- - PR -
ISA2004でのサイトリンク
1
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2004-09-27 06:28
別スレッドでもISA2004のルーティングのトラブルが出ていますが、まだアクティブ
なようですので、新規に立てさせていただきました。 ISA2004を使って、サイトリンクの構成を試そうと思っているのですが、うまくいきま せん。192.168.0.0/24と、192/168.100.0/24のサイトを接続しようと思います。 それぞれエッジにISA2004を置き、それぞれの内部ネットワークのDHCPサーバーから RAS用アドレスを取得しています。 双方のISAサーバーに、リモートサイトの設定と、VPNクライアントの設定を行い、 現在相互に2本のVPNコネクションは貼られている状況です。 この状態で、ISAサーバー自体から相手のネットワークの要素にpingを打つと、問題なく 返答が帰りますが、ISAサーバーの内部ネットワークのマシンから相手のネットワークに pingを打つと、相手のISAサーバーも含めて、応答が帰りません。 チェックしてみると、pingの送出は、手前のISAからは正しくリモートサイトの接続 経由で出力され、相手方のISAのVPNクライアントの接続から受信されています。しかし このパケットが相手方のISAでrejectされてしまっているようです。 ログを取ると、ルールの表示がありません。おそらく、ルール段階に行く前に、reject されているものと思います。ですので、基本的にはルーティングに関するバリデーション の問題だと感じています。 たとえば、192.168.0.0/24から192.168.100.0/24へのリモートサイト定義を branchと した場合に、branchのネットワーク定義は192.168.100.0/24となり、ネットワークルールでは、branch-内部がルートという設定をしています。別途、デフォルトの内部- VPNクライアントのルート定義も存在します(ルート定義の場合、逆方向の定義は必要 ないのですよね)。 この状態で、192.168.100.0側から届いたpingが捨てられてしまうということになります。 まだ他に何か設定がいるのだろうとは思うのですが、思いつきません。 どなたかアドバイスお持ちでないでしょうか。 |
|
投稿日時: 2004-10-04 13:08
自己レスです。
あっけなくつながりました。ISAでのサイトリンクっていうのは、結局ISAの皮を かぶせているだけで、結局設定内容はRRASに落ちているということのようです。 リソキのRRASのサイトリンクの構成を参照したら、誤りがわかりました(というか ISAの資料にも、リソキ程度の設定サンプルは載せてほしいものです)。 で、問題だったのは、ちょっとは気にかかっていた、ユーザー名とリモートサイト名 の絡みの設定不備でした。今回の件で、ユーザーのダイアルインの設定に静的ルート があるのも、やっと理解できました。 |
1