Jump to content
Sign in to follow this  
DanielHH

ISA2004 als Router zwischen Netzwerken (auch VPN)

Recommended Posts

Hallo liebe MCSEler,

 

ich habe hier bei einem Kunden den ISA 2004 laufen, der funktioniert so weit auch ganz toll. Was nicht funktioniert, scheint das korrekte Routing zu sein, da tun er und ich uns sehr schwer.

 

Folgende Konstellation:

 

ISA2004 mit zwei Netzwerkkarten

1: 192.168.176.16, virtuelle IP: 192.168.199.1

2: Externe IP

 

Lokales Netz 192.168.176.0/23

Clients hinter dem ISA haben den ISA als Standard-GW

Der Kunde greift über einen VPN Router auf ein externes Netz zu:

VPN-Router: 192.168.199.254

Externes Netz: 172.18.1.0

 

Vom ISA Server aus funktioniert das ganze ohne Probleme. Ein Ping auf die 172.18.1.1 geht direkt durch. Von einem Rechner HINTER dem ISA geht es nicht. Der Rechner bekommt eine Zeitüberschreitung, im Überwachungslog steht recht kommentarlos "Verb. verweigert".

 

In diesem Zusammenhang steht auch noch ein anderes Problem. Auf dem ISA Server ist ein PPTP-Zugang eingerichtet. Die Gegenseite verwendet Windows-Routing und RAS (ohne ISA) für die VPN-Einwahl, was auch funktioniert. Allerdings kann NUR der Rechner, von dem aus die Verbindung initiiert wurde auf das VPN Netz zugreifen. Als der ISA noch auf 2000 war, konnten auch die anderen Rechner in dem Fremdnetz über den Windows-Router in das lokale Netz hier zugreifen. Seit ISA 2004 nicht mehr..

 

 

Zwei Probleme, die selbe Ursache?

Zu hülf. :(

Share this post


Link to post
Share on other sites

Hi,

 

beim ISA 2004 sind auch Verbindungen via VPN den Firewall-Regeln unterworfen, im Gegensatz zu ISA2K.

 

Daher muss es eine Regel geben, die PING aus dem Internen Netz in das andere Netz zulässt.

 

Dass es vom ISA aus geht, liegt daran, dass es in der System-Policy eine entsprechende Regel gibt, die Ping vom ISA in andere Netze zulässt.

 

Christoph

Share this post


Link to post
Share on other sites

Heißt das, ich erstelle eine Firewallrichtlinie:

 

Erlaube <Protokoll> von Intern nach VPN-Clients ?

 

Oder muß ich ein eigenes Netz erstellen, was ich zb "Externe Netze" nenne und dort den IP-Bereich reinstecke?

Dann sähe die Richtlinie so aus:

 

Erlaube <Protokoll> von Intern nach Externe Netze.

 

Das hab ich schon probiert, das funktioniert aber auch nicht so wirklich..

Share this post


Link to post
Share on other sites

Hi,

 

wenn wir von Site To Site VPNs reden, muss u.a. ein entsprechendes Netz für die Remote Site definiert sein und es müssen Regeln definiert sein, die den Verkehr von der Remote Site zur lokalen Site steuern.

 

Wenn wir von RAS via VPN reden, müssen diese Regeln definiert sein für VPN-Clients nach Internal und umgekehrt.

 

Sehr gut beschrieben werden alle Voraussetzungen für VPN (Site to Site und RAS) in T. Shinders Bibel.

 

Christoph

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...