sergey vasin

The IT blog

Совет от техподдержки: Site-to-Site IPSec туннель между TMG 2010 на VMWare и Cisco – Forefront TMG (ISA Server) Product Team Blog

leave a comment »

Вы когда нибудь сталкивались с проблемами, настраивая VPN туннель между Microsoft Forefront Threat Management Gateway 2010 (TMG 2010) и устройством Cisco? Если так, возможно сотрудник Microsoft Suraj Singh сможет вам помочь. Он является автором еще одной замечательной статьи в TechNet Wiki, в которой он рассказывает о том, с чем ему пришлось столкнуться и какие действия он предпринял для решения проблемы.

Вы можете найти ее по следующей ссылке:

Site to site IPSEC tunnel Between TMG 2010 on VMware and Cisco: http://social.technet.microsoft.com/wiki/contents/articles/3928.site-to-site-ipsec-tunnel-between-tmg-2010-on-vmware-and-cisco.aspx

Как и в случае с любой другой статьей в TechNet Wiki, если у вас есть что добавить, вы можете это сделать, зайдя под своей учетной записью и нажав кнопку Edit.

Автор:

J.C. Hornbeck | Knowledge Engineer | Management and Security Division

Оригинал:

http://blogs.technet.com/b/isablog/archive/2012/08/15/support-tip-site-to-site-ipsec-tunnel-between-tmg-2010-on-vmware-and-cisco.aspx

Site-to-Site IPSec туннель между TMG 2010 на VMWare и Cisco – TechNet Wiki

Проблема и предыстория:

Не так давно я работал дан делом, где мы пытались установить туннель между TMG 2010 на VMWare и устройством Cisco. Мы сконфигурировали обе стороны с одинаковыми параметрами IPSec в соответствии со статьей http://technet.microsoft.com/en-us/library/dd441072.aspx. После завершения настройки мы протестировали туннель и возможность подключения через него, ничего не вышло. После того, как мы удостоверились, что настройки на обеих сторонах действительно совпадают, мы решили собрать побольше данных для определения причины нашей неудачи.

Сбор данных:

Мы использовали TMG data packager с шаблоном VPN в режиме repro, в то время, как пытались подключиться к одной из машин на удаленном конце туннеля. TMG data packager можно скачать по ссылке http://www.microsoft.com/download/en/details.aspx?id=17730. Инструкции по использованию можно найти здесь http://blogs.technet.com/b/sooraj-sec/archive/2010/04/10/instructions-for-isa-data-packager-to-collect-data-in-repro-mode.aspx. Этот пост был написан для ISA data packager с использованием шаблона web proxy, в нашем же случае мы будем использовать шаблон VPN.

Анализ данных:

В логах IKEEXT мы обнаружили следующее:

[0]03FC.057C::07/15/2011-01:56:47.308 [ikeext] 0|x.x.x.x|Looking up MM policy for IKE
[0]03FC.057C::07/15/2011-01:56:47.308 [ikeext] 0|x.x.x.x|Policy
GUID: {2c632cdf-b71a-43ed-a4d0-ca051748a943}
LUID: 0x8000000000000012
Name: S2S tunnel to network xx
Description: (null)
Flags: 0x00000000
Provider:
Provider data:
Type: IKE Main Mode
Soft expiry: 86400
InitiatorImpersonationType: None
Auth methods: 1
— 0 —
Type: Preshared Key
Key:
00000000 31 32 33 34 35 36 x
Proposals: 1
— 0 —
Cipher algorithm:
Type: 3DES
Key length: 0
Rounds: 0
Integrity algorithm:
Type: SHA1
Max lifetime (sec): 7200
DH group: 2
QM limit: 0
Flags: 0x00000000
MaxDynamicFilters: 5
[0]03FC.0B70::07/15/2011-01:56:47.309 [user] |NULL|IkeProcessAcquireDispatch failed with HRESULT 0x80073601(ERROR_IPSEC_IKE_NO_POLICY)
[0]03FC.057C::07/15/2011-01:56:47.310 [ikeext] 0|x.x.x.x|Construct IKEHeader
[0]03FC.057C::07/15/2011-01:56:47.310 [ikeext] 0|x.x.x.x|Initializing Kerberos SSPI
[0]03FC.057C::07/15/2011-01:56:47.310 [user] |x.x.x.x|IkeFindAuthConfig failed with Windows error 87(ERROR_INVALID_PARAMETER)
[0]03FC.057C::07/15/2011-01:56:47.310 [user] |x.x.x.x|IkeFindAuthConfig failed with HRESULT 0x80070057(ERROR_INVALID_PARAMETER)
[0]03FC.057C::07/15/2011-01:56:47.310 [user] |x.x.x.x|IkeDetermineSspiInfo failed with HRESULT 0x80070057(ERROR_INVALID_PARAMETER)
[0]03FC.057C::07/15/2011-01:56:47.310 [user] |x.x.x.x|IkeCreateSspiIke failed with HRESULT 0x80070057(ERROR_INVALID_PARAMETER)
[0]03FC.057C::07/15/2011-01:56:47.310 [ikeext] 0|x.x.x.x|WFP free sspi 0000000002F4BF20
[0]03FC.057C::07/15/2011-01:56:47.310 [user] |x.x.x.x|IkeGetSspiContext failed with HRESULT 0x80070057(ERROR_INVALID_PARAMETER)
[0]03FC.057C::07/15/2011-01:56:47.310 [ikeext] 0|x.x.x.x|Construct SA
[0]03FC.057C::07/15/2011-01:56:47.311 [ikeext] 0|x.x.x.x|AUTHIP keying module is not enabled for traffic
[0]03FC.057C::07/15/2011-01:56:47.311 [ikeext] 0|x.x.x.x|IKE not sending co-existence Vendor ID
[0]03FC.057C::07/15/2011-01:56:47.311 [ikeext] 0|x.x.x.x|Construct VENDOR type MS NT5 ISAKMPOAKLEY
[0]03FC.057C::07/15/2011-01:56:47.311 [ikeext] 0|x.x.x.x|Construct VENDOR type RFC 3947
[0]03FC.057C::07/15/2011-01:56:47.311 [ikeext] 0|x.x.x.x|Construct VENDOR type draft-ietf-ipsec-nat-t-ike-02

