locked
ISA 2006: Routen über Netzwerkadapter...... RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hey Forenuser,

    habe schon seit längerer Zeit ein Problem was ich auch über längeres googeln nicht lösen konnte. Fehlertext wie folgt:

    Der ISA Server hat Routen über den Netzwerkadapter Intern-lan ermittelt, die mit dem Netzwerk, dem dieser Adapter angehört, nicht übereinstimmen. Wenn Netzwerke korrekt konfiguriert sind, müssen die in jedem Netzwerk auf Arrayebene enthaltenen IP-Adressenbereiche alle IP-Adressen umfassen, die durch die Netzwerkadapter gemäß der Routingtabellen weiterleitbar sind. Andernfalls werden gültige Pakete eventuell als ungültig verworfen. Die folgenden Bereiche liegen in den IP-Adressbereichen des Netzwerks, können aber nicht durch einen der Netzwerkadapter weitergeleitet werden: x.x.x.63-x.x.x.63;. Beachten Sie, dass dieses Ereignis generiert werden kann, nachdem Sie eine Route hinzugefügt, ein Netzwerk an einer Remotesite erstellt oder den Netzwerklastenausgleich konfiguriert haben. Das Ereignis kann sicher ignoriert, sofern es nicht erneut auftritt.

    Diese, oder es kann auch eine andere Adresse sein, sind RAS VPN IPs. Bisher konnte ich nicht verifizieren, ob das tatsächlich ein Problem entsteht, aber diese Meldung bekomme ich mehrmals täglich.

    Welche Vorgehenseweise zur Analyse wäre sinnvoll?

    ISA2006 (+SP1) auf W2k3 Std Server mit SP2

     

    Montag, 7. Juni 2010 13:31

Antworten

  • Question
    Anmelden
    1
    Anmelden

    hai moxa,

    wie in dem anderen threat von mir erwähnt, checke mal deine routingtabellen und deine ip-einstellungen auf dem internen netzwerkadapter und lese so diese korrekt sein sollten auch über die isa-oberfläche (eigenschaften von intern, registerkarte adressen) neu aus - übernehmen nicht vergessen!

    gruss, jens mander - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    • Als Antwort markiert MoXa_MT Dienstag, 8. Juni 2010 14:15
    Montag, 7. Juni 2010 14:15
  • Question
    Anmelden
    1
    Anmelden

    hi moxa,

    du gehst auf eigenschaften von intern / adressen und löscht die range(s) raus und wählst dann den passenden adapter erneut aus.
    wie z.b. hier dargestellt:
    http://a.imagehost.org/0480/2010-06-07_17h27_29.jpg

     

    gruss, jens mander - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    • Als Antwort markiert Marc.Grote Dienstag, 8. Juni 2010 14:18
    Montag, 7. Juni 2010 15:30

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    hai moxa,

    wie in dem anderen threat von mir erwähnt, checke mal deine routingtabellen und deine ip-einstellungen auf dem internen netzwerkadapter und lese so diese korrekt sein sollten auch über die isa-oberfläche (eigenschaften von intern, registerkarte adressen) neu aus - übernehmen nicht vergessen!

    gruss, jens mander - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    • Als Antwort markiert MoXa_MT Dienstag, 8. Juni 2010 14:15
    Montag, 7. Juni 2010 14:15
  • Question
    Anmelden
    0
    Anmelden

    Hallo Jens,

    aus meiner Sicht passen die IP-Einstellungen.

    Im ISA (wie von Dir beschrieben), die IP-Range von x.x.x.0 bis x.x.x.255 und im Adapter "intern" die IP x.x.x.11.

    Inwiefern kann ich die auslesen und neu übernehmen? Ich könnte die Range im ISA löschen und neu setzen, aber wäre das wirklich von Erfolg gekrönt?

    Gruß, Mike

    Montag, 7. Juni 2010 14:37
  • Question
    Anmelden
    1
    Anmelden

    hi moxa,

    du gehst auf eigenschaften von intern / adressen und löscht die range(s) raus und wählst dann den passenden adapter erneut aus.
    wie z.b. hier dargestellt:
    http://a.imagehost.org/0480/2010-06-07_17h27_29.jpg

     

    gruss, jens mander - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    • Als Antwort markiert Marc.Grote Dienstag, 8. Juni 2010 14:18
    Montag, 7. Juni 2010 15:30
  • Question
    Anmelden
    0
    Anmelden

    Hallo Jens,

    vielen Dank für Deine Tipps, wahrscheinlich waren es wohl doch nur meine DNS, etc. Einstellungen. Seit heut morgen ists still auf meinem ISA.

    Gruß, Mike

    Dienstag, 8. Juni 2010 14:15
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    OK, also DNS auf der externen Karte rausgenommen und jetzt ist schick? Hast Du noch was geandert so wie Karsten schrub?

