ISA-Server blockt VPN-Verbindung

[Willüüü 10]

Hallo,

 

folgendes Szenario. Ein Windows 2003 Server auf dem Routing und RAS konfiguriert ist für L2TP Verbindungen mit IPSec und Preshared Key konfiguriert. Auf dem Server läuft ein ISA-Server 2004. Vom internen Netzwerk kann ich problemlos zugreifen. Von außen blockt der ISA-Server, obwohl eine Regel von VPN-Clients nach lokalen Host mit den Protokollen L2TP-Server, IPSec-NAT-T und IPSec-ESP-Server konfiguriert ist. Zum WAN ist ein SMC7804 WBR Router und der Server hängt in einer DMZ. Was ist falsch?

 

Danke.

[Willüüü 10]

Niemand eine Idee?

[grizzly999 11]

Wieso von VPN nach Lokaler Host? Die VPN-Regel geht normalerweise: VPN-Clients -> intern Gesamter Datenverkehr.

 

grizzly999

[Willüüü 10]

Weil auf die Freigaben des Servers zugegriffen werden soll.

[Christoph35 10]

Auf was für Freigaben soll denn da zugegriffen werden?

Ich hoffe nur auf den Share für den Firewall Client...

 

Wenn dem so ist, könntest Du auch in der System-Policy das VPN Netz der System-Policy für die FW-Client-Installation hinzufügen.

 

Ansonsten solltest Du berücksichtigen, dass ein ISA Server nur als solcher fungieren und sonst keine Aufgaben wie File-Server etc. wahrnehmen sollte.

 

Somit kann ich mich nur Grizzly anschließen: VPN-Clients sollten aufs interne Netz zugreifen können, weniger auf den ISA Server selbst.

 

Christoph

[Willüüü 10]

Das sind die Regeln. Wie gesagt der Router hängt in einer DMZ, bzw. der Server.

 

Freigaben sind halt auf dem ISA-Server.

Über PPTP klappt es übrigens perfekt.

 

Hoff ihr könnt mir helfen.

 

Danke

 

Hier mal die Regeln:

 

http://img116.imageshack.us/img116/1566/firewallvpnregelnigbi6jv.jpg

[grizzly999 11]

Das was du da eingerichtet hast, sind keine VPN-Zugriffsregeln, das sind Server Veröffentlichungsregeln.

Ich habe dir oben gesagt, wie die Regel prinzipiell aussehen muss. Falls meine praktische Erfahrung nicht ausreichen sollte, dann lese er selber nach (direkter DOC-Download 8,3 MB): http://download.microsoft.com/download/3/7/b/37b0cbc4-e578-4082-a779-de4fbe876f06/isa2004se_vpnkit-rev%201%2004.doc

 

 

grizzly999

[Willüüü 10]

Danke schonmal, das Dokument habe ich schon gelesen, aber was muss ich denn genau machen? Ich will doch einen L2TP-Server mit IPSec veröffentlichen. Ich hoffe du kannst mir helfen.

[grizzly999 11]

Regel (zulassen natürlich ;) ):

Quelle Ziel Protokolle

-------- ---------- ----------------

VPN-Clients intern Gesamter ausgehender Datenverkehr

 

Wenn Zugriff auf die ISA-Freigaben selber (wobei auf einem ISA normal nichts verloren hat an Freigaben oder Applikationen wie SQL oder Exchange oder DC oder ....) so:

 

Quelle Ziel Protokolle

-------- ---------- ----------------

VPN-Clients intern, Lokaler Host Gesamter ausgehender Datenverkehr

 

 

grizzly999

[Willüüü 10]

Fehler 792 kommt am Client beim Einwählen. Muss ja mit einer Serververöffentlichungsregel zu tun hab. Für PPTP brauch ich auch PPTP-Server damit ich mich einwählen kann. Ohne gehts auch nicht. Welche Serververöffentlichung brauch ich dann für L2TP und IPSec?

[grizzly999 11]

Halloooo, jemand zuhause, poch poch?! :suspect:

Ich sagte doch, du sollst deine Serververöffentlichungsregeln knicken. Ich habe dir auch gesagt wie die Regeln auszusehen haben, da gibt es zusätzlich auch einen Wizard zur VPN Einrichtung, der wird grad auch benötigt, und einen Link zu einem Dokument gepostet, wie der ISA als VPN Server eingerichtet wird.

Ok, das Paper ist englisch. Hier ein Bilderbuch zum Mitklicken auf deutsch: http://www.msisafaq.de/Anleitungen/2004/VPN/index.htm

 

 

Wenn du dann auf einer fachlich-technischen sauberen Ebene kommunzieren und troubleshooten möchtest, dann mache es so und melde dich bei Bedarf wieder.

Wenn du weiter mit Publishing Rules rummurksen möchtest, dann klinke ich mich aus.

 

Vielen Dank für dein Verständnis

 

 

 

grizzly999

[Willüüü 10]

Entschuldigung. Habe es probiert und so geht es nicht. Nicht mal mehr mein PPTP Server ist erreichbar.

 

Edit://Und wieso veröffentlichen die bei deinem Link Server in den Firewallregen? Das ist dann aber unlogisch was du sagst. ISA muss ja auch auf einem Port lauschen, dass ist unlogisch irgendwie. Das mit den VPN Clients nach Intern sagt ja nur das NACH der Einwahl die VPN Clients das machen dürfen.

 

Danke.

[grizzly999 11]

Entschuldigung. Habe es probiert und so geht es nicht. Nicht mal mehr mein PPTP Server ist erreichbar

Dann ist irgendwas falsch konfiguriert, so die Pakete auch alle von aussen an den ISA weitergeleitet werden.

Ich habe nicht nur einen oder zwei oder drei ISA mit VPN-Zugang eingerichtet, ich weiss wovon ich rede und ich weiß, wie ich es gemacht habe. Ich habe dabei niemals eine Veröffentlichungsregel benötigt. Immer nur "normale" Firewallregeln.

 

Edit://Und wieso veröffentlichen die bei deinem Link Server in den Firewallregen?

Sorry, meine Augen sind zwar nicht mehr die jüngsten, aber ich sehe hier keine Serververöffentlichung für den VPN-Zugriff in den Firewallregeln:

http://www.msisafaq.de/Anleitungen/2004/VPN/VPN_PPTP.htm

http://www.msisafaq.de/Anleitungen/2004/VPN/VPN_PPTP2.htm

 

 

grizzly999