Jump to content
Sign in to follow this  
jvogler

IPSec VPN auf ISA 2k4 hinter FW (NAT)

Recommended Posts

Nachdem mir vor lauter Sucherei schon fast die Augen rausfallen habe ich mich doch dazu entschlossen mein Problem mal zu posten:

 

Ziel ist es VPN-Verbindungen auf den Hauseigenen ISA Server einzurichten und zwar sowohl für externe Clients als auch Site 2 Site.

 

Der Netzwerkaufbau:

 

ADSL (feste IPs) -> Bingo DSL (Route) -> Servgate Edgeforce (NAT) -> DMZ -> ISA 2k4 (NAT) -> LAN

 

Am ISA habe ich L2TP/IPSec mit Preshared Key, Auth MS-CHAPv2 mit Windowsgruppen, eingerichtet und mit einem W2k3 Server (Windowsclient) aus der DMZ erfolgreich getestet.

An der Edgeforce habe ich eine unserer öffentlichen IPs mit den Protokollen ESP, l2tp , UDP 500, und UDP 4500 auf die externe IP des ISA gemappt.

 

Als nächstes wollte ich jetzt den Zugriff von meinem Heimserver (NAT hinter der Fritzbox) testen nur bekomme ich hierbei lediglich Fehler 678.

 

Beim mitsniffen per Etherreal ist zu erkennen dass der Client eine Mainmode-Verbindung aufbauen möchte, lt. Auskunft eines Dienstleisters ist aber aggressive Mode erforderlich.

 

Hat jemand ein ähnliches Szenario am laufen, bzw. kann mir weiterhelfen?

 

Gruß

Jochen

Share this post


Link to post
Share on other sites

 

Beim mitsniffen per Etherreal ist zu erkennen dass der Client eine Mainmode-Verbindung aufbauen möchte, lt. Auskunft eines Dienstleisters ist aber aggressive Mode erforderlich.

 

 

 

Main Mode ist schon richtig, agressive ist eher aussergewöhnlich und eigentlich auch ein Sicherheitsrisiko...

 

Kuck mal hier:L2TP/IPsec NAT-T update for Windows XP and Windows 2000

Share this post


Link to post
Share on other sites

Ich habe die Mappingpolicy an der Edgeforce erweitert und mit PPTP auf den ISA getestet, funktioniert wunderbar.

 

Den Hotfix habe ich geradeeben bei Microsoft angefordert.

Share this post


Link to post
Share on other sites

Wie schon gesagt, vom W2k3 Server (SP1) aus der DMZ läufts wunderbar. Ich habe jetzt noch einen XP SP2 Laptop (Domänenclient) testweise reingehängt = negativ!

PPTP wie auch vom Homeserver aus kein Problem. Jetzt blick ich langsam überhaupt nicht mehr durch...

 

Am DMZ Server habe ich keine Veränderungen durchgeführt, am Homeserver und am XP Lappi die Registrykeys gemäß der Microsoft Artikel.

 

Irgendwo muss ich gewaltig was übersehen haben, nur wo?!

Share this post


Link to post
Share on other sites

 

 

An der Edgeforce habe ich eine unserer öffentlichen IPs mit den Protokollen ESP, l2tp , UDP 500, und UDP 4500 auf die externe IP des ISA gemappt.

 

 

Ist beim ESP-Protokoll das IP-Protokoll ID 50 mit dabei? Kannst du das auf der Edgeforce nachvollziehen? Dieses Protokoll muss zugelassen sein für ESP.

 

Servus

 

Jian

Share this post


Link to post
Share on other sites

ESP und GRE (für PPTP) sind bei den Mappingprotokollen dabei. Im Log erscheinen auch keine "Deny-Einträge" also muss ich davon ausgehen dass die Edgforce ESP auch durchlässt.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...