Proxyfunktionalität ISA 2000 IPsec deaktivieren

[Maik 10]

Hallo ans Board,

 

wir haben seit einiger Zeit das Problem, dass eine IPsec VPN nicht aufgebaut werden kann, weil der ISA 2000 als Proxy fungiert. In diesem Zusammenhang übernimmt der ISA alle Antworten von extern und fungiert innnerhalb als externer VPN Host.

Folglich findet der am Client zu beobachtende Verbindungsaufbau (3-way-handshake) gar nicht mit dem externen IPsec-Server, sondern in Wirklichkeit mit dem ISA-Server statt.

Das erste Paket nach dem (vorgetäuschten) TCP-Verbindungsaufbau enthält Informationen zum SSL-Verbindungsaufbau (SSL-Client-Hello), mit dem der ISA-Server aber anscheinend nichts mehr anfangen kann. Dieses Paket wird zwar von (ISA-) Serverseite noch mit einem TCP-Ack auf Layer 4 bestätigt, es erfolgt jedoch keine SSL-Antwort mehr. Folglich "stirbt" die Session nach 20 Sekunden aufgrund eines RST von Serverseite.

Kennt jemand eine Vorgehensweise zum IPsec Verbindungsaufbau?

 

Besten Dank an Euch