No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 Forefront TMG 2010
 Forefront TMG - Installazione e Configurazione
 Errored i accesso VPN tramite certificato L2TP
 New Topic  Reply to Topic
 Printer Friendly
Author Previous Topic Topic Next Topic  

paolinjo
Junior Member

131 Posts

Posted - 08/01/2011 :  17:49:19  Show Profile  Reply with Quote
Ciao Giulio & C.
scusate l'insistenza dei POST di questi giorni ma abbiamo reinstallato il TMG per un crash del sistema precedente.

Dopo l'installazione e la configurazione abbiamo attivato l'accesso da remoto tramite VPN e, come nel precedente, usavamo il protocollo L2TP con un certificato rilasciato dalla nostra CA interna.
fino a giovedi serà la VPN funzionava regolarmente.
Il certificato era caricato tra i certificati personali e trusted del computer ed è installato regolarmente sul client.
Venerdì abbiamo fatto delle modifche sul FW relativo ad una VPN Punto Punto cambiando l'ordine delle reti nelle regole di rete ed ho attiviato la risoluzione NetBios tra le impostazioni di sistema di TMG (cose che non avrebbero dovuto interferire con la VPN s i client)
ebbene da ieri sera la VPN non funge.
dopo che avvio la connessione da un client vedo la scermata che tenta di connettersi al server e dopo un poì esce il messaggio.



Ho dovuto abilitare su ISA la VPN PTPP e funzione regolarmente.
ovviamente meno sicura della L2TP per cui devo ripristinare la precedente.

Ho registrato gli accessi su TMG dell'origine IP da cui faccio partire la VPN (IP pubblico) e vedo che viene regolarmente matchata la regola 'Consenti VPN client a Forefront TMG' su porta IKE e non vedo errori. Probabilmente è un errore di RRAS.

Ho tracciato anche l'accesso con la VPN PPTP che va a buon fine e viene matchata la stessa regola con il protocollo PPTP.

Come posso verificare se vi è una incongruenza dei certificati o capire l'errore ? il registro di Windows non evidenzia nulla di specifico....

posso postarvi o inviarvi qkosa di più specifico ?

grazie 1000

IsaCab
Moderator

4298 Posts

Posted - 08/01/2011 :  18:46:11  Show Profile  Reply with Quote
Ciao,

se è vero quanto scritto qui dovrai aspettare :

http://int.social.technet.microsoft.com/Forums/en-US/Forefrontedgegeneral/thread/e83021b5-c09d-4a47-8c83-1869862673c9

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 09/01/2011 :  11:42:05  Show Profile  Reply with Quote
Ciao Giulio
sarei potuto impazzire....
ho postato su Technet il problema e speriamo si trovi una soluzione.
il bello è che prima di reinstallare tutto funzionava benissimo ma avevo
W2008 english e TMG enterprise in inglese .....
credo che più di un problema di TMG sia di Windows (RRAS) sulla gestione dei certificati
grazie
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 09/01/2011 :  15:24:15  Show Profile  Reply with Quote
Ciao,

tienici aggiornati.

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 10/01/2011 :  18:14:48  Show Profile  Reply with Quote
Ciao Giulio,
risolto il probelma.
Le prove di accesso alla VPN le ho fatte venerdì dalla ADSL che ho a casa (mi dovevo collegare x lavoro).
sul server però vedevo connessioni VPN di altri utenti ed un mio collega mi confermava che l'accesso dalla rete di casa sua era funzionante.
Dato che la mia ADSL è di nostra fornitura ho fatto un debug con Wireshark sulla tratta IP dopo la mia ADSL.
Il pacchetto veniva frammentato (il ceritficato rispetto alla preshared key crea un header IP più grande) ed il router di raccolta ATM che gestisce le ADSL (tra cui anche la mia) bloccava i pacchetti frammentati (era una impostazione di sicurezza applicata da noi).
ho tolto il blocco dei pacchetti frammentati verso la rete ADSl dei clienti e tutto ha funzionato.

grazie 1000
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 10/01/2011 :  20:02:41  Show Profile  Reply with Quote
Ciao,

ottimo spiegazione e grazie per il feedback.

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page
  Previous Topic Topic Next Topic  
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso più efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it è parte del network GITCA - Global IT Community Association