ISA 2006 VPN-Problem (ISA hört nicht auf Port 1723)

[th@mtit.de]

Hallo, ich bin der neue und komme jetzt wohl öfter mal vorbei :-)

Nun aber mal zu meinem Problem.
Ich habe hier eine ISA-Server-Appliance, und die möchte nicht so wie ich es will.Und zwar stellt sich der ISA mit dem VPN quer.
Der ISA ist VPN-Endpunkt, und über die ISA-MMC entsprechend konfiguriert.RRAS läuft, Zugriffsregeln für VPN-User werden über RRAS-Richtlinien gesteuert.
Soweit so gut...Leider funktioniert die Einwahl nicht.
Im ISA-Monitoring sehe ich das die Verbindungsversuche fehlschlagen (Failed Connection Attempt) allerdings wid nicht anhand einer Regel verweigert ( [System]Allow incoming VPN-Traffic )
nachdem ich mal ein netstat -anp tcp gemacht habe, konnte ich sehen, das der ISA gar nicht auf Port 1723 "lauscht".

ISA ist 2006, auf w2k3 sp 2 mit allen updates
Einwahl macht ein Router, auf dem Port 1723 und PPTP-Passthrough aktiviert sind.

Mittlerweile weiß ich nciht mehr weiter, da das lustige an der Sache ist, das es manchmal nach einem Neustart geht, manchmal wieder nicht.ab und an klappt es auch, wenn man die RRAS-Dienste neu startet, manchmal eben nicht.

Bin da voll ratlos mittlerweile, da es sich echt wie ein blinker verhält.

[Christoph35]

Hallo und willkommen an Board!

Schildere doch bitte mal, wie Du die Konfiguration für VPN vorgenommen hast.
Am besten mit verlinkten Screenshots.

Christoph

[th@mtit.de]

Moin
Screenshots kann ich leider nicht bieten, da es sich um ein Kundensystem handelt, und ich erst auf eine GotoAssist-Sitzung warten muss.Aber ich kann versuchen, es so detailiert zu beschreiben wie es eben möglich ist

Also als erstes mal in die ISA-Servr-Verwaltung
dort dann unter VPN

VPN-Client-Zugriff aktiviert
50 Verbindungen
enstprechende Gruppe eingetragen
PPTP aktiviert
User-Mapping nichts konfiguriert

Adresszuweisungsmethode
Internes Netz (DHCP)
Zugriffsnetzwerk Extern
Authentifizierung mit EAP oder Smartcard
Radius nichts konfiguriert

2 Benutzerdefinierte Firewallregeln erstellt ( einmal für externe Dienstleister und einmal externe Mitarbeiter)
Dafür habe ich 2 Gruppen angelegt, welche beide Mitglied der Gruppe für die Einwahlberechtigung sind.

So, nun ab ins RRAS

RAS-Richtlinien
ISA-Default-Policy
NAS-Port-Type = virtualVPN
Gruppe = entsprechende Gruppe, die sich einwählen darf
Profil bearbeiten --> Authentifizierung --> EAP-Methoden
entsprechend den Vorgaben mit RSA EAP authentifizierung eingestellt und an oberster Stelle eingetragen (SmartCard und EAP stehen noch drin)

Hoffe, ist detailliert genug
Im Grunde ist so ne Einrichtung am ISA ja ziemlich simpel. Aber wie gesagt, funktioniert wie ein Blinker ... mal gehts, mal nicht.
Das Hauptproblem liegt denke ich eher daran, das der ISA nicht auf den VPN-Port hört.

[Christoph35]

Wie lautet eigentlich die Fehlermeldung am VPN Client?

Christoph

[th@mtit.de]

Fehler 800: Es konnte keine Verbindung hergestellt werden

[HemLock]

moin
gab es nicht vor kurzem ein update, was probleme mit isa und vpn ras gemacht hat?!

grüße!

[th@mtit.de]

jo, hatte ich auch was gelesen.ber ich meine, das war SP1 für w2k3 ... und hier haben wir SP2 ...
aber sicher bin ich da jetzt nicht 100% ob da nicht doch noch was aktuelles dabei sein könnte.
zumindest gab es ein problem mit netframework3.5 SP1 ... aber d a ab es zum glück direkt einen patch zum patch

[Christoph35]

Mit Win 2003 SP2 kam Receive Side Scaling, das sollte auf einem ISA abgeschaltet werden, da es zu Problem führen kann.

An update to turn off default SNP features is available for Windows Server 2003-based and Small Business Server 2003-based computers

Christoph

[Thanquol]

um den Router mal als Fehlerquelle auszuschließen

klemm dich mal bitte ans externe Interface mit deinem Notebook/PC und versuche eine VPN Verbindung zum ISA mit der passenden IP herzustellen!

wenn das geht ist der Router Schuld :-)

[HemLock]

nein nein nein, das hier mein ich ;-)

Marc Grote Blog Blogarchiv ISA Server 2006 - PPTP / RRAS Probleme mit Update KB956570