Jump to content

ISA2004 als Router zwischen Netzwerken (auch VPN)


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo liebe MCSEler,

 

ich habe hier bei einem Kunden den ISA 2004 laufen, der funktioniert so weit auch ganz toll. Was nicht funktioniert, scheint das korrekte Routing zu sein, da tun er und ich uns sehr schwer.

 

Folgende Konstellation:

 

ISA2004 mit zwei Netzwerkkarten

1: 192.168.176.16, virtuelle IP: 192.168.199.1

2: Externe IP

 

Lokales Netz 192.168.176.0/23

Clients hinter dem ISA haben den ISA als Standard-GW

Der Kunde greift über einen VPN Router auf ein externes Netz zu:

VPN-Router: 192.168.199.254

Externes Netz: 172.18.1.0

 

Vom ISA Server aus funktioniert das ganze ohne Probleme. Ein Ping auf die 172.18.1.1 geht direkt durch. Von einem Rechner HINTER dem ISA geht es nicht. Der Rechner bekommt eine Zeitüberschreitung, im Überwachungslog steht recht kommentarlos "Verb. verweigert".

 

In diesem Zusammenhang steht auch noch ein anderes Problem. Auf dem ISA Server ist ein PPTP-Zugang eingerichtet. Die Gegenseite verwendet Windows-Routing und RAS (ohne ISA) für die VPN-Einwahl, was auch funktioniert. Allerdings kann NUR der Rechner, von dem aus die Verbindung initiiert wurde auf das VPN Netz zugreifen. Als der ISA noch auf 2000 war, konnten auch die anderen Rechner in dem Fremdnetz über den Windows-Router in das lokale Netz hier zugreifen. Seit ISA 2004 nicht mehr..

 

 

Zwei Probleme, die selbe Ursache?

Zu hülf. :(

Link zu diesem Kommentar

Hi,

 

beim ISA 2004 sind auch Verbindungen via VPN den Firewall-Regeln unterworfen, im Gegensatz zu ISA2K.

 

Daher muss es eine Regel geben, die PING aus dem Internen Netz in das andere Netz zulässt.

 

Dass es vom ISA aus geht, liegt daran, dass es in der System-Policy eine entsprechende Regel gibt, die Ping vom ISA in andere Netze zulässt.

 

Christoph

Link zu diesem Kommentar

Heißt das, ich erstelle eine Firewallrichtlinie:

 

Erlaube <Protokoll> von Intern nach VPN-Clients ?

 

Oder muß ich ein eigenes Netz erstellen, was ich zb "Externe Netze" nenne und dort den IP-Bereich reinstecke?

Dann sähe die Richtlinie so aus:

 

Erlaube <Protokoll> von Intern nach Externe Netze.

 

Das hab ich schon probiert, das funktioniert aber auch nicht so wirklich..

Link zu diesem Kommentar

Hi,

 

wenn wir von Site To Site VPNs reden, muss u.a. ein entsprechendes Netz für die Remote Site definiert sein und es müssen Regeln definiert sein, die den Verkehr von der Remote Site zur lokalen Site steuern.

 

Wenn wir von RAS via VPN reden, müssen diese Regeln definiert sein für VPN-Clients nach Internal und umgekehrt.

 

Sehr gut beschrieben werden alle Voraussetzungen für VPN (Site to Site und RAS) in T. Shinders Bibel.

 

Christoph

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...