VPN Routing (TMG)

[crivi 10]

Hallo zusammen

 

Wir haben ein TMG im Einsatz. Nun haben wir noch einen Server extern, welchen wir gerne via VPN anbinden möchten.

 

Nun habe ich auf dem TMG die VPN Verbindung eingerichtet. Diese funktioniert auch. Ich kann nun vom TMG Server auf den entfernten Server zugreifen.

 

Allerdings sollte ich dies auch von den Clients können. Ich gehe mal davon aus, dass hier ein Routing Problem vorliegt.

 

Lokales Netzwerk: 10.0.0.1 - 10.0.0.255

 

[b][u]TMG Server:[/u][/b]
[b]PPP-Adapter ZH:[/b]
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : ZH
Physikalische Adresse . . . . . . :
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse  . . . . . . . . . . : 3.0.0.8(Bevorzugt)
Subnetzmaske  . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . :
DNS-Server  . . . . . . . . . . . : 94.126.16.16
                                   80.74.130.131
NetBIOS über TCP/IP . . . . . . . : Aktiviert

**************************************************

[b]Ethernet-Adapter Netzwerk:[/b]
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Intel(R) 82574L Gigabit Network Connection #2
Physikalische Adresse . . . . . . : 00-25-90-01-42-D2
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse  . . . . . . . . . . : 10.0.0.1(Bevorzugt)
Subnetzmaske  . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
DNS-Server  . . . . . . . . . . . : 10.0.0.196
                                   10.0.0.1
NetBIOS über TCP/IP . . . . . . . : Deaktiviert

*****************************************************

[b]PPP-Adapter FW01:[/b]
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : FW01
Physikalische Adresse . . . . . . :
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse  . . . . . . . . . . : xxx.xxx.xxx.113(Bevorzugt)
Subnetzmaske  . . . . . . . . . . : 255.255.255.255
Standardgateway . . . . . . . . . : 0.0.0.0
DNS-Server  . . . . . . . . . . . : 10.0.0.196
NetBIOS über TCP/IP . . . . . . . : Deaktiviert

******************************************************

 

Entferntes Netzwerk: 3.0.0.1 - 3.0.0.255

Remote-Server-IP: 3.0.0.1

Remote-Client-IP: 3.0.0.8

 

******************************************************

 

[b][u]Client:[/u][/b]
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix: xxx.ch
Beschreibung. . . . . . . . . . . : Marvell Yukon 88E8036 PCI-E-Fast-Ethernet-Controller
Physikalische Adresse . . . . . . : 00-13-A9-80-D7-EE
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IPv4-Adresse  . . . . . . . . . . : 10.0.0.113(Bevorzugt)
Subnetzmaske  . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Freitag, 9. Juli 2010 16:21:11
Lease läuft ab. . . . . . . . . . : Mittwoch, 21. Juli 2010 16:21:10
Standardgateway . . . . . . . . . : 10.0.0.1
DHCP-Server . . . . . . . . . . . : 10.0.0.196
DNS-Server  . . . . . . . . . . . : 10.0.0.196
                                   10.0.0.1
NetBIOS über TCP/IP . . . . . . . : Aktiviert

***************************************************

 

Als ich im TMG die Standort-zu-Standort Verbindung eingerichtet habe, hat er automatisch noch 2 Regeln erstellt. Gemäss der Datenverkehrssimulation funktionieren diese auch und der Datenverkehr zum entfernten VPN Standort wird durchgelassen.

 

Dies sehe ich ja auch, dass ich von TMG aus, auch via RDP auf den entfernten Server komme.

 

Folgende Routen wurden automatisch eingerichtet:

 

 

Könnt Ihr mir sagen, was ich einrichten muss, damit ich von den Clients via TMG auf den entfernten Server zugreifen kann?

 

Wenn Ihr noch weitere Informationen haben müsst, gebe ich diese natürlich gerne durch.

 

Vielen Dank.

 

Gruess Raffi

[unst 10]

was macht denn ein tracert zum remotestandort vom client aus? geht der bis zum TMG und terminiert dann? oder weiß er nicht wo er hin soll?

 

ist die FW regel auf dem TMG so, dass die clients ins remotenetz können?

[crivi 10]

Hi

 

Ja, die Clients können ins Remote Netzwerk. In der Datenverkehrssimulation sehe ich, dass es erlaubt wird.

 

Die DNS Auflösung, etc. könnte schon das Problem sein.

 

[b]tracert Client[/b]
C:\Users\xxx>tracert 3.0.0.1

Routenverfolgung zu [color="Red"]n003-000-000-000.static.ge.com [/color][3.0.0.1] über maximal 30 Abs
chnitte:

 1    <1 ms     *       <1 ms  fw01.xxx.ch [10.0.0.1]
 2     *        *        *     Zeitüberschreitung der Anforderung.
 3     *        *        *     Zeitüberschreitung der Anforderung.
 4     *        *        *     Zeitüberschreitung der Anforderung.
 5  ^C

 

Anscheinend wird die IP 3.0.0.1 von der Domain ge.com im Internet verwendet und ich gehe davon aus, dass der Client darauf connecten will.

 

Interessant ist aber, dass von TMG FW01 das tracert genau gleich aussieht, es da aber funktioniert.

 

Hast Du irgendeine Idee woran das liegen könnte?

 

Hier noch die Bestätigung dass der Client durch den TMG zugelassen wird:

 

Danke für Eure Hilfe.

 

Gruess Raffi

[unst 10]

darf ich fragen, warum ihr öffentliche IPs benutzt intern? Ich meine...is doof merkste selbst...

was ist denn wenn du im 3.0.0.0 netz nen tracrt auf 3.0.0.1 machst? landet der intern oder geht der raus? könnt ihr das nicht umstellen?

