vader.darth 10 Geschrieben 5. Mai 2010 Melden Teilen Geschrieben 5. Mai 2010 Hallo Zusammen, ich stehe derzeit vor einem kleinen Problem dessen Fehlerursache mir ein wenig zu schaffen macht. Ich habe den Forefront TMG-Standard-Server in Betrieb genommen und habe unter anderem den VPN-Zugriff über PPTP konfiguriert. Ich habe die komplette VPN-Konfig 1:1 aus dem ISA2006 übernommen, die VPN-Konfiguration mit einem statischen Adresspool versehen und für die Gruppe "GP_VPN" berechtigt. Zudem habe ich Firewallrichtlinie für den gesamten ausgehenden Datenverkehr mit Berechtigung für VPN-Clients und Quarantäne-VPN-Clients konfiguriert. Was die Konfig angeht konnte ich keinen Fehler zum ISA2006 feststellen (wo alles wie gewohnt funktioniert). Jetzt zum Problem....ich kann eine VPN-Verbindung herstellen, bekomme auch aus dem statischen Adresspool eine IP-Adresse und auch den DNS-Server zugewiesen, jedoch kann auch auf keine Netzsource zugreifen und auch nicht pingen. Was muss ich bei der Konfiguration noch beachten? Auf der MS-Site habe ich auch nur die Standard-Konfig gefunden, jedoch keinen Hinweis auf meine Problemstellung. Vielen Dank schon mal im voraus. VG Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 6. Mai 2010 Melden Teilen Geschrieben 6. Mai 2010 hallo, der stat. IP Pool liegt im selben netz wie die adressen die du pingen willst ? das standard gateway des vpn clients zeigt in den tunnel ? du hast auch die firewallrichtlinie schon mal gelöscht und neu angelegt .. und testhalber alles erlaubt ? lg Zitieren Link zu diesem Kommentar
vader.darth 10 Geschrieben 6. Mai 2010 Autor Melden Teilen Geschrieben 6. Mai 2010 Der statische IP-Pool liegt außerhalb des Bereichs des internen Netz Intern 192.168.118/24 VPN 192.168.126/24 Standardgateway der VPN-Verbindung zeigt 0.0.0.0 und ist indentisch mit der VPN-Einwahl vom ISA2006 Firewallrichtline? Ich habe eine Firewallrichtlinie angelegt die wie folgt aussieht: - Gesamten ausgehenden Datenverkehr - Von: Quarantäne-VPN-Clients und VPN-Clients - Nach: Intern - Benutzer: Alle Benutzer - Inhaltstypen: Alle Inhaltstypen - Malewareüberprüfung: deaktiviert Die habe ich auch schon mehrmals angelegt. Ich habe mich da an den Einstellungen auf dem alten ISA orientiert. Liegt hier mein Denkfehler? VG Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 6. Mai 2010 Melden Teilen Geschrieben 6. Mai 2010 ok.. wenn du beim client mit vpn verbunden bist.. poste bitte mal "ipconfig -all " und "route print" lg Zitieren Link zu diesem Kommentar
vader.darth 10 Geschrieben 6. Mai 2010 Autor Melden Teilen Geschrieben 6. Mai 2010 Das wäre wie folgt: Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : rechnername1 Prim„res DNS-Suffix . . . . . . . : domain.net Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : domain.net PPP-Adapter domain: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : domain Physikalische Adresse . . . . . . : DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja IPv4-Adresse . . . . . . . . . . : 192.168.126.8(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.255 Standardgateway . . . . . . . . . : 0.0.0.0 DNS-Server . . . . . . . . . . . : 192.168.118.200 NetBIOS ber TCP/IP . . . . . . . : Aktiviert Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung 2: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft Virtual WiFi Miniport Adapter Physikalische Adresse . . . . . . : 00-22-FA-FE-19-7F DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja Mobiler Breitbandadapter Mobile Breitbandverbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : F3507g Mobile Broadband Driver Physikalische Adresse . . . . . . : 02-80-37-EC-02-00 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Verbindungslokale IPv6-Adresse . : fe80::3c14:37fb:df21:dc5e%16(Bevorzugt) IPv4-Adresse . . . . . . . . . . : 109.85.10.135(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 109.85.10.130 DHCPv6-IAID . . . . . . . . . . . : 453148727 DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-12-8E-FF-AF-00-24-7E-6A-5D-69 DNS-Server . . . . . . . . . . . : 139.7.30.126 139.7.30.125 NetBIOS ber TCP/IP . . . . . . . : Aktiviert Zitieren Link zu diesem Kommentar
