[WAIT] ISA2006 :: Problème d'acces via ISA server

[sazpac]

Bonjour,

J'ai créer une VPN entre deux sites distanct (site A) et (site B), j'ai mis ISA-2006 dans le site (A) entre routeur et LAN, j'ai crée une règle avec tous protocoles sortant, DE (local Interne et hote locale) A (hote locale, plage d'adresse site(B) ).

Du site (A) j'arrive à pinguer sur le site (B).
mais du site (B) je n'arrive pas à pinguer sur Lan site (A)
par contre j'arrive à pinguer sur le routeur site (A) et la carte reseau de ISA-2006 côté routeur.

Mons ISA-2006 a deux cartes réseau.


Merci d'avance de votre aide pour accéder à mon reseau lan site (A).

[oussema]

Bonjour,

Le VPN Site à Site mis en place est-il Configuré sur ISA Server?

Cordialement,

[alex117]

Bonjour,

Afin de bien comprendre pourrais tu nous mettre un schéma simplifié de ton réseau comprenant l'adressage et les routeurs stp ?
As-tu un ISA 2006 sur le site B ?
Ton serveur ISA 2006 est en SP1 ? l'OS de ton ISA est 2003 R2 SP2 ? As-tu des messages d'erreurs dans la journalisation ? etc...

Dans l'attente de tes réponses,
Alex

[sazpac]

Bonjour,

Pour Oussama : je n'ai pas installé de VPN sur ISA 2006

pour Alex 117 :

Site (A):
Reseau Lan : 172.17.200.0
ISA 2006 : 172.17.200.252 côté Lan 172.17.20.253 côté Routeur Cisco
Routeur Cisco : 172.17.200.254
ISA est installé sur 2003 R2 : erreur evenement 8003.
par contre j'ai une Erreur d'evenement 2089 sur mon serveur principale AD 2003 R2

Site(B)
Reseau Lan : 192.168.2.0
Routeur : 192.168.2.254

[oussema]

Bonjour,

Dans ce cas c'est surement la relation NAT dans ISA qui empêche le Ping du site(B) vers le site(A) et ce qui explique le passage du Ping du Site(A) vers le site(B).
Votre routeur VPN joue t-il le rôle d'un pare feu aussi?
Si oui, Commencez à configurer ISA en tant que pare feu arrière.

Cordialement,

[sazpac]

Rebonjour,

Le par feu de mon routeur VPN n'est pas configué (desactivé).
le reseau ISA est configuré en périmetre.

Merci

[oussema]

Bonsoir,

OK,
Personnellement je vois deux solutions :

1)
Dans la console ISA, Configuration, Réseaux, Règles de Réseaux, Modifier la Règle "Accès Internet" du NAT vers Routage à Condition que le NAT soit réalisé par votre routeur.
Ensuite testez la communication entre les deux Site
2)
La deuxième solution que je préfère (qui facilite l'administration) est de monter le tunnel VPN directement sur ISA
-Publier ou rediriger les ports du tunnel VPN vers l'IP du serveur ISA
-Configurer ISA pour monter le tunnel VPN avec le site distant (que ce soit IPSEC ou L2TP ou bien PPTP si c'est possible)
-Apres que le tunnel soit monté vous n'avez qu’à créer les règles d'accès nécessaires entre le LAN et la Plage du réseau VPN Site à Site

Cordialement,

[alex117]

Bonjour Sazpac,

As-tu pu réaliser et analyser les solutions proposés par oussema ? (règles réseaux et VPN avec ISA directement)
Peux-tu nous indiquer le résultat si tu as eu le temps de réaliser ces actions ?

Merci et bonne journée,
Alex117

[sazpac]

Bonjour,

Je m'excuse pour le retard,
J'ai testé la 1ière solution, je n'arrive pas à pinguer.
Pour la 2ème solution je ne peut pas l'opter parce que j'ai déjà une 3ème connexion VPN sur le routeur du site (A),
je m'explique
sur site (A)

Routeur avec deux connecteurs ADSL
Une connexion sur site (B)
Une autre connexion sur site (C)
ISA est connectée entre le routeur et le réseau Lan
J'arrive à me connecter sur Site (C) l'inverse je n'ai pas besoin.
Par contre je cherche le réseau du site (B) à se connecter sur mon site (A)

Dans ISA / Reseau /régle de reseau / j'ai creé une regle en Nat ou Routage
réseau source : plage d'adresse site (B)
réseau destination : plage d'adresse site (A) ou Interne

J'espere que j'ai pas mis d'erreur.

[oussema]

Bonjour,

Je m'excuse pour le retard,
J'ai testé la 1ière solution, je n'arrive pas à pinguer.
Pour la 2ème solution je ne peut pas l'opter parce que j'ai déjà une 3ème connexion VPN sur le routeur du site (A),
....
J'arrive à me connecter sur Site (C) l'inverse je n'ai pas besoin.
Par contre je cherche le réseau du site (B) à se connecter sur mon site (A)

Dans ISA / Reseau /régle de reseau / j'ai creé une regle en Nat ou Routage
réseau source : plage d'adresse site (B)
réseau destination : plage d'adresse site (A) ou Interne

J'espere que j'ai pas mis d'erreur.

Bonsoir,

Bon pour les tests j'aimerai partir avec une configuration par défaut d'ISA, pour cela effectuer une sauvegarde de ISA ensuite essayer de supprimer le réseau "plage d'adresse site (B)" et supprimer les règle réseau que vous avez créer.
Comme j'ai précisé précédemment, Dans la console ISA, Configuration, Réseaux, Règles de Réseaux, Modifier la Règle "Accès Internet" du NAT vers Routage
Ensuite créer une règle d'accès qui autorise le Ping depuis "internet" vers le réseau "interne"
Créer aussi une autre règle qui autorise le Ping depuis le réseau "interne" vers le réseau "internet"
Activer la journalisation d'ISA et commencer le test PING entre les deux sites vpn
Le Ping passe??? Sinon existe t-il des entrées dans la journalisation d’ISA qui bloque le trafic de nos tests???

Cordialement,