Jump to content

Forefront TMG VPN PPTP


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen,

 

ich stehe derzeit vor einem kleinen Problem dessen Fehlerursache mir ein wenig zu schaffen macht.

 

Ich habe den Forefront TMG-Standard-Server in Betrieb genommen und habe unter anderem den VPN-Zugriff über PPTP konfiguriert. Ich habe die komplette VPN-Konfig 1:1 aus dem ISA2006 übernommen, die VPN-Konfiguration mit einem statischen Adresspool versehen und für die Gruppe "GP_VPN" berechtigt. Zudem habe ich Firewallrichtlinie für den gesamten ausgehenden Datenverkehr mit Berechtigung für VPN-Clients und Quarantäne-VPN-Clients konfiguriert. Was die Konfig angeht konnte ich keinen Fehler zum ISA2006 feststellen (wo alles wie gewohnt funktioniert).

 

Jetzt zum Problem....ich kann eine VPN-Verbindung herstellen, bekomme auch aus dem statischen Adresspool eine IP-Adresse und auch den DNS-Server zugewiesen, jedoch kann auch auf keine Netzsource zugreifen und auch nicht pingen.

 

Was muss ich bei der Konfiguration noch beachten? Auf der MS-Site habe ich auch nur die Standard-Konfig gefunden, jedoch keinen Hinweis auf meine Problemstellung.

 

Vielen Dank schon mal im voraus.

 

VG

Link zu diesem Kommentar

Der statische IP-Pool liegt außerhalb des Bereichs des internen Netz

 

Intern 192.168.118/24

VPN 192.168.126/24

 

Standardgateway der VPN-Verbindung zeigt 0.0.0.0 und ist indentisch mit der VPN-Einwahl vom ISA2006

 

Firewallrichtline? Ich habe eine Firewallrichtlinie angelegt die wie folgt aussieht:

- Gesamten ausgehenden Datenverkehr

- Von: Quarantäne-VPN-Clients und VPN-Clients

- Nach: Intern

- Benutzer: Alle Benutzer

- Inhaltstypen: Alle Inhaltstypen

- Malewareüberprüfung: deaktiviert

 

Die habe ich auch schon mehrmals angelegt. Ich habe mich da an den Einstellungen auf dem alten ISA orientiert.

 

Liegt hier mein Denkfehler?

 

VG

Link zu diesem Kommentar

Das wäre wie folgt:

 

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : rechnername1

Prim„res DNS-Suffix . . . . . . . : domain.net

Knotentyp . . . . . . . . . . . . : Hybrid

IP-Routing aktiviert . . . . . . : Nein

WINS-Proxy aktiviert . . . . . . : Nein

DNS-Suffixsuchliste . . . . . . . : domain.net

 

PPP-Adapter domain:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : domain

Physikalische Adresse . . . . . . :

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

IPv4-Adresse . . . . . . . . . . : 192.168.126.8(Bevorzugt)

Subnetzmaske . . . . . . . . . . : 255.255.255.255

Standardgateway . . . . . . . . . : 0.0.0.0

DNS-Server . . . . . . . . . . . : 192.168.118.200

NetBIOS ber TCP/IP . . . . . . . : Aktiviert

 

Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung 2:

 

Medienstatus. . . . . . . . . . . : Medium getrennt

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Microsoft Virtual WiFi Miniport Adapter

Physikalische Adresse . . . . . . : 00-22-FA-FE-19-7F

DHCP aktiviert. . . . . . . . . . : Ja

Autokonfiguration aktiviert . . . : Ja

 

Mobiler Breitbandadapter Mobile Breitbandverbindung:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : F3507g Mobile Broadband Driver

Physikalische Adresse . . . . . . : 02-80-37-EC-02-00

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

Verbindungslokale IPv6-Adresse . : fe80::3c14:37fb:df21:dc5e%16(Bevorzugt)

IPv4-Adresse . . . . . . . . . . : 109.85.10.135(Bevorzugt)

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 109.85.10.130

DHCPv6-IAID . . . . . . . . . . . : 453148727

DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-12-8E-FF-AF-00-24-7E-6A-5D-69

DNS-Server . . . . . . . . . . . : 139.7.30.126

139.7.30.125

NetBIOS ber TCP/IP . . . . . . . : Aktiviert

Link zu diesem Kommentar

Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung:

 

Medienstatus. . . . . . . . . . . : Medium getrennt

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Intel® WiFi Link 5100 AGN

Physikalische Adresse . . . . . . : 00-22-FA-FE-19-7E

DHCP aktiviert. . . . . . . . . . : Ja

Autokonfiguration aktiviert . . . : Ja

 

Tunneladapter isatap.{56039708-C8BF-41A1-95AE-7482454A1FD7}:

 

Medienstatus. . . . . . . . . . . : Medium getrennt

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter

Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

 

Tunneladapter Teredo Tunneling Pseudo-Interface:

 

Medienstatus. . . . . . . . . . . : Medium getrennt

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface

Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

 