vader.darth 10 Geschrieben 6. Mai 2010 Autor Melden Teilen Geschrieben 6. Mai 2010 Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Intel® WiFi Link 5100 AGN Physikalische Adresse . . . . . . : 00-22-FA-FE-19-7E DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja Tunneladapter isatap.{56039708-C8BF-41A1-95AE-7482454A1FD7}: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Tunneladapter Teredo Tunneling Pseudo-Interface: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Tunneladapter 6TO4 Adapter: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft-6zu4-Adapter Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Tunneladapter isatap.{292DF1CA-540F-4433-A055-3655ED8EF1E8}: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2 Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Tunneladapter LAN-Verbindung* 11: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft-6zu4-Adapter #3 Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja IPv6-Adresse. . . . . . . . . . . : 2002:6d55:a87::6d55:a87(Bevorzugt) Standardgateway . . . . . . . . . : 2002:c058:6301::c058:6301 DNS-Server . . . . . . . . . . . : 139.7.30.126 139.7.30.125 NetBIOS ber TCP/IP . . . . . . . : Deaktiviert Tunneladapter isatap.{AD2EA6AD-210A-4B04-8CFC-42A51BD73FAC}: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #4 Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Tunneladapter Reusable Microsoft 6To4 Adapter: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft-6zu4-Adapter #2 Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Tunneladapter isatap.{C6D7CCE9-E610-4877-A2D8-591E3F870425}: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #3 Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Zitieren Link zu diesem Kommentar
vader.darth 10 Geschrieben 6. Mai 2010 Autor Melden Teilen Geschrieben 6. Mai 2010 =========================================================================== Schnittstellenliste 25...........................domain 18...00 22 fa fe 19 7f ......Microsoft Virtual WiFi Miniport Adapter 16...02 80 37 ec 02 00 ......F3507g Mobile Broadband Driver 12...00 22 fa fe 19 7e ......Intel® WiFi Link 5100 AGN 1...........................Software Loopback Interface 1 22...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter 13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface 17...00 00 00 00 00 00 00 e0 Microsoft-6zu4-Adapter 21...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2 23...00 00 00 00 00 00 00 e0 Microsoft-6zu4-Adapter #3 20...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #4 19...00 00 00 00 00 00 00 e0 Microsoft-6zu4-Adapter #2 24...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #3 =========================================================================== IPv4-Routentabelle =========================================================================== Aktive Routen: Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik 0.0.0.0 0.0.0.0 109.85.10.130 109.85.10.135 4521 0.0.0.0 0.0.0.0 Auf Verbindung 192.168.126.8 31 93.104.236.221 255.255.255.255 109.85.10.130 109.85.10.135 4266 109.85.10.0 255.255.255.0 Auf Verbindung 109.85.10.135 4521 109.85.10.135 255.255.255.255 Auf Verbindung 109.85.10.135 4521 109.85.10.255 255.255.255.255 Auf Verbindung 109.85.10.135 4521 127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 4531 127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 4531 127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 4531 192.168.126.8 255.255.255.255 Auf Verbindung 192.168.126.8 286 224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 4531 224.0.0.0 240.0.0.0 Auf Verbindung 109.85.10.135 4522 224.0.0.0 240.0.0.0 Auf Verbindung 192.168.126.8 31 255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 4531 255.255.255.255 255.255.255.255 Auf Verbindung 109.85.10.135 4521 255.255.255.255 255.255.255.255 Auf Verbindung 192.168.126.8 286 =========================================================================== St„ndige Routen: Netzwerkadresse Netzmaske Gatewayadresse Metrik 0.0.0.0 0.0.0.0 192.168.118.1 0 =========================================================================== IPv6-Routentabelle =========================================================================== Aktive Routen: If Metrik Netzwerkziel Gateway 23 1140 ::/0 2002:c058:6301::c058:6301 1 306 ::1/128 Auf Verbindung 23 1040 2002::/16 Auf Verbindung 23 296 2002:6d55:a87::6d55:a87/128 Auf Verbindung 16 296 fe80::/64 Auf Verbindung 16 296 fe80::3c14:37fb:df21:dc5e/128 Auf Verbindung 1 306 ff00::/8 Auf Verbindung 16 296 ff00::/8 Auf Verbindung =========================================================================== St„ndige Routen: Keine Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 6. Mai 2010 Melden Teilen Geschrieben 6. Mai 2010 mach mal folgendes: ich denke mal es ist ein routing problem: der tmg muss auch eine IP im VPN netzwerk haben. erstelle am client folgenden eintrag route add 192.168.118.0 mask 255.255.255.0 192.168.126.X X steht für die TMG adresse. es sollte aber auch gehen wenn du 192.168.126.8 angibst sprich die ip aus dem stat. ip pool ! lg Zitieren Link zu diesem Kommentar
