ISA 2006 VPN-Problem (ISA hört nicht auf Port 1723)

[th@mtit.de 10]

Hallo, ich bin der neue und komme jetzt wohl öfter mal vorbei :-)

 

Nun aber mal zu meinem Problem.

Ich habe hier eine ISA-Server-Appliance, und die möchte nicht so wie ich es will.Und zwar stellt sich der ISA mit dem VPN quer.

Der ISA ist VPN-Endpunkt, und über die ISA-MMC entsprechend konfiguriert.RRAS läuft, Zugriffsregeln für VPN-User werden über RRAS-Richtlinien gesteuert.

Soweit so gut...Leider funktioniert die Einwahl nicht.

Im ISA-Monitoring sehe ich das die Verbindungsversuche fehlschlagen (Failed Connection Attempt) allerdings wid nicht anhand einer Regel verweigert ( [system]Allow incoming VPN-Traffic )

nachdem ich mal ein netstat -anp tcp gemacht habe, konnte ich sehen, das der ISA gar nicht auf Port 1723 "lauscht".

 

ISA ist 2006, auf w2k3 sp 2 mit allen updates

Einwahl macht ein Router, auf dem Port 1723 und PPTP-Passthrough aktiviert sind.

 

Mittlerweile weiß ich nciht mehr weiter, da das lustige an der Sache ist, das es manchmal nach einem Neustart geht, manchmal wieder nicht.ab und an klappt es auch, wenn man die RRAS-Dienste neu startet, manchmal eben nicht.

 

Bin da voll ratlos mittlerweile, da es sich echt wie ein blinker verhält.

[Christoph35 10]

Hallo und willkommen an Board! :)

 

Schildere doch bitte mal, wie Du die Konfiguration für VPN vorgenommen hast.

Am besten mit verlinkten Screenshots.

 

Christoph

[th@mtit.de 10]

Moin

Screenshots kann ich leider nicht bieten, da es sich um ein Kundensystem handelt, und ich erst auf eine GotoAssist-Sitzung warten muss.Aber ich kann versuchen, es so detailiert zu beschreiben wie es eben möglich ist :)

 

Also als erstes mal in die ISA-Servr-Verwaltung

dort dann unter VPN

 

VPN-Client-Zugriff aktiviert

50 Verbindungen

enstprechende Gruppe eingetragen

PPTP aktiviert

User-Mapping nichts konfiguriert

 

Adresszuweisungsmethode

Internes Netz (DHCP)

Zugriffsnetzwerk Extern

Authentifizierung mit EAP oder Smartcard

Radius nichts konfiguriert

 

2 Benutzerdefinierte Firewallregeln erstellt ( einmal für externe Dienstleister und einmal externe Mitarbeiter)

Dafür habe ich 2 Gruppen angelegt, welche beide Mitglied der Gruppe für die Einwahlberechtigung sind.

 

So, nun ab ins RRAS

 

RAS-Richtlinien

ISA-Default-Policy

NAS-Port-Type = virtualVPN

Gruppe = entsprechende Gruppe, die sich einwählen darf

Profil bearbeiten --> Authentifizierung --> EAP-Methoden

entsprechend den Vorgaben mit RSA EAP authentifizierung eingestellt und an oberster Stelle eingetragen (SmartCard und EAP stehen noch drin)

 

Hoffe, ist detailliert genug :)

Im Grunde ist so ne Einrichtung am ISA ja ziemlich simpel. Aber wie gesagt, funktioniert wie ein Blinker ... mal gehts, mal nicht.

Das Hauptproblem liegt denke ich eher daran, das der ISA nicht auf den VPN-Port hört.

[Christoph35 10]

Wie lautet eigentlich die Fehlermeldung am VPN Client?

 

Christoph

[th@mtit.de 10]

Fehler 800: Es konnte keine Verbindung hergestellt werden

[Shandurai 10]

moin

gab es nicht vor kurzem ein update, was probleme mit isa und vpn ras gemacht hat?!

 

grüße!

[th@mtit.de 10]

jo, hatte ich auch was gelesen.ber ich meine, das war SP1 für w2k3 ... und hier haben wir SP2 ...

aber sicher bin ich da jetzt nicht 100% ob da nicht doch noch was aktuelles dabei sein könnte. ;)

zumindest gab es ein problem mit netframework3.5 SP1 ... aber d a ab es zum glück direkt einen patch zum patch :)

[Christoph35 10]

Mit Win 2003 SP2 kam Receive Side Scaling, das sollte auf einem ISA abgeschaltet werden, da es zu Problem führen kann.

 

An update to turn off default SNP features is available for Windows Server 2003-based and Small Business Server 2003-based computers

 

Christoph

[Thanquol 10]

um den Router mal als Fehlerquelle auszuschließen

 

klemm dich mal bitte ans externe Interface mit deinem Notebook/PC und versuche eine VPN Verbindung zum ISA mit der passenden IP herzustellen!

 

wenn das geht ist der Router Schuld :-)

[Shandurai 10]

nein nein nein, das hier mein ich ;-)

 

Marc Grote Blog Blogarchiv ISA Server 2006 - PPTP / RRAS Probleme mit Update KB956570

[th@mtit.de 10]

@Christoph35

danke für den Link, aber daran hat es nicht gelegen.

 

@HemLock

hab mal den Blog durchgelesen, und sieh da, das entsprechende Update ist auf dem ISA drauf.

Werde gleich mal testen, ob der weiterführende Link die Lösung bietet.

 

@Thanquol

Habe ich schon auf der Internen seite versucht,als derServer eingerichtet wurde.Aber ohne Erfolg. Kann leider nicht mal eben schnell hinfaren und was testen, denn es sid 150km eine Tour :)

[th@mtit.de 10]

So, leider hat das Script nicht die gewünschte Lösung gebracht. Hab nun die Nase voll gehabt, und habe einfah neu installiert, allerdings ohne den Patch.Nach Konfig-Export (Regelwerk only) und der neuinstallaiton war ich nach 2 Stunden fertig.Trotzdem danke für die ganze Hilfe.

[Hr_Rossi 10]

hallo

 

auch späte lösungen helfen hoffentlich andere :)

 

hatte genau das selbe problem:

folgendes hatt bei mir funktioniert:

 

 

 

Editier folgenden registry key:

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ReservedPorts

 

Füge hinzu 1723-1723 um den Port für pptp zu reservieren

 

lg

rossi

[djmaker 95]

Hmm,

 

EAP und Smartcard als Authentifizierung zu erlauben wenn man eine PPTP-Einwahl macht. . . . . . aber egal, vielleicht hilft es noch . . . . .