No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 ISA Server 2004
 ISA 2004 - Installazione e Configurazione
 VPN PPTP errore 721
 New Topic  Reply to Topic
 Printer Friendly
Author  Topic Next Topic  

nanopeppe
Junior Member

145 Posts

Posted - 27/01/2015 :  16:30:15  Show Profile  Reply with Quote
Ciao a tutti. E' tanto tempo che non scrivo su questo forum e mai mi sarei aspettato di riscrivere un post per un errore che giudico assurdo. La mia configurazione la seguente:

LAN Interna - Server - Internet
La LAN interna ha indirizzi che vanno da 192.0.0.1 a 192.0.0.255
La Connessione ad internet ha un indirizzo 192.168.1.1 ed collegata ad un router adsl.

Ho configurato una connessione PPTP e quando tento di accedere dall'esterno al server, riesco ad arrivare al controllo di user e password ottenendo dopo qualche secondo l'errore 721. Routing e Accesso Remoto configurato come "Routing LAN e connessioni a richiesta" e "Server di accesso remoto". Il DHCP abilitato e funziona...insomma, non so proprio perch al momento della "Verifica della password e del nome utente" non riesco ad entrare ottenendo un errore 721. Qualche idea che magari mi sfugge?

Pazzo chi non ha mai fatto pazzie...

IsaCab
Moderator

4298 Posts

Posted - 28/01/2015 :  12:29:41  Show Profile  Reply with Quote
Ciao,

se hai un apparato che fa NAT prima di ISA, devi accertarti che faccia passare il protocollo PPTP. Inoltre su ISA devi avere il protocollo PPTP pubblicato e il filtro PPTP attivo.

G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

nanopeppe
Junior Member

145 Posts

Posted - 29/01/2015 :  09:41:07  Show Profile  Reply with Quote
Ciao ISA. Prima di Natale funzionava tutto, ma poi per un grave guasto tecnico ho dovuto reinstallare completamente Win 2003 SBS. Premetto che prima che accadesse il fattaccio mi collegavo da casa tranquillamente, quindi escluderei il router che rimasto tale e quale e prima.
Quando mi chiedi di pubblicare il filtro, intendi questo?

Source: Any
Destination: IP ISA Esterna
Direction: Inbound
Protocol: TCP
Port: 1723

Comunque ho pubblicato sia la 1723 inbound (PPTP Server), sia outbound (PPTP). Nel caso della PPTP Server ho usato proprio la "New Server Publishing Rule", ma il risultato non cambia. Io ad Isa ci arrivo perch dalla query del Logging di Isa mi appare la richiesta:
Initiated Connection SERVER 29/01/2015 10.20.39
Log type: Firewall service
Status: Operazione completata.
Rule: Publish VPN server in Internal network using PPTP
Source: External ( 91.252.19.74:60417)
Destination: Local Host ( 192.0.1.3:1723)
Protocol: PPTP Server
User:
Additional information
Number of bytes sent: 0 Number of bytes received: 0
Processing time: 0ms Original Client IP: 91.252.19.74
Client agent:

ma poi la chiude:
Closed Connection SERVER 29/01/2015 10.21.19
Log type: Firewall service
Status: ISA Server ended the connection.
Rule: Publish VPN server in Internal network using PPTP
Source: External ( 91.252.19.74:60417)
Destination: Local Host ( 192.0.1.3:1723)
Protocol: PPTP Server
User:
Additional information
Number of bytes sent: 352 Number of bytes received: 380
Processing time: 39297ms Original Client IP: 91.252.19.74
Client agent:




Pazzo chi non ha mai fatto pazzie...

Edited by - nanopeppe on 29/01/2015 10:22:31
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 29/01/2015 :  11:38:06  Show Profile  Reply with Quote
Ciao,

ok,

allora apri RRAS e verifica se le porte PPTP ci sono e sono in ascolto.

G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

nanopeppe
Junior Member

145 Posts

Posted - 29/01/2015 :  11:57:35  Show Profile  Reply with Quote
Sotto l'MMC di RRAS, nelle propriet delle porte, la PPTP configurata come "Connessioni di Accesso remoto" e "Routing con connessioni a richiesta"...

Pazzo chi non ha mai fatto pazzie...
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 29/01/2015 :  13:31:11  Show Profile  Reply with Quote
Ciao,

da mmc di RRAS seleziona Ports e qui dovresti avere un numero di righe pari alle connessioni contemporanee che hai configurato.

Te lo chiedo perch (se cerchi sul forum trovi i dettagli) un baco vecchio (e dato che tu hai reinstallato potrebbe mancarti la patch) che chiudeva le porte PPTP. Quindi se il problema questo non avrai porte PPTP presenti.