Tunneladapter 6TO4 Adapter:

 

Medienstatus. . . . . . . . . . . : Medium getrennt

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Microsoft-6zu4-Adapter

Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

 

Tunneladapter isatap.{292DF1CA-540F-4433-A055-3655ED8EF1E8}:

 

Medienstatus. . . . . . . . . . . : Medium getrennt

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2

Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

 

Tunneladapter LAN-Verbindung* 11:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Microsoft-6zu4-Adapter #3

Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

IPv6-Adresse. . . . . . . . . . . : 2002:6d55:a87::6d55:a87(Bevorzugt)

Standardgateway . . . . . . . . . : 2002:c058:6301::c058:6301

DNS-Server . . . . . . . . . . . : 139.7.30.126

139.7.30.125

NetBIOS ber TCP/IP . . . . . . . : Deaktiviert

 

Tunneladapter isatap.{AD2EA6AD-210A-4B04-8CFC-42A51BD73FAC}:

 

Medienstatus. . . . . . . . . . . : Medium getrennt

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #4

Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

 

Tunneladapter Reusable Microsoft 6To4 Adapter:

 

Medienstatus. . . . . . . . . . . : Medium getrennt

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Microsoft-6zu4-Adapter #2

Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

 

Tunneladapter isatap.{C6D7CCE9-E610-4877-A2D8-591E3F870425}:

 

Medienstatus. . . . . . . . . . . : Medium getrennt

Verbindungsspezifisches DNS-Suffix:

Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #3

Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0

DHCP aktiviert. . . . . . . . . . : Nein

Autokonfiguration aktiviert . . . : Ja

Link zu diesem Kommentar

===========================================================================

Schnittstellenliste

25...........................domain

18...00 22 fa fe 19 7f ......Microsoft Virtual WiFi Miniport Adapter

16...02 80 37 ec 02 00 ......F3507g Mobile Broadband Driver

12...00 22 fa fe 19 7e ......Intel® WiFi Link 5100 AGN

1...........................Software Loopback Interface 1

22...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter

13...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface

17...00 00 00 00 00 00 00 e0 Microsoft-6zu4-Adapter

21...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #2

23...00 00 00 00 00 00 00 e0 Microsoft-6zu4-Adapter #3

20...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #4

19...00 00 00 00 00 00 00 e0 Microsoft-6zu4-Adapter #2

24...00 00 00 00 00 00 00 e0 Microsoft-ISATAP-Adapter #3

===========================================================================

 

IPv4-Routentabelle

===========================================================================

Aktive Routen:

Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik

0.0.0.0 0.0.0.0 109.85.10.130 109.85.10.135 4521

0.0.0.0 0.0.0.0 Auf Verbindung 192.168.126.8 31

93.104.236.221 255.255.255.255 109.85.10.130 109.85.10.135 4266

109.85.10.0 255.255.255.0 Auf Verbindung 109.85.10.135 4521

109.85.10.135 255.255.255.255 Auf Verbindung 109.85.10.135 4521

109.85.10.255 255.255.255.255 Auf Verbindung 109.85.10.135 4521

127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 4531

127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 4531

127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 4531

192.168.126.8 255.255.255.255 Auf Verbindung 192.168.126.8 286

224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 4531

224.0.0.0 240.0.0.0 Auf Verbindung 109.85.10.135 4522

224.0.0.0 240.0.0.0 Auf Verbindung 192.168.126.8 31

255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 4531

255.255.255.255 255.255.255.255 Auf Verbindung 109.85.10.135 4521

255.255.255.255 255.255.255.255 Auf Verbindung 192.168.126.8 286

===========================================================================

St„ndige Routen:

Netzwerkadresse Netzmaske Gatewayadresse Metrik

0.0.0.0 0.0.0.0 192.168.118.1 0

===========================================================================

 

IPv6-Routentabelle

===========================================================================

Aktive Routen:

If Metrik Netzwerkziel Gateway

23 1140 ::/0 2002:c058:6301::c058:6301

1 306 ::1/128 Auf Verbindung

23 1040 2002::/16 Auf Verbindung

23 296 2002:6d55:a87::6d55:a87/128

Auf Verbindung

16 296 fe80::/64 Auf Verbindung

16 296 fe80::3c14:37fb:df21:dc5e/128

Auf Verbindung

1 306 ff00::/8 Auf Verbindung

16 296 ff00::/8 Auf Verbindung

===========================================================================

St„ndige Routen:

Keine

Link zu diesem Kommentar

mach mal folgendes:

ich denke mal es ist ein routing problem:

 

der tmg muss auch eine IP im VPN netzwerk haben.

 

erstelle am client folgenden eintrag

 

route add 192.168.118.0 mask 255.255.255.0 192.168.126.X

 

X steht für die TMG adresse. es sollte aber auch gehen wenn du 192.168.126.8 angibst sprich die ip aus dem stat. ip pool !

 

lg

Link zu diesem Kommentar

???

 

was stellt diese permanente route dar ?

