sbsler 10 Geschrieben 27. September 2006 Melden Teilen Geschrieben 27. September 2006 Hallo zusammen, ich hänge an einem Problem fest und langsam überwiegen die grauen Haare auf meinem Kopf. Ich hoffe es hat jemand eine Idee oder einen Ansatz für mich... :( Szenario: VPN wird zwischen einem Bintec X2300i und X1200 hergestellt. Subnetz 1 - 192.168.0.x SBS 2003 ISA/DHCP/DNS/WSUS IP - 192.168.0.1 & 192.168.1.3 Bintec X2300i IP - 192.168.0.10 - 192.168.1.1 Subnetz 2 - 192.168.2.x SBS 2003 ISA/DHCP/DNS/WSUS IP - 192.168.2.1 & 192.168.3.2 Bintec 1200II IP - 192.168.2.10 - 192.168.3.1 Die VPN Verbindung steht und funktioniert. Nun zu dem Problem ich musste erstmal eine lokale Route erstellen von meinem 192.168.0.x Netz das ich für das 192.168.2.x Netz direkt über den Router gehe. Über den Standardgateway (SBS) funktioniert es gar nicht. Habe Routing usw. im ISA probiert aber ohne Erfolg... Das nächste Problem ist wenn ich den FW-Client nicht deaktiviere blockt mir der ISA-Server alle Zugriffe wie z.B. VNC. Die Ports sind defenitiv freigeschaltet. Das merkwürdige an der Sache ist bei der Protokollierung auf dem ISA-Server erhalte ich nicht den Hinweis von welcher Regel die Anwendung blockiert wird... Nicht mal die allerletzte die eigentlich alles dicht macht... Kann das sein? Hat das jemand schonmal gehabt? Vielleicht hat noch jemand diese SBS - Bintec Umgebung und es funktioniert... Ich bin für jeden Tip oder Hinweis dankbar... Danke schon mal im Voraus.... Zitieren Link zu diesem Kommentar
hh2000 10 Geschrieben 1. Oktober 2006 Melden Teilen Geschrieben 1. Oktober 2006 Hallo und Willkommen hier im Board, erstmal ohne FW: - funktioniert ein ping von allen Rechnern zu allen anderen Netzen? - können die beiden Bintec sich pingen? - IP, Netzmaske und Standard Gateway (IPconfig /all) der beiden SBS? Gruß Kai Zitieren Link zu diesem Kommentar
sbsler 10 Geschrieben 4. Oktober 2006 Autor Melden Teilen Geschrieben 4. Oktober 2006 Hallo Kai, ein Ping von Client zu Client funktioniert auch mit eingeschaltetem FW-Client ebenso ein tracert... Die Bintecs kann ich ebenfalls gegenseitig anpingen. Vom SBS aus kann ich nicht pingen hier kommt Zielhost nicht erreichbar... Ebenso kann ich nicht von einem Cleint im 192.168.0.0 Netz den SBS im 192.168.2.0 Netz anpingen oder Remotedesktop ausführen. Dies wird wie gesagt auch als verweigert im ISA protokolliert. Jedoch erscheint hier nicht die Regel die den Zugriff verweigert... SBS 192.168.0.0 ipconfig: Ethernet-Adapter LAN Intern 192.168.0.1: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : Intel® PRO/1000 MT Network Connection Physikalische Adresse . . . . . . : 00-04-23-BF-9E-3C DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.0.1 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : DNS-Server . . . . . . . . . . . : 192.168.0.1 Primärer WINS-Server . . . . . . : 192.168.0.1 Ethernet-Adapter LAN Extern 192.168.1.3: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : Marvell Yukon 88E8050 PCI-E ASF Gigabit Ethernet Controller Physikalische Adresse . . . . . . : 00-04-23-BF-9E-3D DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.1.3 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.1.1 NetBIOS über TCP/IP . . . . . . . : Deaktiviert SBS 192.168.2.0 ipconfig: Ethernet-Adapter Intern 192.168.2.1: Verbindungsspezifisches DNS-Suffix: cdvier.local Beschreibung . . . . . . . . . . : Intel® PRO/100 S Server Adapter