ISA2004 und Zyxel Firewall - VPN Problem

[AndiH]

Hallo Zusammen,
folgende Problemstellung:
- Habe einen SBS2003 mit installiertem ISA2004 beim Kunden. Zugriff ins Internet ist zusätzlich über eine Zyxel Zywall5 abgesichert (doppelt hält besser). Kann ohne Probleme an der Zywall einen VPN Tunnel aufbauen und mich auf den SBS2003 einloggen für Wartungsarbeiten (2 Netzwerkkarten 1xextern, 1x intern). Jetzt will der Kunde aber zusätzlich von sich zuhause auf einen speziellen PC in der Firma zugreifen. Ich dachte keine Problem, VPN Tunnel über den ISA-Server aufbauen und schon ist der Home-PC im Firmennetz... dachte ich....

Problem:
- Als erstes baue ich den VPN Tunnel mit der Zywall auf - klappt.
- Dann öffne ich den Tunnel zum ISA-Server2004 - klappt auch.
- ca. 2 Sekunden später trennt die Zywall die Verbindung - na toll.....

Hat jemand von euch so eine Konfiguration schon zum laufen gebracht? Wäre toll wenn ihr eure Erfahrungen schildern könnte

Grüße
Andi

[Dieter Rauscher]

Hallo Andi,

ich habe bislang bei solchen Problemen öfters gelesen, dass ein Firmwareupdate des Routers hilft? Klingt komisch, ist aber so. Ist die aktuellste FW drauf?
Was sagt das Logging am ISA und der Zywall?

Viele Grüße
Dieter

[AndiH]

Hallo Dieter,
das mit der Firmware wäre mal einen Versuch wert, probiere ich die Woche gleich mal aus. Logging sagt nur das die Verbindung abgebrochen wurde :-(((

[tschutschi]

Hi,

welchen softclient verwendest du? greenbow oder noch den alten zyxel?

haben mit dieser konstellation bei einem kunden auch viele probleme gehabt. letztendlich haben wir die fürs vpn nötigen ports auf den isa weitergeleitet und den tunnel dort terminieren lassen. ist imho auch einfacher umzusetzen, da man keine extra software auf den clients braucht (vpn hausmitteln xp/vista) und du eine fehlerquelle weniger im verbindungsaufbau hast. integration der clients finde ich auch aus administrativer sicht einfacher.

grüße,

[AndiH]

Hallo,
verwende die neue Version Greenbow und habs bis jetzt nicht hinbekommen. Habe mich jetzt auch entschieden die Ports an der Firewall freizugeben und für den IP-Bereich des Mitarbeiters (Arcor) einzuschränken. Da halte ich mir zumindest die ausländischen Agriffsversuche fern. Kannst du mir sagen welche Ports du alles freigegeben hast?

[tschutschi]

ok.

ich würde dir Ipsec over L2TP empfehlen mit zertifikaten:

Enabling the ISA Server 2004 VPN Server

ports die du weiterleiten musst bzw. die ich auf unserer firewall weitergeleitet habe:

nat-t 4500
l2tp 1701
(pptp 1723) zum testen
gre 50-51

grüße,
tschutschi

[grizzly999]

Zitat von tschutschi nat-t 4500 l2tp 1701 (pptp 1723) zum testen gre 50-51

Und das funktioniert?
Für L2TP/IPSec fehlt der Port UDP 500 in deiner Liste, dafür kannst du TCP 1701 wieder rausnehmen.
Und GRE hat Protokollkennung 47.
ESP hat Protokollkennung 50 (51 wäre nur AH und käme bei Verschlüsselung sowieso nicht in Frage)

grizzly999

[tschutschi]

hi grizzli,

jup funktioniert. allerdings habe ich ike vergessen. stand etwas versteckt im nat. habe das einfach von der firewall abgeschrieben, übeltäter der einträge war jemand anderes. ich werde das berichtigen! danke für den hinweis!



grüße,

[AndiH]

Hallo Zusammen,
der VPN Zugang in das Firmennetz klappt jetzt wunderbar, danke für die Hinweise. Aber eine Sache bereitet mir noch Kopfzerbrechen:
Der Aussendienstler hat DSL über T-Online, jetzt möchte ich die Firewall einschränken nur aus diesem IP-Bereich anfragen zuzulassen. Kann ich die IP-Pools der Telekom irgendwo auslesen????