера, все вроде понятно и сделано правильно, но при инициализации подключения со-стороны клиента выпадает ошибка 807. Я так понимаю, что клиент не может даже достучаться до сервера. Для подключения я выбрал протокол pptp проверка подлинности ms-chap v 2 соответственно. Единственное, что я не настроил, это сопоставление имен пользователей, ибо у меня нет RADIUS сервера, и я не совсем понимаю,что там можно написать, может у кого-то есть информация, в какую мне сторону копать и что еще посмотреть в настройках?
Заранее спасибо

ну статья то более-менее толковая, быть может и вы теперь соизволите описать более подробно вашу проблему?
скрины настроек? есть ли что либо перед ISA? что в есть в логах?

Статья толковая, спору нет. Я и не говорил, что она плохая. Просто это мой первый опыт, и я возможно не совсем понимаю всех тонкостей, потому и спросил... =) Проблема заключается в том, что удаленный пользователь, инициализирующий подключение не может даже достучаться до сервака, не говоря уж о процедуре аутентификации. Первые два момента, о которых я думаю, не надо-ли создать какое-то правило доступа руками. Там есть два правила, по-умолчанию. Одно доступа, которое включилось, когда я активировал "Включить доступ для vpn клиентов" И второе сетевое: разрешить доступ, для клиентов VPN из внешней, во внутреннюю" Ну и плюс, я ничего не написал во вкладку сопастовление имен пользователей. Надо туда что-то писать или нет? RADIUS сервера у меня нет. И какие скины приложить, там можно осень много отснимать, и настройки впн, и сетевые правила, и правила доступа

Надо туда что-то писать или нет? »
нет.
И какие скины приложить »
настроек VPN на ISA, всех.
так же, вы не ответили есть ли что либо перед ISA.

Не, перед исой ничего нет. Она шлюз, смотрит в инет с публичным айпишником.

скины выложу, по максимуму. Чуть позже, сейчас нету доступа к машине. Спасибо за помощь.

Вот скины, надеюсь, это то, что нужно

Sleybob,
Зайдите в Наблюдение->Ведение журнала настройте фильтр регистрирующий соединения с внешнего ip при установки VPN соединения и посмотрите какое правило блокирует установку соединения. Посмотрите пакеты хотя бы доходят до ISA сервера, может у Вас провайдер запретил VPN соединения.

Sleybob,
1.png - не правильно, у вас VPN Clients получаеются в той же сети что и Internal. создайте для них пул адресов руками.
в остальном как сказал Telepuzik,

Понял, сейчас попробую. Там будет диапазон адресов, и указывать ДНС доменный надо будет, так?

Там будет диапазон адресов, и указывать ДНС доменный надо будет, так? »
Да. к примеру если у вас ваша внутренняя сетка 192.168.0.0/24 то пул создайте 192.168.1.0/24 и укажите ваши DNS серверы. WINS можно не указывать =)

Пул статических адресов я из своей сети должен дать, или от балды?

Пул статических адресов я из своей сети должен дать, или от балды? »
я же вам написала.

спасибо. БУду копать сегодня. Отпишусь о результатах. =)

Спасибо. ВПН удалось прокинуть. Спасибо Cameron, за совет со статическими IP и Telepuzik-y за мониторинг, сам не додумался. Хотя решение на поверхности было. =) Как кстати можно сделать, что-бы клиент получал адрес от DHCP? Что-бы добить эту тему до конца?

Как кстати можно сделать, что-бы клиент получал адрес от DHCP? »
а зачем? смысл не очень ясен.
но вообще, в теории, можно.
где то на МС я находила описание, как сделать область в DHCP которая будет сугубо для RRAS, и соот-но ваша идея получится.
сама я этого не делала - надобности нет.

Просто изучаю по, возможности и решания. Надобности тоже особой нет. Но все равно спасибо. Тема решена =)

Как кстати можно сделать, что-бы клиент получал адрес от DHCP? Что-бы добить эту тему до конца? »
Если мне не изменяет память то делается это примерно так: указываем вместо статического пула использование DHCP, указываем что получать адреса с сервера DHCP расположенного во внутренней сети (сервер должен быть настроен), смотрим правила системной политики касающиеся DHCP (правила 9, 10). Затем идем Пуск->Администрирование->Маршрутизация и удаленный доступ->Перезапускаем службу. Смотрим на DHCP сервере должны появиться записи о том что был арендован ISA сервером пул адресов. Если не работает смотрим Мониторинг кто что блокирует.

Если мне не изменяет память то делается это примерно так: указываем вместо статического пула использование DHCP, указываем что получать адреса с сервера DHCP расположенного во внутренней сети (сервер должен быть настроен), смотрим правила системной политики касающиеся DHCP (правила 9, 10). Затем идем Пуск->Администрирование->Маршрутизация и удаленный доступ->Перезапускаем службу. Смотрим на DHCP сервере должны появиться записи о том что был арендован ISA сервером пул адресов. Если не работает смотрим Мониторинг кто что блокирует. »
и это будет fail, если DHCP сервер будет раздавать адреса, которые находятся в диапазоне Internal для ISA.

и это будет fail »
Вы уверены?? Насколько я помню все нормально работает. Вот у Томаса Шиндера (http://www.redline-software.com/rus/support/articles/isaserver/config/enabling_dhcp_relay_for_isa_firewall_vpn_clients.php) тоже адреса VPN клиентам выдаются из пула принадлежащего внутренней сети.
Sleybob,
Еще для работы DHCP нужно настроить DHCP Relay Agent на ISA сервере.

Еще для работы DHCP нужно настроить DHCP Relay Agent на ISA сервере. »
DHCP Relay Agent находится в RRAS, а не в ISA и он не нужен в данном случае.

Вы уверены?? »
да, абсолютно.
Насколько я помню все нормально работает. »
частично "нормально".
Вот у Томаса Шиндера тоже адреса VPN клиентам выдаются из пула принадлежащего внутренней сети. »
там нигде не говорится о том, какие адреса выдаются и как они относятся к Internal диапазону.
http://technet.microsoft.com/en-us/library/bb794774.aspx
начиная с:
A network adapter can have zero or more addresses, and only be associated with one ISA Server network, so that each address only belongs to a single network. There should be no overlap of address ranges on a network.

All IP addresses that can be reached directly from a network adapter must be defined as part of the same ISA Server network. To ensure that remote subnets that are reachable by ISA Server through a router are correctly configured:

Be sure that remote subnets are added correctly to the network definition for the adapter where that traffic will be received.

Verify that the network's IP address range matches the routing table, and that routes are defined in the routing table for each remote subnet.