Frage für VPN Profis mit ISA Server2000

[Crockett 10]

Hallo !

 

Folgendes Problem :

 

Wir haben einen ISA 2000 Server als Firewall im Einsatz. Dieser ist auf einem W2k Server installiert. An den ISA ist ein DSL Router angeschlossen, welcher VPN fähig ist. Die IP des DSL Routers ist die öffentliche IP für den ISA.

 

Nun bekommen wir nächste Woche einen Nortel VPN Router in unserer interenes Netz (192.168.x.x) Dieser Nortel Router ist dafür gedacht das er Daten von unserem interen Notes Server über VPN an einen anderen Standort schickt.

Nun machte mich der Lieferant des Nortel Routers darauf aufmerksam das es bei anderen Kunden mit dem ISA und VPN zu Problemen kam. Das VPN läuft mit IPSEc. Er sagte das es bei ihm immer so war das der ISA zwar die ISAKMP (UDP Port 500) durchgelassen hat aber bei ESP sich geweigert hat. (IP Typ 50).

 

Kann mir jemand einen Tipp geben was zu beachten ist oder ob dieses mit dem ISA wirklich nicht möglich ist.

 

Ziel des ganzen soll es wie gesagt sein das der Notes Server über den Nortel Router die VPN Verbindung durch den ISA mit einem anderen Standort aufnimmt.

 

Gruß

 

Christian

[Wildi 10]

Hallo Christian,

 

diese Konstellation hab ich so zwar noch nicht gehabt, jedoch könnte der ISA selbst ein VPN auf IPSec Basis. Was jetzt nicht heißen soll, Du wirfst den Nortel weg :)

 

Wenn aber der ISA selbst IPSec VPN kann spricht doch prinzipiell nix dagegen die Pakete durch den ISA zum Nortel zu schicken. Sollte es wirklich nicht klappen, aus welchen Gründen auch immer, dann:

 

Stell doch das Nortel VPN vor den ISA. Sprich Reihenfolge: DSL-Router - NORTEL - ISA. Das müsste doch dann auf alle Fälle gehen, weil Auth. noch vor'm ISA läuft

[Crockett 10]

@Wildi

 

Danke erstmal für die Antwort... Bei der Reihenfolge der Aufstellung der Gerät habe ich leider nicht allzuviel Spielraum.

Dieses wird uns von unserer Zentrale vorgegeben. Auf die Config vom Nortel habe ich nur Lesezugriff.

 

Was muss ich denn beachten wenn ich IPSec durch den ISA bekommen will. Im Moment ist noch nichts eingerichtet auf dem ISA was VPN betrifft.

 

So wie mir halt gesagt wurde ist das Problem wohl das ESP was nicht gehen soll. (IP Typ 50)

 

Gruß

 

Christian

[Wildi 10]

Wie schon gesagt. Im Prinzip lasse ich immer den ISA selbst das VPN machen. In Deinem Fall soll's ja ein Gerät dahinter tun.

 

Das wäre ja dann nichts anderes wie Serververöffentlichungsregeln auf dem ISA (Quasi das Forwarding). Ich denke mir evtl., dass Du dann noch ein paar Paketfilter erstellen musst, damit das ESP unbeschadet durchkommt.

 

Speziell für Dein Prob. fehlt mir allerdings die Praxis. Denke aber mal das Dir da unser Grizzly weiterhelfen kann :)

[Crockett 10]

@wildi

 

Serververöffentlichung bei den Ports wäre ja nicht das Problem, bloss für das ESP, dieses nutzt ja keine Ports sondern die Protokoll Def. 50, das kann ich ja nirgends einstellen.

 

@Grizzly999

 

Hast du eine Idee dazu ?

 

 

 

Gruß

 

Christian

[grizzly999 11]

Nein, das geht nicht mit 2000 und IPsec, nur PPTP. Der Header wird beim NAT geändert und dann stimmt die Prüfsumme im AH des IPSec-Pakets nicht mehr. Da PPTP diesen AH nicht hat, geht PPTP problemlos durch NAT-Geräte.

Abhilfe könnte hier u.U. wohl nur der Einsatz von 2003 Server mit NAT-T helfen, wenn die Gegenseite mitspielt.

http://www.microsoft.com/technet/community/columns/cableguy/cg0802.mspx

http://www.isaserver.org/articles/IPSec_Passthrough.html

Zu Versuchen in diese Richtung bin ich aber noch nicht gekommen.

 

Oder aber das NAT-T Update für 2000 und XP ausprobieren, auch hier habe ich mangels zeit zum Testen keine Erfahrung: http://support.microsoft.com/default.aspx?scid=kb;en-us;818043

 

grizzly999

[Crockett 10]

@grizzly999

 

Danke für die Antwort...

