IPSec VPN auf ISA 2k4 hinter FW (NAT)

[jvogler 10]

Nachdem mir vor lauter Sucherei schon fast die Augen rausfallen habe ich mich doch dazu entschlossen mein Problem mal zu posten:

 

Ziel ist es VPN-Verbindungen auf den Hauseigenen ISA Server einzurichten und zwar sowohl für externe Clients als auch Site 2 Site.

 

Der Netzwerkaufbau:

 

ADSL (feste IPs) -> Bingo DSL (Route) -> Servgate Edgeforce (NAT) -> DMZ -> ISA 2k4 (NAT) -> LAN

 

Am ISA habe ich L2TP/IPSec mit Preshared Key, Auth MS-CHAPv2 mit Windowsgruppen, eingerichtet und mit einem W2k3 Server (Windowsclient) aus der DMZ erfolgreich getestet.

An der Edgeforce habe ich eine unserer öffentlichen IPs mit den Protokollen ESP, l2tp , UDP 500, und UDP 4500 auf die externe IP des ISA gemappt.

 

Als nächstes wollte ich jetzt den Zugriff von meinem Heimserver (NAT hinter der Fritzbox) testen nur bekomme ich hierbei lediglich Fehler 678.

 

Beim mitsniffen per Etherreal ist zu erkennen dass der Client eine Mainmode-Verbindung aufbauen möchte, lt. Auskunft eines Dienstleisters ist aber aggressive Mode erforderlich.

 

Hat jemand ein ähnliches Szenario am laufen, bzw. kann mir weiterhelfen?

 

Gruß

Jochen

[Velius 10]

 

Beim mitsniffen per Etherreal ist zu erkennen dass der Client eine Mainmode-Verbindung aufbauen möchte, lt. Auskunft eines Dienstleisters ist aber aggressive Mode erforderlich.

 

 

 

Main Mode ist schon richtig, agressive ist eher aussergewöhnlich und eigentlich auch ein Sicherheitsrisiko...

 

Kuck mal hier:L2TP/IPsec NAT-T update for Windows XP and Windows 2000

[IThome 10]

Hast Du dem Client mit einem Regkey mitgeteilt, dass sich Initiator und Responder hinter einem NAT-Gerät befinden ?

The default behavior of IPsec NAT traversal (NAT-T) is changed in Windows XP Service Pack 2

[jvogler 10]

Ich habe "AssumeUDPEncapsulationContextOnSendRule" mit Wert "2 gesetzt und den Testclient (=Server 2k3 R2) durchgebootet, leider ohne Erfolg.

[IThome 10]

Funktionieren PPTP-Verbindungen ? Ich hab auch noch einen Hotfix für 2003 SP1 gefunden ...

VPN customers who use L2TP behind a NAT device cannot connect to a Windows Server 2003 SP1-based computer that is running Routing and Remote Access service

[jvogler 10]

Ich habe die Mappingpolicy an der Edgeforce erweitert und mit PPTP auf den ISA getestet, funktioniert wunderbar.

 

Den Hotfix habe ich geradeeben bei Microsoft angefordert.

[jvogler 10]

Der Hotfix konnte leider keine Abhilfe schaffen. Weiß langsam wirklich nicht mehr wo ich noch hinlangen soll...

[IThome 10]

Eventuell ist der Fehler noch in den ISA-Server Einstellungen zu suchen, nur kann ich Dir da leider nicht helfen

[jvogler 10]

Wie schon gesagt, vom W2k3 Server (SP1) aus der DMZ läufts wunderbar. Ich habe jetzt noch einen XP SP2 Laptop (Domänenclient) testweise reingehängt = negativ!

PPTP wie auch vom Homeserver aus kein Problem. Jetzt blick ich langsam überhaupt nicht mehr durch...

 

Am DMZ Server habe ich keine Veränderungen durchgeführt, am Homeserver und am XP Lappi die Registrykeys gemäß der Microsoft Artikel.

 

Irgendwo muss ich gewaltig was übersehen haben, nur wo?!

[Jian 10]

 

 

An der Edgeforce habe ich eine unserer öffentlichen IPs mit den Protokollen ESP, l2tp , UDP 500, und UDP 4500 auf die externe IP des ISA gemappt.

 

 

Ist beim ESP-Protokoll das IP-Protokoll ID 50 mit dabei? Kannst du das auf der Edgeforce nachvollziehen? Dieses Protokoll muss zugelassen sein für ESP.

 

Servus

 

Jian

[jvogler 10]

ESP und GRE (für PPTP) sind bei den Mappingprotokollen dabei. Im Log erscheinen auch keine "Deny-Einträge" also muss ich davon ausgehen dass die Edgforce ESP auch durchlässt.