Physikalische Adresse . . . . . . : 00-02-B3-39-1F-F6 DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.2.1 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : DNS-Server . . . . . . . . . . . : 192.168.2.1 Primrer WINS-Server . . . . . . : 192.168.2.1 Ethernet-Adapter Extern 192.168.3.2: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : Intel® PRO/100 S Desktop Adapter Physikalische Adresse . . . . . . : 00-02-B3-E7-A9-7F DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.3.2 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.3.1 DNS-Server . . . . . . . . . . . : 192.168.2.1 Primrer WINS-Server . . . . . . : 192.168.2.1 NetBIOS ber TCP/IP . . . . . . . : Deaktiviert Zitieren Link zu diesem Kommentar
Overon 10 Geschrieben 4. Oktober 2006 Melden Teilen Geschrieben 4. Oktober 2006 Hallo, also nach meinem ersten Eindruck fehlen Dir die Traffic Listen im IPSec Menü für das 3er Netz und 1er Netz. Mir scheint als wenn Du nur das 0er und 2er Netz erlaubt hast. Daher können auch alle Clients pingen aber die SBS net. Hängt das Lan Interface der Bintecs im jeweiligen Netz der SBS oder der Clients? Hast Du Filter auf dem Bintec gesetzt. Könntest auch mal die Stateful Inspection Firewall ausschalten auf den Bintecs Gruss Over Zitieren Link zu diesem Kommentar
hh2000 10 Geschrieben 4. Oktober 2006 Melden Teilen Geschrieben 4. Oktober 2006 Kann ein Client aus 192.168.0.x die "eigene" Bintec 192.168.1.1 anpingen, wenn nicht, funktioniert der Rückweg von der Bintec zum 192.168.0.0/24 Netz? auf Router 192.168.1.1 -> Route für 192.168.0.0/24 Gateway 192.168.1.3 setzen ebenso analog dazu am anderen Standort: auf Router 192.168.3.1 -> Route für 192.168.2.0/24 Gateway 192.168.3.2 setzen Evtl.mal den ISA temporär deaktivieren, um erstmal eine funktionierende IP-Config hinzubekommen. Gruß Kai Zitieren Link zu diesem Kommentar
sbsler 10 Geschrieben 5. Oktober 2006 Autor Melden Teilen Geschrieben 5. Oktober 2006 Hallo, Traffic Listen habe ich nicht eingerichtet, da der Tunnel über ein Virtuelles Interface eingerichtet ist. Filter sind ebenfalls keine eingerichtet. Zur Entwirrung mal das Routing des Bintecs 192.168.0.x: Destination Gateway Mask Interface 192.168.0.0 192.168.0.10 255.255.255.0 en1 192.168.1.0 192.168.1.1 255.255.255.0 en1 192.168.2.0 192.168.0.10 255.255.255.0 VPN Kurz zum Verständnis... Der Bintec hat die lokale IP 192.168.0.10 und 192.168.1.1. Dies rührt aus einer alten Konfiguration mit einem Linux Proxy... Wenn ich es richtig sehe könnte ich doch die 192.168.0.10 entfernen den der eigentliche Gateway aus meinem internen Netz über den ISA ist die 192.168.1.1... Zitieren Link zu diesem Kommentar
hh2000 10 Geschrieben 5. Oktober 2006 Melden Teilen Geschrieben 5. Oktober 2006 ja kannst Du löschen. Die lokale Adresse sollte im Bintec 1 dann nur 192.168.1.1 lauten. Du musst aber eine Route im Bintec für 192.168.0.0/24 Gateway 192.168.1.3 setzen (unter Routing) Die 192.168.0.x Clients haben als Standard-Gateway den Server 192.168.0.1 Der Server hat das Standard-Gateway 192.168.1.1 (Bintec) Mit den o.g. Routen sollte der Client nun den Bintec anpingen können. Um zur anderen Seite zu kommen, musst du im VPN Interface noch eine weitere Route zur 192.168.3.0/24 eintragen. Nun sollte auch der andere Bintec 2 (192.168.3.1) sich pingen lassen, wenn der auch alle korrekte Routen zur Gegenseite gesetzt hat. Gruß Kai Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.