G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

nanopeppe
Junior Member

145 Posts

Posted - 29/01/2015 :  15:11:56  Show Profile  Reply with Quote
Scusami, avevo omesso di dirtelo...ovviamente ho impostato 10 connessione massime e infatti ci sono 10 porte PPTP.

Pazzo chi non ha mai fatto pazzie...
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 30/01/2015 :  10:30:39  Show Profile  Reply with Quote
Ciao,

rileggendo qualcosa non mi quadra :

Tu scrivi:

quote:

La LAN interna ha indirizzi che vanno da 192.0.0.1 a 192.0.0.255
La Connessione ad internet ha un indirizzo 192.168.1.1 ed collegata ad un router adsl.



Ma poi nei log vedo :
quote:
Destination: Local Host ( 192.0.1.3:1723)



Qualcosa in tutto questo non quadra, quindi o stai omettendo qualcosa o hai sbagliato ad inserire gli ip da qualche parte.

Fai cos :

1) Posta la regola completa di pubblicazione che hai usato
2) Verifica che sulla regola di pubblicazione sia abilitato il filtro PPTP (che abilita il protocollo GRE)
3) Chiarisci bene la configurazione generale e le classi IP coinvolte.


Inoltre per isolare il problema, mettiti con un PC tra ISA e il router (rete 192.168.1.1) e prova da li ad accedere in VPN. IN questo cerchiamo di capire se il problema su ISA u sul router.

G.


________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

nanopeppe
Junior Member

145 Posts

Posted - 02/02/2015 :  15:39:20  Show Profile  Reply with Quote
Si scusa...mi ero confuso con un'altra configurazione...la scheda esterna 192.0.1.3...colpa mia!

Pazzo chi non ha mai fatto pazzie...
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 03/02/2015 :  09:27:17  Show Profile  Reply with Quote
Ciao,

....ma vale cmq tutto quello che ho scritto....

G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

nanopeppe
Junior Member

145 Posts

Posted - 03/02/2015 :  16:19:06  Show Profile  Reply with Quote
Dunque, la regola la seguente:

Action: Allow e Log requests matching this rule = true;
Traffic: PPTP Server (1723 - TCP - Inbound con filtro PPTP attivo);
From: Anywhere;
To: 192.0.1.3;
Networks: External;

Sulla scheda di rete Internet del server c' collegato un router con 4 porte LAN. Ho provato a collegare un notebook su una di queste LAN e non ottengo un indirizzo IP. Premetto che il DHCP del router disattivato, mentre attivo quello del server che, per la rete LAN, funziona...quindi ho provato a configurare manualmente l'indirizzo ip di questo notebook e, come immaginavo, si immediatamente collegato in VPN...cosa dovrei aver omesso riguardo al DHCP? Se mi dici cosa vuoi sapere ti posto le impostazioni attuali.

Pazzo chi non ha mai fatto pazzie...

Edited by - nanopeppe on 03/02/2015 17:17:24
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 03/02/2015 :  20:04:57  Show Profile  Reply with Quote
Ciao,

perfetto. Quindi collegandoti direttamente sulla external di ISA la vpn funziona. Questo significa che il problema non ISA.

Verifica per bene il router e che faccia da PPTP passthroug (anche il gre).

G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

nanopeppe
Junior Member

145 Posts

Posted - 04/02/2015 :  10:33:24  Show Profile  Reply with Quote
Perdonami Isa, non sono stato chiaro.
Da fuori io riesco ad arrivare al server (lo avevo scritto nel primo post) anche perch sul router sono aperte le porte corrette e attivo il passthroug. Prima che reinstallasi tutto Win 2003, la VPN funzionava alla grande e il router rimasto tale e quale a come era prima.
Provando ad accedere tra routere scheda esterna del server si connette solo se imposto manualmente l'indirizzo IP sul computer che collego tra i due dispositivi. Se tendo di accedere senza indirizzo ip cercando di ottenerlo da un DHCP, non vengo indirizzato e, pertanto, non riesco ad entrare in VPN...secondo me, allo stato attuale, VPN e Server sono perfettamente configurati e il problema (che non capisco dove sia) sembrerebbe essere una configurazione errata o incompleta del DHCP che risiede sempre sullo stesso server.

Pazzo chi non ha mai fatto pazzie...
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 04/02/2015 :  10:41:10  Show Profile  Reply with Quote
Ciao,

ma quale indirizzo imposti manualmente ??