 

man könnte ja z.b. im 10er netz verschiedene nehmen...

 

10.20.0.0/16

 

10.40.0.0/16

 

oder je nachdem wie groß du die maske halt brauchst.

 

weißt aber was ich meine, oder? wäre das nicht leiter als irgenwie auf teufel komm aus den traffic auf die 3.0.0.1 zu routen?

 

könnte mir vorstellen das es immer wieder zu problemem führt...

[crivi 10]

Das ist absolut korrekt.

Der Server steht extern in einem Rechenzentrum. Kann ich dort via RDP auf dem RAS Manager die IP einfach so ändern? Da der Server öffentlich zugängich ist, sollte dieser keinen Unterbruch erleiden. Aber meiner Meinung nach betrifft es ja nicht die öffentliche Schnittstelle, sondern die IP Range welche via VPN vergeben wird.

 

Ich sehe absolut, dass dies zu Problemen führt. War mir dazumal, als ich das ganze eingerichtet habe nicht bewusst.

 

Gruss Raffi

[crivi 10]

Also, ich habe das jetzt mal ausprobiert. Habe die IP Range 10.10.0.0 - 10.10.0.100.

Jetzt sehe ich dass der Server sich die IP: 10.10.0.0 nimmt.

 

Kann dies der Grund sein, dass ich nicht auf den Server zugreifen kann?

Was kann ich machen, damit ich auf den Server zugreifen kann? Ich bin via VPN verbunden und in dessen Netzwerk. Ich erhalte die IP 10.10.0.7.

 

Besten Dank.

Gruss Raffi

[unst 10]

der server hat die 10.10.0.0??

 

kurze frage: warum wählt der server sich nicht bei euch ein sondern anderes herum? oder verstehe ich da was falsch?

 

weil nach meinem wissenstand der pptp-verbinder die verbindung nicht so leicht verteilen kann oder? wäre es nicht leiter den server sich verbinden zu lassen`?

[crivi 10]

Doch es wäre grundsätzlich wesentlich einfacher, wenn sich der Server in unserem Netzwerk einwählen würde.

Ich habe allerdings bedenken, dass der Server durch das Einwählen die Konnektivität verliert.

 

Deshalb wollte ich vorerst, dass sich unser TMG beim externen Server einwählt.

 

Ja der Server hat die IP: 10.10.0.0. Frag mich nicht wieso er sich ausgerechnet diese ausgewählt hat. 10.10.0.1 würde die ganze Angelegenheit wesentlich einfacher gestalten :)

 

Gruss Raffi

[Zweckoptimist 10]

10.0.0.0 kann er nicht als IP haben! Die 0 ist keine gültige IP. Du musst die DHCP-Range anpassen!

[crivi 10]

Nein, aber ich gehe mal davon aus dass der DHCP kein Gateway liefert.

Ja das mit der IP 3.0.0.0 ist mir absolut bewusst.

 

Da ich mich nun zwar via VPN am Server einwählen kann, aber via RDP nicht auf diesen zugreiffen kann, wird das anpassen der DHCP Range etwas schwierig. Oder hast Du eine Idee wie ich diese anpassen kann, ohne die grafische Oberfläche des Servers?

 

 

Gruess Raffi

[Zweckoptimist 10]

Das so nicht, aber du könntest manuell eine Adresse ausserhalb des DHCP-bereichs vergeben, sprich irgendwas von 101-254.

 

Gruß

Christian

[unst 10]

heißt das jetzt, du kommst an den server gar nicht mehr dran?!

[Zweckoptimist 10]

Ich versteh schon nicht, warum der Server intern ne DHCP-Adresse bekommt.

 

Und warum machst Du nen tracert auf die 3.0.0.1 anstatt auf die 8?

Hab ich da was nicht verstanden?

 

Gruß

Christian

[crivi 10]

Das war ursprünglich ein Standalone Server, auf welchen wir jeweils eine VPN Verbindung aufgebaut hatten um via RDP darauf zuzugreifen.

 

Da wir nun ganz neu einen TMG im Einsatz haben, wollte ich diesen ins Netzwerk integrieren.

 

Ich wollte am Server so wenig wie möglich ändern, da er im produktiven Einsatz ist.

 

Daher auf die Verbindung vom TMG zum Server und nicht umgekehrt.

Ja es ist so, dass der Server momentan zwar läuft, ich ihn aber nicht steuern kann.

 

Dies möchte ich eigentlich gerne ändern, ohne vor Ort ins RZ gehen zu müssen.

Gibt es da irgendeine Idee, wie ich doch noch an den Server komme?

 

Das mit der manuellen IP vergeben ist somit auch hinfällig, da ich da nicht ran komme.

Nee der tracert hatte ursprünglich schon gestummen, da der Server die IP 3.0.0.1 hatte. Da diese aber eine öffentliche IP war, habe ich im RRAS die DHCP Range von 3.0.0.0 - 3.0.0.100 auf 10.10.0.0 - 10.10.0.100 geändert. Und nun bezieht der Server komischerweise die IP 3.0.0.0.

 

Gruss Raffi

[Zweckoptimist 10]

Mel eben zum Thema DHCP:

die 0 und die 255 sind nicht in der DHCP-Range enthalten und ergeben keine zu vergebenen IP-Adressen.

 

Zum Zugriff:

Der Client mit dem Du testest hast doch ne 10er Adresse. Mach doch einfach ne RDP-Sitzung vom Client über die 10er IP des Servers auf.

 

Gruß

Christian

 

P.S.: ipconfig /renew, nachdem du die Range geändert hast ;-)