Добрый день коллеги.
Столкнулся с проблемой, подключения Site-to-Site на гостевой ОС (2003+ISA, 2008R2+TMG) с ошибкой "Подключение было разорвано раньше чем могло быть установлено"
Вкратце расскажу чем вызвана данная ошибка, на хосте с гипервизором присутствовала роль "Службы политики сети и доступа" она же маршрутизация и удаленный доступ. Проблема в этом, и я не знаю как решить данную проблему без перестановки ОС на хосте, это и решает проблему. Имет место несовместимость служб и ролей в 2008R2, факт на лицо. Может быть кто то сталкивался, знает как лечить? Я сравнивал параметры реестра службы маршрутизации после удаления роли но не нашел каких то различий с чистой ОС. По логам ISA (TMG) тоже ничего, вижу открытые соединения по 1723, затем они закрываются.
При развертывании Гипервизора на чистой обновленной ОС таких проблем в последствии нет.

я вот не поняла Проблема в этом, и я не знаю как решить данную проблему без перестановки ОС на хосте, это и решает проблему. »
о чём именно идёт речь?
кто с кем должен поднимать STS? откуда взялся RRAS на Hyper-V и чем он мешает дальше и почему нельзя снести роль?

cameron, Вы меня не поняли, либо не внимательно читали. Роль мне никто не мешает удалить, я ее удалил. Но если после удаления роли развернуть Гипервизор, то на гостевой не подымется PPTP. Хотите попробуйте сами.
VPN подымается с ЦО например, создается виртуальный свич, туда втыкается виртуальная сеть и т.д.
Что еще непонятно? То что я написал тут я не однократно проверил, так что у меня есть основания говорить о несовместимости. На хосте никто никуда не подключался, необходима была лишь маршрутизация.

illznn,
а если STS сделать на L2TP, то будет работать?

Нет, пробовал, тож самое.

а клиентским VPN удаётся подключиться к обоим участникам STS?
соотно по PPTP/L2TP?

Пробовал. Тоже самое ...
Та же ошибка, скрины прилагаю.

illznn,
и ещё:
1. физические сетевые карты какие?
2. вланы есть?

а к TMG клиент цепляется?

1. физические сетевые карты какие?
2. вланы есть? »
Нет, вланов нет, физика - HP NC326i PCIE Dual Port Gigabit Server Adapter
И еще, в логах такая фича

Связь между VPN-сервером и VPN-клиентом xx.xx.x.x была установлена, но не удалось завершить установку VPN-подключения. Наиболее вероятная причина - брандмауэр или маршрутизатор между VPN-сервером и VPN-клиентом не разрешает передачу пакетов GRE (Generic Routing Encapsulation) протокола 47. Проверьте, что брандмауэры и маршрутизаторы между этим VPN-сервером и Интернетом разрешают GRE-пакеты. Проверьте, что брандмауэры и маршрутизаторы в сети пользователя также разрешают GRE-пакеты. Если проблема сохраняется, обратитесь к вашему поставщику услуг Интернета (ISP) чтобы проверить, не происходит ли блокирование GRE-пакетов поставщиком.

хотя по сути ничего не дает, правила прописаны трафик ходит. Скорей всего рубится где то на уровне виртуального коммутатора ..

хотяпо сути ничег оне дает, правила прописаны трафик ходит. Скорей всего рубится где то на уровне виртуального коммутатора .. »
похоже это лог PPTP, потому что L2TP не нуждается в GRE.
тогда вопрос:
гостевая ISA имеет внешний белый адрес или она за каким-то NAT'ом?

и её виртуальная сетевая карточка Emulated или Synthetic?

похоже это лог PPTP »
Да, PPTP, это основной используемый протокол. На L2TP я пробовал, затем вернул обратно.
ISA На виртуалке, внешним интерфейсом подключена к модему ес-но Route, на котором в свою очередь форвардится 1723 на внешку ISA. У меня и раньше была такая примерно схема, только работал я с VMWare.

ISA На виртуалке, внешним интерфейсом подключена к модему ес-но Route, на котором в свою очередь форвардится 1723 на внешку ISA. »
ну а куда же делся GRE то, необходимый для PPTP? =)

а если модем в Bridge перевести и вписать на ISA реальные IP, проблема сохранится?

ну а куда же делся GRE то, необходимый для PPTP? »
Раньше я форвардил 1723. Соединение подымалось. Насчет бриджа надо попробовать.

Раньше я форвардил 1723. Соединение подымалось. »
ну соотно настройки на роутере были разрешающие это.
имеет смысл проверить.
далеко не все роутеры умеют так работать с GRE.

далеко не все роутеры умеют так работать с GRE »
Роутер не заменялся, этот же роутер с этими же настройками использовался и при прошлой конфигурации.
За совет с бриджом спасибо, сам ненавижу шаблонное мышление, но похоже я увяз в этой проблеме, а вы немного толкнули меня в сторону. Отпишусь как что то узнаю.

ну и да, уточнение которое ещё в режиме ROUTE можно проверить:
надеюсь порты для L2TP вы пробрасывали до ISA? =)
ибо по TCP 1723 он не заработает.

надеюсь порты для L2TP вы пробрасывали до ISA? »
Конечно, не школьник же ))