- PR -

ISA2004でのサイトリンク

投稿者	投稿内容
ぴんぴん大ベテラン会議室デビュー日: 2004/05/07 投稿数: 141	投稿日時: 2004-09-27 06:28 別スレッドでもISA2004のルーティングのトラブルが出ていますが、まだアクティブなようですので、新規に立てさせていただきました。 ISA2004を使って、サイトリンクの構成を試そうと思っているのですが、うまくいきません。192.168.0.0/24と、192/168.100.0/24のサイトを接続しようと思います。それぞれエッジにISA2004を置き、それぞれの内部ネットワークのDHCPサーバーから RAS用アドレスを取得しています。双方のISAサーバーに、リモートサイトの設定と、VPNクライアントの設定を行い、現在相互に2本のVPNコネクションは貼られている状況です。この状態で、ISAサーバー自体から相手のネットワークの要素にpingを打つと、問題なく返答が帰りますが、ISAサーバーの内部ネットワークのマシンから相手のネットワークに pingを打つと、相手のISAサーバーも含めて、応答が帰りません。チェックしてみると、pingの送出は、手前のISAからは正しくリモートサイトの接続経由で出力され、相手方のISAのVPNクライアントの接続から受信されています。しかしこのパケットが相手方のISAでrejectされてしまっているようです。ログを取ると、ルールの表示がありません。おそらく、ルール段階に行く前に、reject されているものと思います。ですので、基本的にはルーティングに関するバリデーションの問題だと感じています。たとえば、192.168.0.0/24から192.168.100.0/24へのリモートサイト定義を branchとした場合に、branchのネットワーク定義は192.168.100.0/24となり、ネットワークルールでは、branch-内部がルートという設定をしています。別途、デフォルトの内部- VPNクライアントのルート定義も存在します(ルート定義の場合、逆方向の定義は必要ないのですよね)。この状態で、192.168.100.0側から届いたpingが捨てられてしまうということになります。まだ他に何か設定がいるのだろうとは思うのですが、思いつきません。どなたかアドバイスお持ちでないでしょうか。
ぴんぴん大ベテラン会議室デビュー日: 2004/05/07 投稿数: 141	投稿日時: 2004-10-04 13:08 自己レスです。あっけなくつながりました。ISAでのサイトリンクっていうのは、結局ISAの皮をかぶせているだけで、結局設定内容はRRASに落ちているということのようです。リソキのRRASのサイトリンクの構成を参照したら、誤りがわかりました(というか ISAの資料にも、リソキ程度の設定サンプルは載せてほしいものです)。で、問題だったのは、ちょっとは気にかかっていた、ユーザー名とリモートサイト名の絡みの設定不備でした。今回の件で、ユーザーのダイアルインの設定に静的ルートがあるのも、やっと理解できました。

投稿者

投稿内容

ぴんぴん: 大ベテラン; 会議室デビュー日: 2004/05/07; 投稿数: 141

投稿日時: 2004-09-27 06:28

別スレッドでもISA2004のルーティングのトラブルが出ていますが、まだアクティブ
なようですので、新規に立てさせていただきました。

ISA2004を使って、サイトリンクの構成を試そうと思っているのですが、うまくいきま
せん。192.168.0.0/24と、192/168.100.0/24のサイトを接続しようと思います。
それぞれエッジにISA2004を置き、それぞれの内部ネットワークのDHCPサーバーから
RAS用アドレスを取得しています。
双方のISAサーバーに、リモートサイトの設定と、VPNクライアントの設定を行い、
現在相互に2本のVPNコネクションは貼られている状況です。

この状態で、ISAサーバー自体から相手のネットワークの要素にpingを打つと、問題なく
返答が帰りますが、ISAサーバーの内部ネットワークのマシンから相手のネットワークに
pingを打つと、相手のISAサーバーも含めて、応答が帰りません。

チェックしてみると、pingの送出は、手前のISAからは正しくリモートサイトの接続
経由で出力され、相手方のISAのVPNクライアントの接続から受信されています。しかし
このパケットが相手方のISAでrejectされてしまっているようです。

ログを取ると、ルールの表示がありません。おそらく、ルール段階に行く前に、reject
されているものと思います。ですので、基本的にはルーティングに関するバリデーション
の問題だと感じています。

たとえば、192.168.0.0/24から192.168.100.0/24へのリモートサイト定義を branchと
した場合に、branchのネットワーク定義は192.168.100.0/24となり、ネットワークルールでは、branch-内部がルートという設定をしています。別途、デフォルトの内部-
VPNクライアントのルート定義も存在します(ルート定義の場合、逆方向の定義は必要
ないのですよね)。

この状態で、192.168.100.0側から届いたpingが捨てられてしまうということになります。
まだ他に何か設定がいるのだろうとは思うのですが、思いつきません。
どなたかアドバイスお持ちでないでしょうか。

ぴんぴん: 大ベテラン; 会議室デビュー日: 2004/05/07; 投稿数: 141

投稿日時: 2004-10-04 13:08

自己レスです。
あっけなくつながりました。ISAでのサイトリンクっていうのは、結局ISAの皮を
かぶせているだけで、結局設定内容はRRASに落ちているということのようです。
リソキのRRASのサイトリンクの構成を参照したら、誤りがわかりました(というか
ISAの資料にも、リソキ程度の設定サンプルは載せてほしいものです)。

で、問題だったのは、ちょっとは気にかかっていた、ユーザー名とリモートサイト名
の絡みの設定不備でした。今回の件で、ユーザーのダイアルインの設定に静的ルート
があるのも、やっと理解できました。

＠IT SpecialPR

ISA2004でのサイトリンク

スキルアップ／キャリアアップ（JOB@IT）