 

St„ndige Routen:

Netzwerkadresse Netzmaske Gatewayadresse Metrik

0.0.0.0 0.0.0.0 192.168.118.1 0

 

normalerweise sind solche route std. gateways ?

 

löschen wirst du sie nicht können da kein interface im 118er netz ist.

 

ist der haken bei der vpn verbindung (client):

"Standardgateway für das Remotenetzwerk verwenden" gesetzt

Link zu diesem Kommentar

Ich weiß nicht was diese Route darstellt. Das Ding ist völlig nackig. Ich habe einen Server 2008 aufgesetzt, Netzwerkadapter konfiguriert, den TMG installiert, eine Webzugriffsregel erstellt und das VPN konfiguriert. Und dafür habe ich den Assistenten verwendet.

 

Im Gegensatz zum ISA 2006 musste ich dann noch die VPN-Client-Regel händisch anlegen. Ansonsten ist da noch nichts passiert. Das Ding ist auch noch nicht produktiv. Ich kann aber aufgrund der MS-Seite und der dortigen Doku nicht wirklich einen Fehler feststellen, zumal ich den Server auf unterschiedlicher Hardware 2x installieren musste und auch 2x vor dem gleichen Problem stand.

 

Es muss sich um eine Standardeinstellung oder Sicherheitseinstellung handeln. Oder könnte evtl. an einer Systemrichtlinie liegen? Ich bin zwar die Liste auch schon mind. 5x durchgegangen aber evtl. sieht man ja auch mal den Wald vor lauter Bäumen nicht.

 

VG Michl

Link zu diesem Kommentar

Ehrlich gesagt weiß ich nicht was diese permanente Route darstellt. Der Server ist im Grunde "nackig". Ich musste ihn aufgrund von kurzfristigem Hardwaretausch 2x installieren, Server 2008 und TMG. Beide Male stand ich vor dem selben Problem.

 

Außer dem Webzugriff, den VPN-Einstellungen mittels der vorgegebenen "Assistenten" und (was beim ISA2006 standardmäßig vorhanden war) die Firewallrichtlinie für den VPN-Client-Zugriff.

 

Ist das ein Bug? Eine Security-Einstellung? Habe ich was bei den Systemrichtlinien übersehen was Microsoft beim Versionswechsel berücksichtigt (fälschlicherweise oder nicht) Soweit ich gesehen habe ist der Server auf aktuellsten Stand, Malewareerkennung ist auch ausgeschalten.

 

Die Einstellungen am Client stimmen auch. Wenn ich die IP-Adresse vom alten ISA eintrage kann ich problemlos den Tunnel aufbauen.

 

VG Michl

Link zu diesem Kommentar

ich habe den route print beim alten ISA auch durchgeführt. Sieht komplett identisch aus...bis auf die Tatsache das da noch die IPv6-Konfig mit drin steht. Und die braucht man ja glaube ich für DirectAccess (wenn wir es bei uns implementieren sollten)

 

Ich hätte beinahe gesagt es liegt an den Berechtigungen, aber die Standardregeln sind angelegt und mitprotokollieren kann ich da irgendwie nix.

 

Na dann muss ich da mal weiterdocktern wenn ich wieder ein bisschen Zeit hab. Danke Dir für Deine Unterstützung.

Link zu diesem Kommentar

So, jetzt bin ich wieder einen Schritt weiter und konnte der Protokollierung doch was herauskitzeln.

 

Zugelassene Verbindung SUSH105 10.05.2010 17:49:06

Protokolltyp: Webproxy (Forward)

Status: 403 Verboten

Regel: VPN ins interne Netz

Quelle: VPN-Clients (192.168.126.6:49538)

Ziel: Intern (suha101.domain.net 192.168.118.200:80)

Anforderung: OPTIONS http://192.168.118.200/

 

Filterinformationen: Req ID: 0d287078; Compression: client=No, server=No, compress rate=0% decompress rate=0%

Protokoll: http

Benutzer: domain\username

 

Verweigerte Verbindung SUSH105 10.05.2010 17:49:07

Protokolltyp: Firewalldienst

Status: Die Richtlinienregeln lassen die Benutzeranforderung nicht zu.

Regel: Standardregel

Quelle: VPN-Clients (192.168.126.6:137)

Ziel: Lokaler Host (255.255.255.255:137)

Protokoll: NetBios-Namendienst

 

Protokolltyp: Firewalldienst

Status: 0x80072743 WSAENETUNREACH

Regel: VPN ins interne Netz

Quelle: VPN-Clients (192.168.126.6:49545)

Ziel: Intern (snas101.domain.net 192.168.118.183:445)

Protokoll: Microsoft CIFS (TCP)

Benutzer: domain\username

 

Warum wird der Vorgang geblockt? Ich habe doch Standard-Richtlinien dafür kreiert!?!? Muss da noch was in den Systemrichtlinien verändert werden, oder muss ich da noch gesonderte Zugriffsregeln anlegen?

 

VG Michl

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...