После этого Main mode и Quck mode установились в одном направлении. Далее мы получили следующее:

[0]03FC.0F84::07/15/2011-01:57:50.643 [ikeext] 1|x.x.x.x|Peer sent INVALID_ID_INFORMATION notify
[0]03FC.0F84::07/15/2011-01:57:50.643 [user] |x.x.x.x|Peer failed with Windows error 13825(ERROR_IPSEC_IKE_NO_POLICY)
[0]03FC.0F84::07/15/2011-01:57:50.643 [ikeext] 1|x.x.x.x|ProcessNotifyData: mmSa 0000000002F4BAD0 cookie f6d386de state 6 messId 0
[0]03FC.0F84::07/15/2011-01:57:50.643 [ikeext] 1|x.x.x.x|Cleaning up mmSa: 0000000002F4BAD0. Error 13825(ERROR_IPSEC_IKE_NO_POLICY)
[0]03FC.0F84::07/15/2011-01:57:50.643 [ikeext] 1|x.x.x.x|QM done. Cleaning up qmSa 0000000002F4DC30. Error 13825(ERROR_IPSEC_IKE_NO_POLICY)
[0]03FC.0F84::07/15/2011-01:57:50.643 [ikeext] 1|x.x.x.x|Completing Acquire for ipsec context 2
[0]03FC.0F84::07/15/2011-01:57:50.643 [ikeext] 1|x.x.x.x|IkeFreeAcquireContext: Freeing acquire 0000000002F4C170
[0]03FC.0F84::07/15/2011-01:57:50.671 [ikeext] 1|x.x.x.x|IKE diagnostic event:
Event Header:

Timestamp: 1601-01-01T00:00:00.000Z
Flags: 0x00000100
IP version field set
IP version: IPv4
IP protocol: 0
Local address: 0.0.0.0
Remote address: 0.0.0.0
Local Port: 0
Remote Port: 0
Application ID:
User SID:
Failure type: IKE/Authip Quick Mode Failure
Type specific info:
Failure error code:0x00003601
No policy configured

Что касается “No policy configured”, мы уже убедились, что диапазоны адресов на обеих сторонах сконфигурированы верно. См.: http://blogs.technet.com/b/sooraj-sec/archive/2011/06/20/ipsec-site-to-site-tunnel-between-tmg-and-cisco-fails-another-scenario.aspx.

Решение/Обходной путь:

После некоторых поисков, я обнаружил старые дела, где подобная проблема возникала при использовании виртуальных сетевых карт VMWare. Мы сфокусировали свое внимание на этой области, поменяли виртуальные сетевые адаптеры и настроили виртуальный свитч на разрешение использования Promiscuous Mode. После этого мы еще раз попробовали установить соединение и на этот раз все получилось.

Автор:

Suraj Singh

Оригинал:

http://social.technet.microsoft.com/wiki/contents/articles/3928.site-to-site-ipsec-tunnel-between-tmg-2010-on-vmware-and-cisco.aspx


Страницы в социальных сетях:

Twitter: https://twitter.com/vsseth
Facebook: https://fb.com/inpowershell
VKontakte: https://vk.com/inpowershell


Реклама

Written by Сергей Васин

Август 16, 2012 в 12:00

Опубликовано в isablog

Tagged with

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s