Alles zum Thema Windows Server sowie Windows IT Pro Themen — Q & A zu den Windows Server Versionen NT / 2000 / 2003 / 2003 R2 / 2008 / 2008 R2: Rollen, Features, Konfiguration, Troubleshooting
So die Verbindung zwischen den beiden Routern steht. Ich kann vom 10er Netz in das 192.168.100.0 Netz pingen und umgekehrt. Lag an dem IKE KEY. Irgendwie mochte er den nicht.
Nur leider das forwarden vom 10er Netz durch den ISA in das 192.168.1.x Netz nicht.
Im Router (der vor dem ISA steht) habe ich eine Routing Regel eingegeben mit
Dst. 192.168.1.0
SUB 255.255.255.0
Gate 10.0.0.5 (2. NIC des ISA)
Kannst Du vom 192.168.100er Netz den ISA pingen?
Hast Du die VPN Verbindung auf Subnet-to-Subnet umgestellt, wie von mir gepostet?
Update: Das Anpingen des ISA wird nicht klappen, weil ICMP geblockt wird.
Hängt mal kurz eine Testmaschine in deine DMZ (das 10er Netz) und versuch von dort ins 100er Netz zu pingen und umgekehrt.
Erst wenn das funktioniert, kann auch das Routing funktionieren.
die Verbindung ist auf Subnet-Subnet umgestellt. In der DMZ (10er Netz)befindet sich ein weiterer PC. von dem aus kann ich jeden PC im 192.168.100er Netz erreichen. Auch vom 192.168.100er Netz kann ich den PC in der DMZ anpingen. Das funktioniert wunderbar. Leider halt bloss nicht das Netz hinter dem ISA.
so ich bin ein Stück weiter. Ich kann nun vom 192.168.1.x Netz über den ISA, weiter über den Router, dann über die VPN Verbindung in das 192.168.100.x pingen. Da kommt von jedem PC eine Antwort.
Nur umgekehrt geht es nicht. Was eignentlich doch keinen Sinn macht denn wenn ich wie oben beschrieben einen Ping losschicke muss das Antwort Paket doch die weg kennen sonst würde ich doch keine Antwort erhalten ?????? Oder habe ich da einen Denkfehler ?
du hast schon Recht. Aber der ISA ist eine Stateful-Inspection Firewall.
Ein Paket, daß seinen Ursprung von intern hat, darf als Antwortpaket die Firewall wieder passieren.
Allerdings durfen Pakete vom öffentlichen Interface (bei Dir das 10er Netz) nicht einfach so die Firewall passieren.
Ich weiß gerade nicht auswendig, was man da noch konfigurieren muss, aber ich schlag mal eben nach und melde mich später wieder.
Habe eine Notlösung gefunden. Port des internen Terminal Servers geändert. Auf dem ISA eine Serververöffentlichungsregel erstellt.
Wenn die VPN Clients nun im 10er Netz sind kann man mit "Servername:Portnummer" den Terminal Server erreichen. Vom Internet ist dieser nicht erreichbar da der Port im Router nicht durchgereicht wird.