Heute habe ich noch einmal mit dem Menschen telefoniert der den Router (Nortel) programmiert für uns. Ich fragte ihn ob es mit NAT-T nicht realisierbar wäre, weil ich dieses im Zusammenhang mit dem Nortel Router auf ISAServer.og gelesen hatte

 

http://www.isaserver.org/articles/IPSec_Passthrough.html

 

Dort stand es unter Punkt 5.5. Er meinte aber das es nicht ginge weil das NAT-T von der Client Seite aus gehen müsste und nicht vom Nortel aus.

 

Gruß

 

Christian

[grizzly999 11]

Wieso von Client-Seite aus, der macht doch gar keinen VPN-Tunnel auf :suspect: würde ich jetzt von meinem Netzwerkverständnis her ins Reich des Unfugs verweisen. Aber am Router muss das natürlich einstellbar sein, täte er das denn?

Wenn der es nicht kann, dann geht es wirklich nicht.

 

grizzly999

[Crockett 10]

@grizzly999

 

Ja, verstanden habe ich das mit der Client Seite auch nicht, und ihn gefragt ob es nicht reicht wenn man das einfach am Router (Nortel) einstellen würde.

 

So wie es in dem Link steht den ich im letzten Post geschrieben hatte, soll es bei den Nortel Routern gehen. Die beschreiben das dort zwar für einen Nortel Switch, denke aber mal das es beim Router gehen sollte. Der Mensch der das programmiert meinte nicht.

 

 

Gruß

 

Christian

[Wildi 10]

Stümmt, das mit dem NAT und dem EH hab ich ja auch noch nicht bedacht.

 

Wenn ich das richtig verstehe kommt vor dem GANZEN ja eh erst ein DSL Router. Nun, der ist doch der große NAT'er. Also wirst Du mit IPSec VPN ja schon dort das big Problem haben. Sprich, eh noch vor dem ISA.

 

Der ISA NAT'et ja nicht. Soll heißen, da müsste ich doch mit so nem VPN und der Serververöffentlichung zum Nortel hinkommen, oder? Der DSL Router ist doch das Problem ?!

[Crockett 10]

@Wildi

 

Also der Router sollte das so handeln können das er die IPSec Pakete nicht anrührt. Es ist ein Gerät von LanReady welches auch eigene VPN Tunnel zwischen 2 Routern aufbauen kann.

 

Ich werde es jetzt wohl so machen, das ich den Nortel mit einer Seite in das 10.0.0.x Netz hängen werde und mit einer Seite in das 192.168.x.x Netz. Somit läuft der Nortel parallel zum ISA, selbiger wird damit umgangen. Anders geht es leider nicht.

 

Gruß

 

Christian

[Wildi 10]

Guten Morgen,

 

ja, parallel zum ISA laufen lassen ist die Alternative, damit Du das scheinbar angegebene Problem mit dem ISA umgehst, aber was ich eben nicht bedacht habe ist das Thema mit dem geänderten EH Header bei NAT, was Grizzly angesprochen hat. Hab das gerade nochmal nachgelesen.

 

Es sieht so aus, dass die meissten DSL Router VPN durchlassen. Das haben wir dem Passthrough (GRE47) zu verdanken. Damit ist aber das gewöhnliche PPTP VPN gemeint. Da PPTP VPN keine EH Auth. verwendet, ist es ihm auch egal, ob das NAT in diesem Header Bereich was ändert oder nicht.

Wenn Du IPSec VPN verwendest bist Du ja auf EH angewiesen. Das geht nur bei den Routern nicht, weil dort das NAT diesen Header ändert und eben nicht mehr korrekt an den VPN Server geschickt werden.

 

Wenn Du schreibst, Dein LANReady Router kann VPN, dann ist damit entweder das Passthrough gemeint, oder wenn der Router selbst ein VPN Endpunkt sein kann, dann passiert das VPN in dem Router sozusagen auf der WAN Seite, noch vor dem NAT.

 

Beachte das einfach mal. Nicht das Du Probleme mit Deinem Nortel IPSec Router bekommst

[Crockett 10]

@Wildi

 

Danke nochmal für die Mail... Also der Router kann VPN Endpunkt sein (DSL Router), damit wäre der Nortel eigentlich überflüssig...Aber unsere Zentrale will es halt einheitlich... Werde mal sehen was passiert wenn das IPSec durchgeht.. Lt. dem Menschen der den Nortel programmiert soll es angeblich DSL Router geben die den Header nicht verändern......

 

Das Gerät kommt die Tage dann werde ich sehen ob ich ein Problem bekomme :-(

 

Schreibe dann mal näheres..

 

Gruß

 

Christian