ISA 2006 拒绝 VPN DHCP 请求,认为其为欺骗

ISA 2006 拒绝 VPN DHCP 请求,认为其为欺骗

我正在为我的 AD 控制网络运行带有 PPTP VPN 的 ISA 2006。DHCP 位于 ISA 服务器本身上,身份验证由位于 DC 上的 RADIUS (NPS) 完成。

现在我的 VPN 客户端可以连接、访问本地 DNS,并且可以 ping ISA、DC 和其他客户端。

这就是奇怪的地方。我注意到,尽管如此,ipconfig 仍显示以下内容:

PPP adapter North Horizon VPN:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : North Horizon VPN
   Physical Address. . . . . . . . . :
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 10.42.4.7(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.255
   Default Gateway . . . . . . . . . : 0.0.0.0
   DNS Servers . . . . . . . . . . . : 10.42.1.10
   NetBIOS over Tcpip. . . . . . . . : Enabled

于是我查看了我的 ISA 日志,查看了 DHCP 请求和回复,结果发现我的 VPN 客户端被拒绝了,因为 ISA 认为这是一个欺骗。以下是日志中的一些相关信息(VPN 子网为 10.42.4.0/24):

Client IP: 10.42.4.6
Destination: 255.255.255.255:67
Client Username: (blank)
Protocol: DHCP (request)
Action: Denied Connection
Rule: (blank)
Source Network: VPN Clients
Destination Network: Local Host
Result Code: 0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED
Network Interface: 10.42.4.11
---------------------------------------------------------
Original Client IP: 10.42.4.6
Destination: 10.42.1.1
Client Username: (valid user)
Protocol: PING
Action: Initiated Connection
Rule: Allow PING to ISA
Source Network: VPN Clients
Destination Network: Local Host
Result Code: 0x0 ERROR_SUCCESS
Network Interface: (blank)

我不确定这个 10.42.4.11 网络接口是什么 - 它肯定不是我设置的 - 直到我在“IP 路由”>“常规”下的“路由和远程访问”中看到它作为一个名为“内部”的接口绑定到同一个 IP 地址。我还注意到,由于 ISA 从 DHCP 中为 VPN 获取 10 个 IP 地址块,因此它保留了 10.42.4.2-11。但我不确定这是否意味着什么。

感谢您的帮助。

答案1

我的理解是,路由表最多需要 5 秒钟才能更新新 VPN 客户端的 IP 地址,因此在这段时间内收到的数据包将被丢弃,作为欺骗数据包。请参阅此 forums.isaserver.org 帖子

建议的解决方案是添加这个奇怪的注册表项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAT\Stingray\Debug\FWSRV]
"FWS_PNP_IPHELPER_QUITE_PERIOD"=dword:000005dc

我有禁用欺骗检测在 ISA Server 2004 安装中使其正常工作。

答案2

我没有发现你的 ipconfig 有什么问题,isa 服务器使用 dhcp 为 vpn 客户端内部获取 ip,然后它在内部创建连接并将其移交给 vpn 客户端。因此 dhcp 仅用于内部目的。因此,即使 vpn 客户端的 ip 是通过 dhcp 生成的,它也将显示为非 dhcp,因为这就是移交的方式。

我希望我有正确的理解-:)

相关内容