Site-to-site VPN ISA Server 2004

Har satt upp tva st win 2003 burkar som med hjälp av ISA Server 2004 kör L2TP/Ipsec tunnlar mot varandra vid begäran fran klienter pa resp internt nät. Servrarna kör DHCP bunden enbart till sina interna nät och varje gang vpn tunneln skapas tilldelar DHCP ip till vpn ocksa. Det sitter en klient bakom varje server. Klienterna kör win 2000 resp win xp pro.

Branch Main
xp pro ISA Server 2 ISA Server 1 win 2000
.2 <- 10.0.1.x -> .1 | .2 <- 192.168.1.x -> .1 | .1 <- 10.0.0.x -> .4

VPN 10.0.0.x
Branch Main
ISA Server 2 ISA Server 1
10.0.0.3 10.0.0.2 PPP Dial in RAS Server

VPN 10.0.1.x
Branch Main
ISA Server 2 ISA Server 1
10.0.1.5 PPP Dial in RAS Server 10.0.1.5

Nu till problemet jag kan med bada servrarna pinga bada klienterna 10.0.0.4, 10.0.1.2. Jag kan med xp pro(10.0.1.2) pinga server 1 pa ip 10.0.1.4 och jag kan med win 2000(10.0.0.4) pinga server 2 pa ip 10.0.0.3.
Däremot kan inte klienterna pinga varandra, far bara timeout. Brandväggarnas loggar säger bara: denied connection. Utan att referera till en regeln. Jag har med Network monitor tittat pa trafik pa servrarna, där tas det emot trafik fran klienten med original src ip och rätt dst ip. Däremot tas det inte emot nagot svar fran dst klienten. En annan skum sak jag märkte med network monitor var att varje gang klienten skickar paket har den src MAC adress XEROX 000000.

Nagon som har lösning pa problemet?

Ursäkta för mina daliga illustrationer, jag är inte sa van

jo jag kikade lite där och det gav inte mycket hjälp, rätt gammal sida.

Iaf, efter lite mer djupdykning i brandväggsloggarna fick jag fram detta felmeddelande för ping:

0xc0040014 fwx_E_FWE_SPOOFING_PACKET_DROPPED

Har nu även testat att stänga av all sort säkerhets funktionalitet i ISA, IDS, ip routing filter m.m. Funkar dock inte.