Willüüü 10 Geschrieben 29. Mai 2006 Melden Geschrieben 29. Mai 2006 Hallo, folgendes Szenario. Ein Windows 2003 Server auf dem Routing und RAS konfiguriert ist für L2TP Verbindungen mit IPSec und Preshared Key konfiguriert. Auf dem Server läuft ein ISA-Server 2004. Vom internen Netzwerk kann ich problemlos zugreifen. Von außen blockt der ISA-Server, obwohl eine Regel von VPN-Clients nach lokalen Host mit den Protokollen L2TP-Server, IPSec-NAT-T und IPSec-ESP-Server konfiguriert ist. Zum WAN ist ein SMC7804 WBR Router und der Server hängt in einer DMZ. Was ist falsch? Danke.
grizzly999 11 Geschrieben 29. Mai 2006 Melden Geschrieben 29. Mai 2006 Wieso von VPN nach Lokaler Host? Die VPN-Regel geht normalerweise: VPN-Clients -> intern Gesamter Datenverkehr. grizzly999
Willüüü 10 Geschrieben 29. Mai 2006 Autor Melden Geschrieben 29. Mai 2006 Weil auf die Freigaben des Servers zugegriffen werden soll.
Christoph35 10 Geschrieben 29. Mai 2006 Melden Geschrieben 29. Mai 2006 Auf was für Freigaben soll denn da zugegriffen werden? Ich hoffe nur auf den Share für den Firewall Client... Wenn dem so ist, könntest Du auch in der System-Policy das VPN Netz der System-Policy für die FW-Client-Installation hinzufügen. Ansonsten solltest Du berücksichtigen, dass ein ISA Server nur als solcher fungieren und sonst keine Aufgaben wie File-Server etc. wahrnehmen sollte. Somit kann ich mich nur Grizzly anschließen: VPN-Clients sollten aufs interne Netz zugreifen können, weniger auf den ISA Server selbst. Christoph
Willüüü 10 Geschrieben 29. Mai 2006 Autor Melden Geschrieben 29. Mai 2006 Das sind die Regeln. Wie gesagt der Router hängt in einer DMZ, bzw. der Server. Freigaben sind halt auf dem ISA-Server. Über PPTP klappt es übrigens perfekt. Hoff ihr könnt mir helfen. Danke Hier mal die Regeln: http://img116.imageshack.us/img116/1566/firewallvpnregelnigbi6jv.jpg
grizzly999 11 Geschrieben 29. Mai 2006 Melden Geschrieben 29. Mai 2006 Das was du da eingerichtet hast, sind keine VPN-Zugriffsregeln, das sind Server Veröffentlichungsregeln. Ich habe dir oben gesagt, wie die Regel prinzipiell aussehen muss. Falls meine praktische Erfahrung nicht ausreichen sollte, dann lese er selber nach (direkter DOC-Download 8,3 MB): http://download.microsoft.com/download/3/7/b/37b0cbc4-e578-4082-a779-de4fbe876f06/isa2004se_vpnkit-rev%201%2004.doc grizzly999
Willüüü 10 Geschrieben 29. Mai 2006 Autor Melden Geschrieben 29. Mai 2006 Danke schonmal, das Dokument habe ich schon gelesen, aber was muss ich denn genau machen? Ich will doch einen L2TP-Server mit IPSec veröffentlichen. Ich hoffe du kannst mir helfen.
grizzly999 11 Geschrieben 29. Mai 2006 Melden Geschrieben 29. Mai 2006 Regel (zulassen natürlich ;) ): Quelle Ziel Protokolle -------- ---------- ---------------- VPN-Clients intern Gesamter ausgehender Datenverkehr Wenn Zugriff auf die ISA-Freigaben selber (wobei auf einem ISA normal nichts verloren hat an Freigaben oder Applikationen wie SQL oder Exchange oder DC oder ....) so: Quelle Ziel Protokolle -------- ---------- ---------------- VPN-Clients intern, Lokaler Host Gesamter ausgehender Datenverkehr grizzly999
Willüüü 10 Geschrieben 30. Mai 2006 Autor Melden Geschrieben 30. Mai 2006 Fehler 792 kommt am Client beim Einwählen. Muss ja mit einer Serververöffentlichungsregel zu tun hab. Für PPTP brauch ich auch PPTP-Server damit ich mich einwählen kann. Ohne gehts auch nicht. Welche Serververöffentlichung brauch ich dann für L2TP und IPSec?
grizzly999 11 Geschrieben 30. Mai 2006 Melden Geschrieben 30. Mai 2006 Halloooo, jemand zuhause, poch poch?! :suspect: Ich sagte doch, du sollst deine Serververöffentlichungsregeln knicken. Ich habe dir auch gesagt wie die Regeln auszusehen haben, da gibt es zusätzlich auch einen Wizard zur VPN Einrichtung, der wird grad auch benötigt, und einen Link zu einem Dokument gepostet, wie der ISA als VPN Server eingerichtet wird. Ok, das Paper ist englisch. Hier ein Bilderbuch zum Mitklicken auf deutsch: http://www.msisafaq.de/Anleitungen/2004/VPN/index.htm Wenn du dann auf einer fachlich-technischen sauberen Ebene kommunzieren und troubleshooten möchtest, dann mache es so und melde dich bei Bedarf wieder. Wenn du weiter mit Publishing Rules rummurksen möchtest, dann klinke ich mich aus. Vielen Dank für dein Verständnis grizzly999
Willüüü 10 Geschrieben 31. Mai 2006 Autor Melden Geschrieben 31. Mai 2006 Entschuldigung. Habe es probiert und so geht es nicht. Nicht mal mehr mein PPTP Server ist erreichbar. Edit://Und wieso veröffentlichen die bei deinem Link Server in den Firewallregen? Das ist dann aber unlogisch was du sagst. ISA muss ja auch auf einem Port lauschen, dass ist unlogisch irgendwie. Das mit den VPN Clients nach Intern sagt ja nur das NACH der Einwahl die VPN Clients das machen dürfen. Danke.
grizzly999 11 Geschrieben 31. Mai 2006 Melden Geschrieben 31. Mai 2006 Entschuldigung. Habe es probiert und so geht es nicht. Nicht mal mehr mein PPTP Server ist erreichbar Dann ist irgendwas falsch konfiguriert, so die Pakete auch alle von aussen an den ISA weitergeleitet werden. Ich habe nicht nur einen oder zwei oder drei ISA mit VPN-Zugang eingerichtet, ich weiss wovon ich rede und ich weiß, wie ich es gemacht habe. Ich habe dabei niemals eine Veröffentlichungsregel benötigt. Immer nur "normale" Firewallregeln. Edit://Und wieso veröffentlichen die bei deinem Link Server in den Firewallregen? Sorry, meine Augen sind zwar nicht mehr die jüngsten, aber ich sehe hier keine Serververöffentlichung für den VPN-Zugriff in den Firewallregeln: http://www.msisafaq.de/Anleitungen/2004/VPN/VPN_PPTP.htm http://www.msisafaq.de/Anleitungen/2004/VPN/VPN_PPTP2.htm grizzly999
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden