DanielHH 10 Geschrieben 17. Februar 2006 Melden Teilen Geschrieben 17. Februar 2006 Hallo liebe MCSEler, ich habe hier bei einem Kunden den ISA 2004 laufen, der funktioniert so weit auch ganz toll. Was nicht funktioniert, scheint das korrekte Routing zu sein, da tun er und ich uns sehr schwer. Folgende Konstellation: ISA2004 mit zwei Netzwerkkarten 1: 192.168.176.16, virtuelle IP: 192.168.199.1 2: Externe IP Lokales Netz 192.168.176.0/23 Clients hinter dem ISA haben den ISA als Standard-GW Der Kunde greift über einen VPN Router auf ein externes Netz zu: VPN-Router: 192.168.199.254 Externes Netz: 172.18.1.0 Vom ISA Server aus funktioniert das ganze ohne Probleme. Ein Ping auf die 172.18.1.1 geht direkt durch. Von einem Rechner HINTER dem ISA geht es nicht. Der Rechner bekommt eine Zeitüberschreitung, im Überwachungslog steht recht kommentarlos "Verb. verweigert". In diesem Zusammenhang steht auch noch ein anderes Problem. Auf dem ISA Server ist ein PPTP-Zugang eingerichtet. Die Gegenseite verwendet Windows-Routing und RAS (ohne ISA) für die VPN-Einwahl, was auch funktioniert. Allerdings kann NUR der Rechner, von dem aus die Verbindung initiiert wurde auf das VPN Netz zugreifen. Als der ISA noch auf 2000 war, konnten auch die anderen Rechner in dem Fremdnetz über den Windows-Router in das lokale Netz hier zugreifen. Seit ISA 2004 nicht mehr.. Zwei Probleme, die selbe Ursache? Zu hülf. :( Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 17. Februar 2006 Melden Teilen Geschrieben 17. Februar 2006 Hi, beim ISA 2004 sind auch Verbindungen via VPN den Firewall-Regeln unterworfen, im Gegensatz zu ISA2K. Daher muss es eine Regel geben, die PING aus dem Internen Netz in das andere Netz zulässt. Dass es vom ISA aus geht, liegt daran, dass es in der System-Policy eine entsprechende Regel gibt, die Ping vom ISA in andere Netze zulässt. Christoph Zitieren Link zu diesem Kommentar
DanielHH 10 Geschrieben 17. Februar 2006 Autor Melden Teilen Geschrieben 17. Februar 2006 Heißt das, ich erstelle eine Firewallrichtlinie: Erlaube <Protokoll> von Intern nach VPN-Clients ? Oder muß ich ein eigenes Netz erstellen, was ich zb "Externe Netze" nenne und dort den IP-Bereich reinstecke? Dann sähe die Richtlinie so aus: Erlaube <Protokoll> von Intern nach Externe Netze. Das hab ich schon probiert, das funktioniert aber auch nicht so wirklich.. Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 17. Februar 2006 Melden Teilen Geschrieben 17. Februar 2006 Hi, wenn wir von Site To Site VPNs reden, muss u.a. ein entsprechendes Netz für die Remote Site definiert sein und es müssen Regeln definiert sein, die den Verkehr von der Remote Site zur lokalen Site steuern. Wenn wir von RAS via VPN reden, müssen diese Regeln definiert sein für VPN-Clients nach Internal und umgekehrt. Sehr gut beschrieben werden alle Voraussetzungen für VPN (Site to Site und RAS) in T. Shinders Bibel. Christoph Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.