locked
Standort zu Standort Verbindung mit TMG RRS feed

  • Frage

  • Ich bekomme es einfach nicht hin, ich bekomme immer wieder Fehler.

    Zu meiner Konfiguration.

    2 Standorte verbinden.

    Standort A:

    TMG extern: 80.80.80.80, intern: 10.10.1.1

    Standort B:

    Vodafone EasyBox mit fester IP: 90.90.90.90, intern:192.168.2.1
    Daran hängt die TMG mit Extern: 192.168.2.3 und intern: 192.168.1.254

    Ich baue an Standort A eine IPsec Verbindung auf
    Remote VPN Gateway: 90.90.90.90
    Lokaler VPN Tunnelendpunkt: 80.80.80.80
    IP Adressen die in diesem Netz enthalten sind: 90.90.90.90 und 192.168.1.0 - 192.168.1.255

    Ich baue in Standort B eine IPsec Verbindung auf
    Remote VPN Gateway: 80.80.80.80
    Lokaler VPN Tunnelendpunkt: 90.90.90.90
    IP Adressen die in diesem Netz enthalten sind: 80.80.80.80 und 10.10.0.0 - 10.10.255.255

    IPSec Einstellungen sind absolut identisch und der PreShared key passt auch.

    Es kommt keine Verbindung zustande. Fehler bei Standort B ist: kann keine Verbindung mit Tunnelendpunkt 90.90.90.90 herstellen.

    EasyBox leitet alle Ports von 1-10000 TCP+UDP an 192.168.2.3 weiter.

    Vielleicht kann jemand einen direkten Konfigurationsfehler erkennen?

    Vielen Dank

    Dienstag, 19. Februar 2013 13:03

Antworten

  • Habe ich eigentlich überhaupt nicht.

    Ich habe 5 IP Adressen zur freien Verfügung, allerdings verwende ich an diesem Server nur eben eine!
    Die anderen 4 nutze ich auf einem ganz anderen Server (Lync)

    Ich habe es allerdings hinbekommen. Es mussten von mir 2 Einstellungen vorgenommen werden um alles zum laufen zu bekommen.
    Ich bin zwar nicht so glücklich damit, aber es läuft zumindest.

    1. Einen Registry Eintrag gesetzt, welcher Spoofing deaktiviert. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\FwEng\Parameters DWORD DisableSpoofDetection = 1

    2.  In den Netzwerkrichtlinien und Zugriffssdienste ist die Verbindung unter Netzwerkschnittstellen. Dort muss in den Eigenschaften die DNS Registrierung entfernt werden.
    3. Ganz wichtig danach, neustart des Systems. Vorher ging es auch nicht.

    Vielen Dank für die Hilfe

    • Als Antwort markiert MarkSpoon Donnerstag, 21. Februar 2013 14:21
    Donnerstag, 21. Februar 2013 14:21

Alle Antworten

  • Hi,

    IKE, AH und ESP hast Du auch durchgelassen zum TMG?
    http://de.wikipedia.org/wiki/IPsec


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Dienstag, 19. Februar 2013 17:35
  • Ja hatte ich.

    Also ich habe nun eine andere Konfiguration gemacht mit der ich schon viel weiter gekommen bin.

    Ich habe bei beiden nun eine L2TP Verbindung aufgebaut welche anstandslos verbunden wird auf beiden Seiten.
    Allerdings bekomme ich nun, wenn ich von einem Client, welcher hinter des jeweiligen TMG liegt, (Also egal ob Standort A oder B) auf der jeweiligen Gegenstelle eine Spoofingmeldung.

    Ich habe mal testweise in der Registry Spoofing ausgeschaltet, allerdings verwirft er wohl dann Packete, da er keine Regel hat welche dazu passt.

    Bei der Erstellung der Standortverbindung werden ja Regeln angelegt. Muss man zusätzlich noch welche einbinden? Meiner Meinung nach sollten alle vorhanden sein, zumindest sehe ich auf anhieb nicht welche zusätzlichen, außer der Standartregeln, noch angelegt werden müssen.

