ISA hinter DSL router und side-to-side vpn

[raisu_de 10]

Hallo,

 

ich möchte gerne folgendes realisieren:

 

DSL Einwahl mit T-Business DSL und fester IP-Adresse mit einem DSL Router. Dann per DMZ- Forward alles an einen ISA Server weiterleiten.

 

Der ISA Server soll dann side-to-side vpns an Außenstellen aufbauen. Zudem soll ein VPN Zugang über L2TP möglich sein.

 

Laut meinen Informationen sollte das doch mit einem Router der NAT-T bzw. VPN Passtrough unterstützt möglich sein. Hat jemand von Euch mit solch einer Konstelation schön Erfahrungen ? Und wenn ja mit welchem Router macht Ihr das?

 

schöne Grüße

[IThome 10]

Eigentlich muss der Router nur UDP 1701, UDP 500 und UDP 4500 nach innen leiten können (wenn VPN-Gateway als DMZ, braucht man eigentlich gar nichts forwarden, kommt eh alles dort an) , der VPN-Server und der VPN-Client müssen IPSec NAT-Traversal unterstützen. Ich setze manchmal Draytek-Router als Zugangsrouter ein, das VPN-Gateway befindet sich dahinter (ist aber kein ISA-Server) und das funktioniert tadellos ...

[raisu_de 10]

Danke für Deine schnelle Antwort.

 

Aber irgendwo ist dann bei mir der Wurm drin.

 

Meine Lösung schaut momentan wie folgt aus: Ich wähle mich über einen Netgear WPN824 bei t-com ein. Der hat den ISA 2004 als DMZ Server eingetragen. Der ISA läuft auf einen W2k3 Server, welcher von Haus aus IPSec NAT-Traversal unterstützt (oder muß man es erst aktivieren ?). Der ISA 2004 versucht ein side-to-side vpn mit einer sonicwall aufzubauen. Für Phase 2 finde ich nun im log der sonicwall einen Eintrag, dass der Client NAT traversal nicht unterstützt.

 

Kannst Du mir da einen tipp geben was dort falsch ist ?

 

schöne Grüße

[IThome 10]

Ich setze den ISA-Server nicht ein und kann Dir daher nur mit einem Link dienen, der zwar ein Szenario beschreibt, in dem sich externe Clients durch ein NAT-Gerät mit dem ISA-Server verbinden und der gewisse Regeln aktiviert haben muss. Diese Regeln müssen für den Outbound-Traffic ebenso konfiguriert werden.

http://www.isaserver.org/tutorials/natt2003.html

[grizzly999 11]

FÜr NAT-T muss man nichts am Server einschalten.

Aber: Ein Site-to-Site VPN vom ISA zu anderen VPn-geräten kann tricky sein. Wenn man bei http://www.isaserver.org für sein VPN-Gerät keine Anleitung findet, dann ist Know-How und Probieren angesagt. Wir haben damals auch einiges testen und ausprobieren müssen, bevor wir den ISA mit einer Pix "verheiratet" hatten ;)

 

 

grizzly999

[raisu_de 10]

Danke grizzly999.

 

in welchem Bereich findet man dort die von Dir erwähnten Anleitungen ?

 

mfg Rainer

[grizzly999 11]

Das ist nicht einfach zu finden, das stimmt. Ich habe schon die eine oder andere Doku geshen, aber die Suchfunktion spült die meist nicht nach oben. Am ehesten fiindet man die Links dazu im Forum von Tom Shinder (isaserver.org -> MessageBoards).

 

Allerdings weisen davon einige auf die Microsoft Homepage, z.B. hier: http://www.microsoft.com/isaserver/techinfo/guidance/2004/vpn.mspx

 

Anm: Am einfachsten ist es immer noch, zwei ISA zu nehmen, oder zwei ThirdParty Router/Firewalls, da ist die Zusammenarbeit immer gegeben (und spart meist Geld ;) )

 

 

grizzly999

[raisu_de 10]

@grizzly999:

 

Tja bisher waren meine Standorte auch über ipsec Tunneling zwischen sonicwalls verbunden. Aber ich bin Teil eines größeren Netzwerkverbunds und um dort mehr Selbstständigkeit zu erlangen benötige ich eine Firewall die Common Criteria (EAL4) zertifiziert ist.

 

@all:

Ich habe nun einen Testserver mit isa 2004 auf w2k3 Server installiert und bekomme auch den Tunnel über IPSEC. Leider finde ich auf dem isa keine Möglichkeit für den Tunnel einen keep alive zu konfigurieren.

 

Zudem irritiert mich der Zeitraum von über 40 Sekunden, den isa und sonicwall brauchen um eine IPSEC Verbindung zu verhandeln.

 

 

Woran kann das liegen ?

 

schöne Grüße