Cisco VPN Client über ISA 2004

[tabbbi 10]

Hallo,

 

ich hoffe ihr könnte mir weiterhelfen. :)

 

folgende Aufstellung:

VPN-Client --> ISA Server 2004 <-------> irgendeine Cisco PIX ----> Netz wo ich hin will

 

So, hab also nach einer Anleitung von MS (allerdings für IS 2000, aber die freizugebenden Protokolle sollten ja identisch sein...) folgende Ports aif meinem ISA freigegeben:

 

UDP 500 Senden Empfangen

UDP 4500 Senden Empfangen

UDP 10000 Senden Empfangen

 

Auf meinem VPN-Client hab ich IPSEC über UDP (NAT /PAT) eingestellt.

 

So, dann hab ich den ersten Versuch gewagt und - oh Wunder - der VPN Client hat tatsächlich eine Verbindung zur Gegenseite hingekriegt. Aber das war aber dann auch schon das einzige was geht: RDP, PING etc. - es geht nichts!!! Die Routen scheinen aber alle richtig eingetragen zu sein.

 

#Um auszuschließen das es am ISA liegt hab ich dann einfach mal den gesamten Datenverkehr zugelassen - immer noch gleiches Problem.

 

Wenn ich aber per DFÜ in Inet gehe (also den ISA umgehe) und dann die VPN-Verbindung aufbaue klappt alles wunderbar.

 

Vermute ja irgendwie das es am NAT liegt oder an der Gegenseite (die können mir aber nicht weiterhelfen, da sie die PIX nicht selbst eingerichtet haben).

 

Hatte jemand schonmal ein ähnliches Problem und kann mir weiterhelfen?

 

Vielen Dank!!

 

lg tabbbi

[Hr_Rossi 10]

hi

 

was machst du mit port 10000 :suspect:

 

die fehlt noch der port 1701 für den Tunnel !

 

mach den mal auf !

 

lg

rossi

[tabbbi 10]

@rossi

hab das nach diesem artikel eingerichtet: http://support.microsoft.com/default.aspx?scid=kb;en-us;812076

da stand das man Port 10000 braucht.

 

Wie schon geschrieben hatte ich ja schonmal den gesamten Datenverkehr zugelassen - und es ging trotzdem nicht - an Port 1701 liegt es definitiv nicht!

 

Trotzdem Danke für deine Antwort! Vielleicht hast du ja noch ne andere Idee?!

 

lg tabbbi

[Hr_Rossi 10]

hi

 

tja dann wird NAT daran schuld sein !

Hast du Nat-t konfig.

 

hier ein link !

http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B818043

 

http://www.isaserver.org/articles/IPSec_Passthrough.html

 

lg

rossi

[tabbbi 10]

Hab mir die Artikel mal angeschaut.

 

Hab die Vorgehensweise beim ersten mit dem Registrierungsschlüssel nachgebildet - leider ohne sichtbaren erfolg.

Nach dem Durchlesen des 2. bin ich mir relativ sicher, dass das Problem auf der Gegenseite liegen muss. Da werd ich mir wohl doch über 5 Ecken die Informationen dazu beschaffen müssen :-(

 

@rossi: Vielen Dank für deine Mühe!!!

 

lg tabbbi

[Aktaion 10]

Nicht unbedingt, kann es sein das dein ISA IP Fragmente filtert? Wenn ja - schalte es ab und teste deine Verbindung nochmal. Zudem sollten folgende Regeln ausreichen.

 

Quelle: Client IP

Ziel: Cisco PIX IP

Protokolle:

ausgehend

500 UDP ISAKMP

4500 UDP NAT-T

10000 UDP CISCO Tunnel

 

Was sagen die Logs des ISA Servers ?

[tabbbi 10]

Hallo Aktaion,

 

mh, ne, der Punkt "IP-Fragmente sperren" ist nicht angehakt - daran wirds also auch nicht liegen.

 

Aber danke für deine Hilfe! Wenn du noch so ne Idee hast bitte mitteilen!!!

 

lg tabbbi

[Aktaion 10]

Hab eben nochmal auf unserem ISA geschaut:

 

Folgende Protokolle (Ich weiß leider nicht mehr, ob die auch in der Standard Version vorkonfiguriert sind)

IKE-Cient               
UDP 500 Senden und Empfangen

IKE-Nat-T-Client
UDP 4500 Senden und Empfangen

CISCO
UDP 10000 Senden und Empfangen (wobei Cisco diesen Port für Nat-T verwendet)

IPsec-ESP
Protokoll 50 Senden und Empfangen

Und hat mit Cisco nix zu tun aber zum Verbinden mit anderen MS VPN Servern

L2TP-Client
UDP 1701 Senden und Empfangen

 

Zudem fand ich auf den Seiten von isaserver.org folgendes...

 

As far as I know, the NAT-T is enabled by default on the Cisco VPN Concentrator 3000 serie. However, for the Cisco PIX you have to enable the NAT-T support explicitely with the command "isakmp nat-traversal [natkeepalive]". The default keep-alive is 20 seconds and ranges from 10 to 3600 seconds. Also, make sure that the feature Transparent Tunneling is enabled on the Cisco VPN Concentrator.

 

EDIT: Und was mir grade noch einfällt beim definieren der Protokolle unbedingt auf die Optinen deiner UDP Definition Achten es gibt "Empfangen und Senden" und "Senden und Empfangen" !!! Der Flüchtigkeitsfehler hat mich auch schonmal Nerven gekostet...

[tabbbi 10]

Hallo Aktaion,

 

Danke für deine Hilfe! Das mit "Senden und Empfangen" dürfte richtig sein - wenn die Anleitung stimmt :)

 

Dein Zitat bezieht sich ja auf die Einstellungen an der PIX. Mein Problem ist das ich da gar nicht weiß was dort eingstellt ist - werde wohl doch dort mal anrufen müssen, die das eingerichtet haben! Ansonsten werd ich hier nicht viel weiter kommen!

 

Vielen Dank dir!

 

lg tabbbi

[Markus Bantel 10]

Hallo ich habe auch schon alle Ports freigegeben und bei mir klappt auch die Anmeldung, aber dann läuft kein Traffic.

[tabbbi 10]

Hallo Markus,

 

das Problem scheint das gleiche zu sein. Wir hatten auch schon bei MS angerufen. Es scheint schon am ISA zu liegen. Bei uns lag es daran, dass wir zusätzlich auf dem ISA eine Site-to-Site Verbindung zu einer anderen Location aufgebaut hatten. Irgendwie kommt der ISA damit nicht klar. Wenn wir diesen Tunnel gelöscht hatten ging es. Das ist aber für uns auch keine richtig Lösung gewesen.

 

Vielleicht ist es ja bei dir ähnlich?

 

tabbbi