    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Dienstag, 8. Juni 2010 14:18
  • Question
    Anmelden
    0
    Anmelden

    Hallo Jens,

    gestern hatte ich nochmal ein Event, wie folgt:

    Beschreibung: Der ISA Server hat Routen über den Netzwerkadapter Intern ermittelt, die mit dem Netzwerk, dem dieser Adapter angehört, nicht übereinstimmen. Wenn Netzwerke korrekt konfiguriert sind, müssen die in jedem Netzwerk auf Arrayebene enthaltenen IP-Adressenbereiche alle IP-Adressen umfassen, die durch die Netzwerkadapter gemäß der Routingtabellen weiterleitbar sind. Andernfalls werden gültige Pakete eventuell als ungültig verworfen. Die folgenden Bereiche liegen in den IP-Adressbereichen des Netzwerks, können aber nicht durch einen der Netzwerkadapter weitergeleitet werden: xxx.xxx.xxx.56-xxx.xxx.xxx.56;. Beachten Sie, dass dieses Ereignis generiert werden kann, nachdem Sie eine Route hinzugefügt, ein Netzwerk an einer Remotesite erstellt oder den Netzwerklastenausgleich konfiguriert haben. Das Ereignis kann sicher ignoriert, sofern es nicht erneut auftritt.

    Die Routingtabelle für den Netzwerkadapter Intern enthält IP-Adressbereiche, die nicht im Arraynetzwerk VPN-Clients, an das sie gebunden sind, definiert sind. Daher werden über diesen Netzwerkadapter von den unten aufgeführten IP-Adressbereichen eingehende oder über diesen Netzwerkadapter an diese IP-Adressbereiche gesendete Pakete als unzulässig verworfen. Fügen Sie die fehlenden IP-Adressbereiche dem Arraynetzwerk hinzu, um dieses Problem zu beheben.
    Folgende IP-Adressbereiche werden als unzulässig verworfen:
    Intern:xxx.xxx.xxx.56-xxx.xxx.xxx.56;

    Die VPN-Clients bekommen Ihre IP per DHCP, so ists momentan im ISA konfiguriert. Ich wundere mich das er meckert das die IP nicht in der Range von "Intern" wäre, was aber definitiv der Fall ist. Am Rounting habe ich händig nichts geändert, daher verwundert mich diese Meldung um so mehr.

    Irgendwelche Ideen?

    Freitag, 11. Juni 2010 06:08
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    wie sieht denn die Konfiguration des Netzwerks INTERN am ISA Server aus. Hast Du die IP-Adressbereiche fuer das Netzwerk Intern aus dem Adapter, sprich der Routingtabelle ausgelesen?

    Wie sieht der Netzwerkadressbereich am ISA Server aus? Pruefst Du den bitte mal.

    VPN zugriff funktioniert aber einwandfrei, denke ich oder?

    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Freitag, 11. Juni 2010 06:19
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    hast Du die IP-Adressbereiche im Netzwerk INTERN von ISA mal gecheckt? Da ist alles roger? Hast Du die IP-Adressbereiche aus dem Adapter (Routingtabelle) ausgelesen oder manuell eingegeben? Kannst Du uns mal die Routingtabelle posten?

    VPN Client Zugriff funktioniert aber trotzdem denke ich?

    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Freitag, 11. Juni 2010 06:29
  • Question
    Anmelden
    0
    Anmelden

    moin moxa,

    jau wie ich oben schonmal schrub, lese den adressbereich von intern nochmal erneut aus. am besten trennst du vorher alle vpn-verbindungen. dann kontrollierst du (im vorfeld) nochmal deine routingtabelle, ob die soweit korrekt ist. danach den bereich von intern nochmal auslesen und übernehmen.

    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Freitag, 11. Juni 2010 06:46
  • Question
    Anmelden
    0
    Anmelden

    Hey,

    habe die IP-Range des Netzwerkes "Intern" über "Adapter hinzufügen" angelegt, also nichts händig eingegeben.

    VPN funktioniert grundsätzlich, aber einige Kollegen melden teilweise Abbrüche, die aber nach einigen Sekunden wieder weg sind.

    Hier die Routingtabelle:

    Gruß, Mike

    • Bearbeitet MoXa_MT Freitag, 11. Juni 2010 10:20
    Freitag, 11. Juni 2010 06:50
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    hast du auch mal geprüft, dass nur auf der externen Schnittstelle ein Gateway eingetragen ist? Ansonsten darf das Netzwerkobjekt Intern auch wirklich nur die internen IP-Adressbereiche enthalten und zwar in der Form 192.168.0.0 bis 192.168.0.255. Es muss also die Netzwerkadresse und die Broadcastadresse mit angegeben werden.

    Gruß

    Christian

     

    Christian Groebner MVP Forefront
    Freitag, 11. Juni 2010 07:24
  • Question
    Anmelden
    0
    Anmelden

    Hallo Christian,

    auf der "Internen" ist kein Gateway, nur auf der "Externen". Auf dem "Intern" ist auch wie von Dir beschrieben die Range von 192.168.1.0 - 192.168.1.255 angegeben, dass ergab sich ja durch hinzufügen des Adapters.

    Gruß

    Mike

    Freitag, 11. Juni 2010 07:33
  • Question
    Anmelden
    0
    Anmelden

    hai moxa,

    wieviele netzwerkkarten hast du denn in der kiste verbaut? wieviele sind aktiv und in verwendung?
    nur 2 oder mehrere?