Allora fai cos. Dando per scontato che il router abbia IP 192.168.1.1 e la external di ISA 192.168.1.254 fai in questo modo :

1) Mettiti nella rete tra router ed ISA
2) Mettiti come IP 192.168.1.10
3) Configura la VPN ad accedere al server 192.168.1.254 (ISA)

e posta i risultati.

G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

nanopeppe
Junior Member

145 Posts

Posted - 04/02/2015 :  12:23:23  Show Profile  Reply with Quote
Hai ragione, ti spiego con gli indirizzi alla mano.
Il router ha indirizzo 192.0.1.241 e la scheda di rete esterna (collegata direttamente al router) ha indirizzo 192.0.1.3

Il notebook che ho collegato da router e server non aveva alcun indirizzo di rete impostato perch, in teoria, dovrebbe fornirglielo il DHCP (che comunque un servizio sempre presente e attivo sullo stesso server). Purtroppo per questo indirizzo non gli viene fornito e di conseguenza non si connette in VPN. Poi ho impostato manualmente l'indirizzo IP di questo notebook configurandolo con 192.0.1.100 e si connesso immediatamente alla VPN.

Pazzo chi non ha mai fatto pazzie...
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 04/02/2015 :  12:31:12  Show Profile  Reply with Quote
Ciao,

il DHCP da quello che hai detto sulla LAN tu sei fuori se ti colleghi sul router e quindi giusto che non assegni nessun indirizzo IP.

Poi tu scrivi :

quote:
La Connessione ad internet ha un indirizzo 192.168.1.1 ed collegata ad un router adsl.



Ora dici che il router su un altra sottorete!! Io non ci capisco pi niente.

In questo modo difficile aiutarvi. Se le informazioni che ci fornite sono ambigue ed inesatte perdiamo solo tempo.

Quindi per favore, apri un nuovo post, chiarisci per bene le classi IP coinvolte e i dettagli sulle connessioni (ISA,ROUTER,NAT,......)

Dopo di che fai la prova che ti ho detto mettendoti con un client tra il router e la external di ISA, simulando quindi un client che viene dal mondo esterno.

G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

nanopeppe
Junior Member

145 Posts

Posted - 04/02/2015 :  15:28:26  Show Profile  Reply with Quote
Isa, quella parte dell'indirizzo che indichi l'avevo corretta in un post precedente dove mi ero confuso ricordando la configurazione di un'altra cosa che non centra niente (sto diventando matto con sti numeri)...il router 192.0.1.241, la scheda di rete esterna 192.0.1.3
Se collego il notebook tra router e scheda, non mi collego a meno che non vada a modificare manualmente l'indirizzo IP della scheda di rete del notebook, cosa che prima non ho mai dovuto fare.

Riassumendo

Router (192.0.1.241) - Notebook (IP Automatico) - Server (192.0.1.3) = non funziona

Router (192.0.1.241) - Notebook (192.0.1.100) - Server (192.0.1.3) = funziona

Prima che accadesse l'irreparabile con sto maledetto server, non dovevo indirizzare munualmente le schede di rete dei PC e accedevo tranquillamente alla VPN. Il DHCP lo fa questo stesso server che ha l'altra scheda di rete sulla LAN con indirizzo 192.0.0.4.

Pazzo chi non ha mai fatto pazzie...

Edited by - nanopeppe on 04/02/2015 15:33:51
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 05/02/2015 :  17:00:48  Show Profile  Reply with Quote
Ciao,

in questo caso confermo che il problema non ISA. Il fatto che il DHCP interno alla LAN non assegni IP a pc messi sulle external giusto. Se prima lo faceva, avevi un problema.

Per capirci :

Il RRAS Assegna un IP ai PC connessi in VPN che in condizioni normali dovrebbe essere diverso dalla classe IP LAN e nel tuo caso anche external. Ma per poter usare la connessione il tuo pc deve avere lo stack TCP attivo e quindi deve avere un indirizzo IP. Se accedi da casa tua il tuo pc ha gi un indirizzo IP, sarebbe impensabile che debba essere il tuo server ad assegnarlo. Poi una volta entrato in VPN prende un secondo IP che appunto l'ip della della VPN.

Se poi hai anche un dhcp dedicato ai tuoi client in LAN giusto che il DHCP lavori solo ed esclusivamente per i PC in LAN.

G.



________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

nanopeppe
Junior Member

145 Posts

Posted - 05/02/2015 :  17:08:32  Show Profile  Reply with Quote
Allora per quale motivo se tento di accedere dall'esterno con un IP che non rientra nella subnet della scheda esterna del server, non ci riesco? Possibile ci sia qualcosa di errato in RRAS?

