Isa 2006 Site to Site

[Hr_Rossi 10]

Hallo meine lieben,

 

so ich bin mit meinem VPN Latein am Ende:

 

Habe hier eene ISA 2006 auf meiner Seite.

Gegenüber ist irgend so eine IPCop Firewall.... :suspect:

 

Die Einstellunegn passen der Tunnel steht.

Das Subnet gegenüber kann meinen Terminalserver hier in meinem Subnet pingen das funktioniert (und auch retour).

Was nicht funktioniert ist die RDP-Session.....

Habe alle Protokolle im Tunnel schon zugelassen.... serververöffentlichung alles probiert...

er bekommt rdp mäsig einfach keine verbindung....

 

Hier die IPsec Parameter:

 

Phase1:

 

Verschlüsselung: 3DES

Integrität: SHA1

DH-Gruppe: DH 2 (1024Bit)

 

Authentifizierung un Erstellung eines neuen Schlüssels alle 28800sek (8 Stunden) !!

 

 

Phase2:

 

Verschlüsselung: 3DES

Integrität: SHA1

Sitzungschlüssel alle 3600sek (1 Stunde) NEU !

 

PFS DH-Gruppe 2 (1024Bit) !!!

 

lg

rossi

[grizzly999 11]

Könnte ein MTU-Size Problem sein. Hast du schon mal nit dem Netzwerkmonitor auf einem der beteiligten Rechner gesnifft, ob du IP-Pakte mit gesetztem DF-Flag findest?

Auf jeden Fall würde ich auf den Servern auf beiden Seiten den Hofix von hier Installing security update MS05-019 or Windows Server 2003 Service Pack 1 may cause network connectivity between clients and servers to fail

einspielen, das hat bei uns und anderen Kunden geholfen

 

 

grizzly999

[Hr_Rossi 10]

Hi Grizzly,

 

Thx für die schnelle Antwort...

Werde dies mit dem patch mal probieren...

 

meine Vermutung ist aber das die Schlüssel nach einiger zeit auseinander laufen in phase2...

werde dort mal PFS ausschalten schau ma mal !

 

Aber MTU könnte genau so dran schuld sein ...

 

lg

rossi

[grizzly999 11]

Wäre es ein Schlüsselproblem, würde gar keine Verbindung mehr stehen und auch kein ping funktionieren. Man müsste dann im ISA auch sehen, dass die Verbindung weg ist.

 

 

grizzly999

[Hr_Rossi 10]

das stimmt natürlich mit den schlüsseln,...

 

aber das seltsame ist ich sehe eine VPN-standort-zu-standort in sitzungen bei überwachung, obwohl dort gar kein tunnel aktiv ist...

 

wieso bleibt eigentlch die sitzung bestehen wenn der VPN Tunnel gar nicht mehr steht ???

 

lg

[grizzly999 11]

Meine bisherige Erfahrung ist, wenn die Verbindung als Sitzung angezeigt wird, steht sie auch. Wobei es bei es der Anzeige auch zu mehreren Sekunden Verzögerungen kommen kann.

 

grizzly999

[Hr_Rossi 10]

sorry grizzly,

 

aber bei mir ist es definitv so das die sitzung agezeigt wird obwohl der tunnsel sicher schon ein paar stunden nicht merh steht (von der anderen seite betrachtet)

 

hab mir das mit der PMTU und den Black Hole Routern durchgelesen klingt vielversprechen, würde einiges erklären...

 

lg

[grizzly999 11]

Die wahrscheinlichste Ursache ist die MTU Size und die BlackholeDetection, vor allem schlägt das dann zu, wenn die Verbindung des Providers auch nur teilweise dort über ein VPN läuft, also dann in Folge VPN over VPN stattfindet.

 

Das mit der Sitzung: Man beachte, dass jede Seite einen Tunnel aufbaut, und dass wenn in eine Richtnug der Tunnel wegbricht, der in die andere Richtung unabhängig davon weiterhin stehen kann, und auf einer Seite dann auch eine Sitzung angezeigt wird.

 

grizzly999

[Hr_Rossi 10]

Hi

 

Funktioniert !

MTU war schuld....

 

Habe es nicht mit dem Eintrag EnablePMT... ereldigt sondern mit einer statischen MTU

auf der NIC des ISA die ins INET zeigt !

 

lg

rossi