Jump to content

ISA 2004 und VPN per L2TP


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo ihr!

 

Ich darf gerade ein VPN auf einem ISA 2004 (auf Win2003 Server) einrichten. Hierbei steht der ISA als Edge-Firewall direkt hinter einem AVM-Router (Fritz!Box SL WLAN) und ist kein Domänen-Mitglied (damit kein AD etc).

 

Momentan teste ich das Ganze noch von Intern, da ich nur hier im Büro sitze. Habe auf unserem SBS2003 DC eine Zertifizierungsstelle eingerichtet und entsprechende IPSec-Zertifikate für den ISA und den Client ausgestellt so wie ich es in einem Whitepaper gefunden hatte. Bei einem Versuch mich zu verbinden (XP Client) heißt es jedoch es wäre kein korrektes Zertifikat auf dem Client installiert.

 

Mit PPTP klappt alles problemlos.

 

Kann mir vielleicht nochmal jemand die Schritte für die Zertifikatseinrichtung für mein Szenario erläutern?

 

Nur falls es wichtig ist: Auf dem ISA laufen auch schon Webdav/OWA-Freigaben, die per https-zu-https auf unseren SBS weitergeleitet werden. Hier fünktioniert alles wunderbar... :(

 

Ich wäre euch für jeden Tipp dankbar...

 

Gruß,

Daniel

Link to comment

Oh mann, manchmal bin ich auch ****... Kaum hab ich die Frage geschrieben, da finde ich den Fehler selbst:

 

Auf dem Client war die Serverzertifizierungsstelle nicht als Vertrauenswürdige Stammzertifizierungsstelle eingetragen, jetzt geht alles (intern).

 

Da bliebe nur noch zwei Fragen:

 

1. Welche Ports muss ich auf dem Router weiterleiten lassen (zum ISA), damit L2TP von außen funktioniert?

 

2. Was gibt es bei L2TP ansonsten noch zu beachten, um es möglichst sicher zu gestalten? Ich habe jetzt auf Client und Server lediglich ein IPSec-zertifikat installiert und melde mich mit lokalen Anmeldeinformationen (am ISA lokal eingetragen, er ist ja kein Domänen-Mitglied). Gibt es da auch "schönere" konfigurationen, so dass sich die User direkt mit Domänen-Accounts anmelden können, obwohl der ISA nicht in der Domäne ist? Oder muss ich ihn dazu zum Memberserver machen?

 

Danke schonmal im voraus,

 

Daniel

 

 

Edit:

Danke für den schnellen Tipp, werde mir die Seite trotzdem nochmal durchlesen... :)

Link to comment

L2TP/IPsec mit NAT-T (NAT-T ist mit Windows Server 2003/ISA Server 2004 moeglich) geht ueber UDP 500, UDP 1701 und UDP 4500.

L2TP/IPsec ohne NAT-T geht ueber UDP 500, UDP 1701 sowie ESP+AH (Protokollnummern 50+51).

 

PPTP geht ueber TCP 1723 und GRE (Protokollnummer 47).

Link to comment

Danke für die zahlreichen Infos.

 

Hast du spontan 'nen guten Link zum Thema Radius-Server? Sowas hab ich bisher noch nie aufgesetzt...

 

Was NAT-T angeht, das kommt bei uns eher auf den Router an, der das schließlich zuerst durchleiten muss, bevor man überhaupt beim Server landet. Aber ich schätze mal nicht, dass die Fritz!Box sowas kann. Aber wenn ich mich nicht irre kann ich sie auch gezielt als DSL-Modem laufen lassen, dann müsste das eigentlich wieder funktionieren...

 

Dank nochmals und gute Nacht!

 

Daniel

Link to comment

RADIUS und ISA Server 2004: siehe http://www.msisafaq.de/Anleitungen/2004/Konfiguration/ISAIAS.htm

 

Was NAT-T angeht, das kommt bei uns eher auf den Router an

Du verwechselt NAT mit NAT-T.;)

NAT-Traversal (NAT-T) wurde entwickelt, weil das originale L2TP/IPsec ueber NAT (Network Address Translation) nicht moeglich ist. Mit NAT werden die zusaetzlichen ESP-Pakete veraendert und damit sind diese nicht mehr nutzbar.

 

Bei NAT-T werden die ESP-Pakete in UDP-Pakete gekapselt und auf dem UDP-Port 4500 uebertragen.

D.h. nur die beiden VPN-Endpunkte muessen NAT-T-faehig sein.

Die dazwischenliegenden Systeme muessen nur die o.g. UDP-Ports durchleiten.

 

Beim ISA Server ist NAT-T nur mit der Kombination ISA Server 2004 auf Windows Server 2003 moeglich.

Link to comment

Naja, insofern muß der Router ja zumindest UDP-Ports forwarden können, was meine alte Fritz!Box zuhause auch nicht kann. Aber du hast Recht, ich hab die beiden "NATs" zwar nicht verwechselt, mich bisher aber noch nicht sonderlich in NAT-traversal eingelesen...

 

Danke für deine Hilfe, das mit dem RADIUS werde ich mir durchlesen, sobald ich die Tage ein klein wenig Ruhe finde... :)

 

Dank und Gruß,

Daniel

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...