Pazzo chi non ha mai fatto pazzie...
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 05/02/2015 :  17:14:34  Show Profile  Reply with Quote
Ciao,

fai una cosa :

1) Posta la regola di pubblicazione della PPTP su ISA server (completa in ogni dettaglio)
2) Posta un log della connessione che va in errore
3) Posta un log della connessione che funziona


n.b.: Puoi filtrare i log per client IP in modo da avere a video la transazione completa della connessione solo del client interessato.

G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 05/02/2015 :  17:30:03  Show Profile  Reply with Quote
Ciao,

stavo riguardando la mia configurazione (TMG, ma dovrebbe essere simile) e non vedo regole di pubblicazione. Basta programmare per bene RRAS solo ed esclusivamente da ISA e non direttamente.

Le uniche regole necessarie sono delle firewall rule per la rete VPN Client che deve essere autorizzata a parlare con localhost e con LAN (o da settare secondo le tue esigenze).

G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 05/02/2015 :  17:32:18  Show Profile  Reply with Quote
Qui spiegato molto bene :

http://thelazyadmin.com/2006/01/using-isa-2004-as-a-pptp-vpn-server-pt-1-server-config/

http://thelazyadmin.com/2006/01/using-isa-2004-as-a-pptp-vpn-server-pt-2-access-rules/

G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

nanopeppe
Junior Member

145 Posts

Posted - 06/02/2015 :  09:45:00  Show Profile  Reply with Quote
Buongiorno Isa. Quelle guide le avevo gi viste proprio perch prima di scrivere sul tuo forum ho girato qua e la per la rete alla ricerca del problema senza esiti positivi. Comunque...
Se tento la connessione col famoso notebook tra router e server senza impostargli l'indirizzo IP manualmente, non riesco a connettermi e ottengo l'Errore 769 (non raggiunge la destinazione specificata) e, infatti, nel monitoring di Isa non appare nulla. Se imposto l'indirizzo IP manualmente come ti avevo postato poco fa, si collega e funziona tutto. La regola viene creata automaticamente e si chiama "Allow VPN client traffic to ISA Server".

Comunque ho riprovato dopo aver reimpostato la VPN senza toccare RRAS a collegarmi dall'esterno tramite routing dello smartphone con il notebook e, nel monitoring, ottengo questo:

Initiated Connection SERVER 06/02/2015 10.02.44
Log type: Firewall service
Status: Operazione completata.
Rule: Allow VPN client traffic to ISA Server
Source: External ( 37.227.109.109:48576)
Destination: Local Host ( 192.0.1.3:1723)
Protocol: PPTP
User:
Additional information
Number of bytes sent: 0 Number of bytes received: 0
Processing time: 0ms Original Client IP: 37.227.109.109
Client agent:

Initiated Connection SERVER 06/02/2015 10.02.44
Log type: Firewall service
Status: Operazione completata.
Rule: Allow VPN client traffic to ISA Server
Source: External ( 37.227.109.109:0)
Destination: Local Host ( 192.0.1.3:0)
Protocol: PPTP
User:
Additional information
Number of bytes sent: 0 Number of bytes received: 0
Processing time: 0ms Original Client IP: 37.227.109.109
Client agent:

e dopo qualche secondo (con il contemporaneo errore 721 sul notebook) appare questo:

Closed Connection SERVER 06/02/2015 10.03.22
Log type: Firewall service
Status: ISA Server ended the connection.
Rule: Allow VPN client traffic to ISA Server
Source: External ( 37.227.109.109:48576)
Destination: Local Host ( 192.0.1.3:1723)
Protocol: PPTP
User:
Additional information
Number of bytes sent: 380 Number of bytes received: 352
Processing time: 38422ms Original Client IP: 37.227.109.109
Client agent:

Closed Connection SERVER 06/02/2015 10.03.44
Log type: Firewall service
Status: ISA Server ended the connection.
Rule: Allow VPN client traffic to ISA Server
Source: External ( 37.227.109.109:0)
Destination: Local Host ( 192.0.1.3:0)
Protocol: PPTP
User:
Additional information
Number of bytes sent: 0 Number of bytes received: 0
Processing time: 60625ms Original Client IP: 37.227.109.109
Client agent:


Pazzo chi non ha mai fatto pazzie...

Edited by - nanopeppe on 06/02/2015 10:04:37
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 06/02/2015 :  11:46:06  Show Profile  Reply with Quote
Ciao,

forse non riesco a spiegarmi :

quote:
Se tento la connessione col famoso notebook tra router e server senza impostargli l'indirizzo IP manualmente, non riesco a connettermi e ottengo l'Errore 769 (non raggiunge la destinazione specificata) e, infatti, nel monitoring di Isa non appare nulla.

