Я использую ISA 2006 с PPTP VPN для моей сети, управляемой AD. DHCP находится на самом сервере ISA, а аутентификация выполняется RADIUS (NPS), расположенным на контроллере домена.
Прямо сейчас мои клиенты VPN могут подключаться, получать доступ к локальному DNS и могут пинговать ISA, DC и других клиентов.
Вот где это становится странным. Я заметил, что, несмотря на все это, ipconfig показывает следующее:
PPP adapter North Horizon VPN:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : North Horizon VPN
Physical Address. . . . . . . . . :
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 10.42.4.7(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 0.0.0.0
DNS Servers . . . . . . . . . . . : 10.42.1.10
NetBIOS over Tcpip. . . . . . . . : Enabled
Итак, я пошел и проверил свои журналы ISA на предмет запросов и ответов DHCP, только чтобы узнать, что моим клиентам VPN отказывают, потому что ISA считает это подделкой. Вот некоторая важная информация из журнала (подсеть VPN 10.42.4.0/24):
Client IP: 10.42.4.6
Destination: 255.255.255.255:67
Client Username: (blank)
Protocol: DHCP (request)
Action: Denied Connection
Rule: (blank)
Source Network: VPN Clients
Destination Network: Local Host
Result Code: 0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED
Network Interface: 10.42.4.11
---------------------------------------------------------
Original Client IP: 10.42.4.6
Destination: 10.42.1.1
Client Username: (valid user)
Protocol: PING
Action: Initiated Connection
Rule: Allow PING to ISA
Source Network: VPN Clients
Destination Network: Local Host
Result Code: 0x0 ERROR_SUCCESS
Network Interface: (blank)
Я не был уверен, что это за сетевой интерфейс 10.42.4.11 - это определенно не то, что я настраивал - пока я не увидел его в разделе «Маршрутизация и удаленный доступ» в разделе «Маршрутизация IP> Общие» как интерфейс под названием «Внутренний», привязанный к тому же IP. адрес. Я также заметил, что, поскольку ISA берет блоки из 10 IP-адресов от DHCP для VPN, он зарезервировал 10.42.4.2-11. Хотя я не уверен, что это значит что-нибудь.
Спасибо за вашу помощь.
Насколько я понимаю, для обновления таблицы маршрутизации IP-адресом нового VPN-клиента требуется до 5 секунд, поэтому пакеты, полученные в течение этого времени, отбрасываются как подделанные. Видеть это сообщение forum.isaserver.org.
Предлагаемое решение - добавить этот нечетный ключ реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAT\Stingray\Debug\FWSRV]
"FWS_PNP_IPHELPER_QUITE_PERIOD"=dword:000005dc
Я отключено обнаружение спуфинга в установке ISA Server 2004, чтобы он работал раньше.
Я не вижу ничего плохого в вашем ipconfig, isa server использует dhcp для получения ip внутри для клиентов vpn, затем он создает внутреннее соединение и передает его клиенту vpn. Итак, dhcp предназначен только для внутренних целей. Таким образом, даже если ip для клиента vpn был сгенерирован через dhcp, он будет отображаться как non dhcp, так как он был передан.
Надеюсь, я правильно понял- :)