LANCOM und Microsoft ISA 2000
Moderator: Lancom-Systems Moderatoren
LANCOM und Microsoft ISA 2000
Hallo,
habe einen LANCOM 1611 auf der Remoteseite stehen auf den ich per Advanced VPN Client zugriefen möchte.
Mein Client steht allerdings hinter einem Microsoft ISA Server 2000.
Habe auf dieser auf den Port 500 UDP freigeschaltet. Ich erhalte auch eine Verbindung, nur sehe ich, dass keine Daten empfangen werden. Gesendet wir fleißig. Deshalb meine Vermutung, dass ich auf dem ISA noch einen Port freischalten muss.
Hat hierzu eine eine Idee, welche Ports ich genau freischalten muß???
Vielen Dank im voraus...
Wolle
habe einen LANCOM 1611 auf der Remoteseite stehen auf den ich per Advanced VPN Client zugriefen möchte.
Mein Client steht allerdings hinter einem Microsoft ISA Server 2000.
Habe auf dieser auf den Port 500 UDP freigeschaltet. Ich erhalte auch eine Verbindung, nur sehe ich, dass keine Daten empfangen werden. Gesendet wir fleißig. Deshalb meine Vermutung, dass ich auf dem ISA noch einen Port freischalten muss.
Hat hierzu eine eine Idee, welche Ports ich genau freischalten muß???
Vielen Dank im voraus...
Wolle
Zeigt das Log des ISA irgendwas an in richtig blockiert wegen Regel blablabla? Wenn nicht, wir wohl kaum ein weiterer Port erforderlich sein! Also weitere Diagnosen: Gehen schnöde Pings durch die Leitung?
Gruß
COMCARGRU
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
wie kann ich erkenn, ob der isa Firewall oder NAT macht. Habe im Server 2 Netzwerkkarten, vermute somit, dass er sowohl Firewall als auch NAT macht. Im Ereignisprotokoll kann ich nur erkennen, dass eine Zulassungsregel benutzt wird. Wie gesagt, eine VPN Verbindung kommt zustande, jedoch bekomme ich keine recievedaten.
Was meinst Du mit IP Protokoll 50 TCP oder UDP ???
Entschuldige bitte, aber ich bin noch nicht so fit in Sachen Sicherheit...
P.S. Ein VPN Verbinung mit einem CISCO Client auch UDP 500 funktioniert problemlos durch den ISA...
Gruß wolliausn
Was meinst Du mit IP Protokoll 50 TCP oder UDP ???
Entschuldige bitte, aber ich bin noch nicht so fit in Sachen Sicherheit...
P.S. Ein VPN Verbinung mit einem CISCO Client auch UDP 500 funktioniert problemlos durch den ISA...
Gruß wolliausn
Wenn du kein Replay auf ein Ping bekommst, gehen die Pings eben nicht durch die Leitung!!!
Wenn Pings gehen und "größere" Sachen nicht, kann das ein Hinweis auf MTU Probleme sein!
Aber was anderes, stell den ISA hinter den Lancom - das ist besser (sicherer) und dürfte dein Problem gleich mit beseitigen...
Gruß
COMCARGRU
Wenn Pings gehen und "größere" Sachen nicht, kann das ein Hinweis auf MTU Probleme sein!
Aber was anderes, stell den ISA hinter den Lancom - das ist besser (sicherer) und dürfte dein Problem gleich mit beseitigen...
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
habe die mtu size bereits angepasst. den isa kann ich nicht hinter den lancom stellen, da in unserem netzwerk kein lancom installiert ist.
aber nochmals. eine vpn verbinung wird korrekt aufbaut. ich erhalte eine grüne leitung. danach sehe ich aber, dass Wert Daten (RX) in Byte auf 0 stehen bleibt. und hier liegt, denke ich das problem...
vielen dank für schnelle hilfe...
aber nochmals. eine vpn verbinung wird korrekt aufbaut. ich erhalte eine grüne leitung. danach sehe ich aber, dass Wert Daten (RX) in Byte auf 0 stehen bleibt. und hier liegt, denke ich das problem...
vielen dank für schnelle hilfe...
Hups, da habe ich was mit einem anderen Thread bezüglich ISA verwechslt - andres Forum!
Tja, aber irgendwelche Logs muß der ISA ja ausspucken. Wird zeit, daß ich das Teil mal installiere und teste...
Gruß
COMCARGRU
Tja, aber irgendwelche Logs muß der ISA ja ausspucken. Wird zeit, daß ich das Teil mal installiere und teste...
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Hi wolliausn
Ich vermute einfach, der ISA-Server kann ganz einfach IPSec nicht NATten. Versuch doch mal einen PPTP-Tunnel aufzubauen und darin die VPN-Verbindung aufzubauen, so wie es der LANCOM "Standard-Client" macht. Ich hoffe der ISA-Server kommt wenigstens mit den GRE-Paketen im PPTP klar.
Ansonsten hast du vermutlich keine Chance mehr, den VPN-Tunnel durch den ISA-Server hindurchzukriegen
Gruß
Backslash
dann wird er vermutlich auch NAT machenwie kann ich erkenn, ob der isa Firewall oder NAT macht. Habe im Server 2 Netzwerkkarten, vermute somit, dass er sowohl Firewall als auch NAT macht. Im Ereignisprotokoll kann ich nur erkennen, dass eine Zulassungsregel benutzt wird. Wie gesagt, eine VPN Verbindung kommt zustande, jedoch bekomme ich keine recievedaten.
weder noch, ich meine ESPWas meinst Du mit IP Protokoll 50 TCP oder UDP ???
dann wird der vermutlich NAT-Traversal machen, d.h. er packt die ESP-Pakete nochmal in UDP-Pakete ein, die dann problemlos durch ein NAT-Device gehen.Entschuldige bitte, aber ich bin noch nicht so fit in Sachen Sicherheit...
P.S. Ein VPN Verbinung mit einem CISCO Client auch UDP 500 funktioniert problemlos durch den ISA...
Ich vermute einfach, der ISA-Server kann ganz einfach IPSec nicht NATten. Versuch doch mal einen PPTP-Tunnel aufzubauen und darin die VPN-Verbindung aufzubauen, so wie es der LANCOM "Standard-Client" macht. Ich hoffe der ISA-Server kommt wenigstens mit den GRE-Paketen im PPTP klar.
Ansonsten hast du vermutlich keine Chance mehr, den VPN-Tunnel durch den ISA-Server hindurchzukriegen
Gruß
Backslash
-
- Beiträge: 325
- Registriert: 14 Jan 2005, 18:45
- Wohnort: Stuttgart
Re: LANCOM und Microsoft ISA 2000
wolliausn hat geschrieben:Hallo,
habe einen LANCOM 1611 auf der Remoteseite stehen auf den ich per Advanced VPN Client zugriefen möchte.
Mein Client steht allerdings hinter einem Microsoft ISA Server 2000.
Habe auf dieser auf den Port 500 UDP freigeschaltet. Ich erhalte auch eine Verbindung, nur sehe ich, dass keine Daten empfangen werden. Gesendet wir fleißig. Deshalb meine Vermutung, dass ich auf dem ISA noch einen Port freischalten muss.
Hat hierzu eine eine Idee, welche Ports ich genau freischalten muß???
Vielen Dank im voraus...
Wolle
Hi
bedenke bitte das du für diese art der verbindung, eingehende sowie ausgehende paketfilter auf dem isa server definieren must.
gruß