    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Freitag, 11. Juni 2010 07:42
  • Question
    Anmelden
    0
    Anmelden

    Hallo Jens,

    nur 2 und beide sind entsprechend aktiv.

    Es waren bis vor ca. 3 Wochen noch 3 eingebaut, wovon jedoch auch nur die bis jetzt genutzten aktiv waren. Den Fehler hatte ich aber auch schon vor dem Ausbau.

    Gruß

    Mike

    Freitag, 11. Juni 2010 07:48
  • Question
    Anmelden
    0
    Anmelden

    Hi Mike,

    was ich nicht so ganz verstehe sind die Routen:

      192.168.1.51  255.255.255.255     192.168.1.63     192.168.1.63      1
      192.168.1.55  255.255.255.255     192.168.1.63     192.168.1.63      1
      192.168.1.59  255.255.255.255     192.168.1.63     192.168.1.63      1
      192.168.1.63  255.255.255.255        127.0.0.1        127.0.0.1     50

    Ich könnte mir vorstellen, dass dies die Einwahlbereiche vom DHCP sind, oder?

    Stelle doch mal zum Test den Einwahlbereich auf einen statischen Adresspool um.

    Gruß

    Christian

     

     

     

    Christian Groebner MVP Forefront
    Freitag, 11. Juni 2010 07:49
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    die 192.168.1.63 ist das interne Interface vom ISA Server?!
    Wer ist die 192.168.1.11?

    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Freitag, 11. Juni 2010 08:04
  • Question
    Anmelden
    0
    Anmelden

    Hallo Christian,

    sind aus meiner Sicht auch die leases für die VPN-Clients.

    Ich hatte das früher schon mal probiert und bekomme auch jetzt beim angeben eines statischen Adresspools für die VPN-Client folgende Meldung:

    "Das Netzwerk "Intern" enthält IP-Adressen im Bereich 192.168.1.189-192.168.1.222. Netzwerke dürfen keine IP-Adressen enthalten, die sich mit einem anderen Netzwerk überschneiden."

    Die obengenannte Range war diejenige die ich als statischen Pool versucht habe soeben einzutragen. Dies hatte ich früher schon mal probiert, um die VPN-Clients in eine Range reinzulegen, so dass etwas mehr Übersicht herrscht.

    Ich versteh es einfach nicht. Ich bin jetzt kein Anfänger und zugegebenermaßen auch kein Profi, aber diese Meldungen machen mich noch irre.

    Gruß

    Mike

    PS: kann ich in die Postings Screenshots embedden?

    Freitag, 11. Juni 2010 08:13
  • Question
    Anmelden
    0
    Anmelden

    Hi Mike,

    der VPN-Adresspool darf sich dann auch nicht mit dem Internen überschneiden. Versuch mal den IP-Adressbereich 192.168.2.1 bis 192.168.2.254.

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Freitag, 11. Juni 2010 08:22
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    nicht offiziell supported waere, aus dem Adressbereich des internen Netzwerks am ISA die entsprechenden IP-Adressen fuer die VPN Clients abzuzwacken.
    Bsp.: 192.168.1.0 - 192.168.1.200 fuer Intern und dann 192.168.1.201 - 220 fuer VPN Clients. Dann meckert ISA zwar auch im Log, aber das funktioniert immer

    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Freitag, 11. Juni 2010 08:34
  • Question
    Anmelden
    0
    Anmelden

    Hallo Christian,

    jetzt weiß ich auch warum ich es nicht verstehe. Nutze ich DHCP bekommen die VPN-Clients eine IP im "Internen" Netz. Will ich dies jedoch auf einen Bereich im "Internen" eingrenzen, dann will der ISA das nicht. Schon komisch.

    Ich werde das ganze mal auf das 2er Netz umsetzen und schauen wie es sich verhält.

    Gruß & vielen Dank

    Mike

    Freitag, 11. Juni 2010 09:33
  • Question
    Anmelden
    0
    Anmelden

    192.168.1.63: RAS client

    192.168.1.11: ISA selber

    Gruß

    Mike

    Freitag, 11. Juni 2010 10:22
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    192.168.1.51  255.255.255.255     192.168.1.63     192.168.1.63      1
    192.168.1.55  255.255.255.255     192.168.1.63     192.168.1.63      1
    192.168.1.59  255.255.255.255     192.168.1.63     192.168.1.63      1
    Der RAS-Client hat 3 IP-Adressen? Kann es gerade nicht verifizieren, aber das sieht nicht normal aus oder Christian / Jens?

    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Freitag, 11. Juni 2010 10:46
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    der RAS-Dienst zieht sich doch vom DHCP automatisch eine Range an IP-Adressen, somit kann das schon i.O. sein. Da ich ausschließlich statische Adresspools verwende kann ich das leider nicht überprüfen.

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Freitag, 11. Juni 2010 11:09
  • Question
    Anmelden
    0
    Anmelden
    yo klappten tut's trotzdem. die ips werden dann dynamisch von intern "rausgenommen".
    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Freitag, 11. Juni 2010 11:43