vader.darth 10 Geschrieben 6. Mai 2010 Autor Melden Teilen Geschrieben 6. Mai 2010 Auf dem alten ISA-Server hatte er immer die erste IP-Adresse aus der Range für den Server selbst genommen. Hab das mit Deinem route-Befehl auf dem Client auch mal durchgeführt, jedoch ohne Erfolg. Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 6. Mai 2010 Melden Teilen Geschrieben 6. Mai 2010 ??? was stellt diese permanente route dar ? St„ndige Routen: Netzwerkadresse Netzmaske Gatewayadresse Metrik 0.0.0.0 0.0.0.0 192.168.118.1 0 normalerweise sind solche route std. gateways ? löschen wirst du sie nicht können da kein interface im 118er netz ist. ist der haken bei der vpn verbindung (client): "Standardgateway für das Remotenetzwerk verwenden" gesetzt Zitieren Link zu diesem Kommentar
vader.darth 10 Geschrieben 6. Mai 2010 Autor Melden Teilen Geschrieben 6. Mai 2010 Ich weiß nicht was diese Route darstellt. Das Ding ist völlig nackig. Ich habe einen Server 2008 aufgesetzt, Netzwerkadapter konfiguriert, den TMG installiert, eine Webzugriffsregel erstellt und das VPN konfiguriert. Und dafür habe ich den Assistenten verwendet. Im Gegensatz zum ISA 2006 musste ich dann noch die VPN-Client-Regel händisch anlegen. Ansonsten ist da noch nichts passiert. Das Ding ist auch noch nicht produktiv. Ich kann aber aufgrund der MS-Seite und der dortigen Doku nicht wirklich einen Fehler feststellen, zumal ich den Server auf unterschiedlicher Hardware 2x installieren musste und auch 2x vor dem gleichen Problem stand. Es muss sich um eine Standardeinstellung oder Sicherheitseinstellung handeln. Oder könnte evtl. an einer Systemrichtlinie liegen? Ich bin zwar die Liste auch schon mind. 5x durchgegangen aber evtl. sieht man ja auch mal den Wald vor lauter Bäumen nicht. VG Michl Zitieren Link zu diesem Kommentar
vader.darth 10 Geschrieben 6. Mai 2010 Autor Melden Teilen Geschrieben 6. Mai 2010 Ehrlich gesagt weiß ich nicht was diese permanente Route darstellt. Der Server ist im Grunde "nackig". Ich musste ihn aufgrund von kurzfristigem Hardwaretausch 2x installieren, Server 2008 und TMG. Beide Male stand ich vor dem selben Problem. Außer dem Webzugriff, den VPN-Einstellungen mittels der vorgegebenen "Assistenten" und (was beim ISA2006 standardmäßig vorhanden war) die Firewallrichtlinie für den VPN-Client-Zugriff. Ist das ein Bug? Eine Security-Einstellung? Habe ich was bei den Systemrichtlinien übersehen was Microsoft beim Versionswechsel berücksichtigt (fälschlicherweise oder nicht) Soweit ich gesehen habe ist der Server auf aktuellsten Stand, Malewareerkennung ist auch ausgeschalten. Die Einstellungen am Client stimmen auch. Wenn ich die IP-Adresse vom alten ISA eintrage kann ich problemlos den Tunnel aufbauen. VG Michl Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 7. Mai 2010 Melden Teilen Geschrieben 7. Mai 2010 du sagst mit dem ISA funktioniert alles... wie schaut die Ipconfig des ISA aus.. ich persönlich glaube immer noch an ein routing problem. Zitieren Link zu diesem Kommentar
vader.darth 10 Geschrieben 10. Mai 2010 Autor Melden Teilen Geschrieben 10. Mai 2010 ich habe den route print beim alten ISA auch durchgeführt. Sieht komplett identisch aus...bis auf die Tatsache das da noch die IPv6-Konfig mit drin steht. Und die braucht man ja glaube ich für DirectAccess (wenn wir es bei uns implementieren sollten) Ich hätte beinahe gesagt es liegt an den Berechtigungen, aber die Standardregeln sind angelegt und mitprotokollieren kann ich da irgendwie nix. Na dann muss ich da mal weiterdocktern wenn ich wieder ein bisschen Zeit hab. Danke Dir für Deine Unterstützung. Zitieren Link zu diesem Kommentar
vader.darth 10 Geschrieben 11. Mai 2010 Autor Melden Teilen Geschrieben 11. Mai 2010 So, jetzt bin ich wieder einen Schritt weiter und konnte der Protokollierung doch was herauskitzeln. Zugelassene Verbindung SUSH105 10.05.2010 17:49:06 Protokolltyp: Webproxy (Forward) Status: 403 Verboten Regel: VPN ins interne Netz Quelle: VPN-Clients (192.168.126.6:49538) Ziel: Intern (suha101.domain.net 192.168.118.200:80) Anforderung: OPTIONS http://192.168.118.200/ Filterinformationen: Req ID: 0d287078; Compression: client=No, server=No, compress rate=0% decompress rate=0% Protokoll: http Benutzer: domain\username Verweigerte Verbindung SUSH105 10.05.2010 17:49:07 Protokolltyp: Firewalldienst Status: Die Richtlinienregeln lassen die Benutzeranforderung nicht zu. Regel: Standardregel Quelle: VPN-Clients (192.168.126.6:137) Ziel: Lokaler Host (255.255.255.255:137) Protokoll: NetBios-Namendienst Protokolltyp: Firewalldienst Status: 0x80072743 WSAENETUNREACH Regel: VPN ins interne Netz Quelle: VPN-Clients (192.168.126.6:49545) Ziel: Intern (snas101.domain.net 192.168.118.183:445) Protokoll: Microsoft CIFS (TCP) Benutzer: domain\username Warum wird der Vorgang geblockt? Ich habe doch Standard-Richtlinien dafür kreiert!?!? Muss da noch was in den Systemrichtlinien verändert werden, oder muss ich da noch gesonderte Zugriffsregeln anlegen? VG Michl Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.