Questo normale ed giusto che sia cos. Senza indirizzo IP non puoi comunicare in rete Sia il livello 2 che il livello 3 della pila OSI sono disattivi. Hai solo il livello 1 attivo (fisico).

quote:
Se imposto l'indirizzo IP manualmente come ti avevo postato poco fa, si collega e funziona tutto

Bene, giusto che sia cos!!!! E questo ti dice anche un altra cosa, che ISA funziona.

Anche i LOG ti dicono che tutto funziona, nel senso che non hai errori di traffico negato.

L'errore che hai sul client chiaro :

quote:
Questo problema potrebbe verificarsi se il firewall di rete non consente il traffico del protocollo GRE (Generic Routing Encapsulation). GRE il protocollo IP 47. Il protocollo PPTP utilizza GRE per i dati di tunneling.



Quindi le cose da verificare sono due :

1) Verificare che il filtro PPTP (Associato al protocollo) (che abilita il traffico GRE) sia attivo sulla regola Allow VPN client traffic to ISA Server

2) Verificare che il router sia PPTP passtrough

3) Prova da un altra ADSL, alcuni provider (fastweb, wind, Vodafone...) bloccano questo tipo di traffico (a volte solo in determinate fasce orarie).

G.



________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

nanopeppe
Junior Member

145 Posts

Posted - 06/02/2015 :  16:12:56  Show Profile  Reply with Quote
Dunque:

quote:

1) Verificare che il filtro PPTP (Associato al protocollo) (che abilita il traffico GRE) sia attivo sulla regola Allow VPN client traffic to ISA Server



La regola una System Policy Rule e il filtro PPTP sul protocollo attivo.

quote:

2) Verificare che il router sia PPTP passtrough



Il passtrough attivo.

quote:

3) Prova da un altra ADSL, alcuni provider (fastweb, wind, Vodafone...) bloccano questo tipo di traffico (a volte solo in determinate fasce orarie).



A questo punto mi manca da provare la connessione direttamente da casa mia senza magari utilizzare lo smartphone con contratto 3.

Pazzo chi non ha mai fatto pazzie...
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 07/02/2015 :  08:56:22  Show Profile  Reply with Quote
Ciao,

non centra nulla con il tuo problema ma giusto per completezza di informazione :

Qui ho detto una castroneria :

quote:
Sia il livello 2 che il livello 3 della pila OSI sono disattivi


Infatti va su anche livello 1 e livello 2.
quote:

A questo punto mi manca da provare la connessione direttamente da casa mia senza magari utilizzare lo smartphone con contratto 3.



Attendiamo un tuo feedback.

G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

nanopeppe
Junior Member

145 Posts

Posted - 13/02/2015 :  15:12:53  Show Profile  Reply with Quote
Ciao Isa. Ho fatto la prova da casa solo oggi perch non avevo mai tempo. Il risultato (Windows 8.1) il seguente:

Errore 806: Impossibile completare la connessione VPN tra il computer e il server VPN. La causa pi comune del problema che almeno un dispositivo Internet, quale un firewall o un router, tra il computer e il server VPN non configurato per consentire la trasmissione di paccehtti del protocollo Generic Routinng Encapsulation (GRE).

Faccio una premessa...sempre prima che accadesse il fattaccio, dal mio computer mi connettevo.
Il mio router aziendale un Linksis WAG320N che consente il passtrough (ovviamente attivo). A sto punto mi viene da chiederti...devo aprire qualche particolare porta sul router?

Pazzo chi non ha mai fatto pazzie...
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 14/02/2015 :  12:55:14  Show Profile  Reply with Quote
Ciao,

ultima spiaggia, dopo di che mi sa che ti tocca rivolgerti ad un consulente specialista.

http://theitbros.com/isa-server-2006-rras-failing-806-gre-errors/

G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

nanopeppe
Junior Member

145 Posts

Posted - 16/02/2015 :  08:48:48  Show Profile  Reply with Quote
Ciao Isa, ma questo va bene anche per Isa Server 2004?

Pazzo chi non ha mai fatto pazzie...
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 16/02/2015 :  09:13:38  Show Profile  Reply with Quote
Ciao,

da quello che si legge no, ma essendo un problema di windows 2003 che poi si ripercuote su ISA io ci proverei.

G.

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page
   Topic Next Topic  
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso pi efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it  parte del network GITCA - Global IT Community Association