    Firewallregel -> Gesamter ausgehender Datenverkehr -> von intern und S2S Adressraum -> S2S Adressraum und Intern
    Netzwerkregel -> Route -> S2S Adressraum nach Intern

    diese natürlich bei beiden Standorten.

    Auf den Firewalls selbst kann ich die gegenstelle anpingen.

    Dienstag, 19. Februar 2013 17:44
  • Hi,

    Firewallpolicy passen (lassen ja fast alles zu). Wenn im TMG Log beim Logging keine Regel angezeigt wird hast Du ein Routing Problem, sprich die Routingtabellen, Netzwerkobjekte / -Regeln am TMG passen noch nicht. Hast Du schon mal mit Route Print geschaut ob die Routen alle passen?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Dienstag, 19. Februar 2013 19:54
  • Ich bin nicht unbedingt der Routingmaster :-)

    Allerdings würde es für mich so passen. Diese Tabelle ist identisch mit der im TMG Vernetzung -> Routing.

    Ich bin mir zwar nicht sicher, aber denke nicht, dass im Routing die externe IP Adresse von Standort B enthalten sein muss oder?

    ===========================================================================
    Aktive Routen Standort A:
         Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
              0.0.0.0          0.0.0.0    80.80.80.77     80.80.80.79    266
            10.10.0.0      255.255.0.0   Auf Verbindung         10.10.1.1    266
            10.10.1.1  255.255.255.255   Auf Verbindung         10.10.1.1    266
           10.10.2.24  255.255.255.255       10.10.2.24       10.10.2.48     19
           10.10.2.27  255.255.255.255       10.10.2.27       10.10.2.48     19
           10.10.2.37  255.255.255.255       10.10.2.37       10.10.2.48     19
           10.10.2.43  255.255.255.255       10.10.2.43       10.10.2.48     19
           10.10.2.44  255.255.255.255       10.10.2.44       10.10.2.48     19
           10.10.2.45  255.255.255.255       10.10.2.45       10.10.2.48     19
           10.10.2.48  255.255.255.255   Auf Verbindung        10.10.2.48    274
        10.10.255.255  255.255.255.255   Auf Verbindung         10.10.1.1    266
            127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
            127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
      127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
        80.80.80.78  255.255.255.248   Auf Verbindung     80.80.80.79    266
        80.80.80.79  255.255.255.255   Auf Verbindung     80.80.80.79    266
        80.80.80.80  255.255.255.255   Auf Verbindung     80.80.80.79    266
          192.168.1.0    255.255.255.0    192.168.1.254    192.168.1.199    286
          192.168.1.0    255.255.255.0    192.168.1.200    192.168.1.199    286
        192.168.1.199  255.255.255.255   Auf Verbindung     192.168.1.199    286
        192.168.1.200  255.255.255.255   Auf Verbindung     192.168.1.199     30
            224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
            224.0.0.0        240.0.0.0   Auf Verbindung         10.10.1.1    266
            224.0.0.0        240.0.0.0   Auf Verbindung     80.80.80.79    266
            224.0.0.0        240.0.0.0   Auf Verbindung        10.10.2.48    274
            224.0.0.0        240.0.0.0   Auf Verbindung     192.168.1.199    286
      255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      255.255.255.255  255.255.255.255   Auf Verbindung         10.10.1.1    266
      255.255.255.255  255.255.255.255   Auf Verbindung     80.80.80.79    266
      255.255.255.255  255.255.255.255   Auf Verbindung        10.10.2.48    274
      255.255.255.255  255.255.255.255   Auf Verbindung     192.168.1.199    286
    ===========================================================================
    Ständige Routen:
      Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
              0.0.0.0          0.0.0.0    80.80.80.77  Standard
          192.168.1.0    255.255.255.0    192.168.1.254     256

    Mittwoch, 20. Februar 2013 08:11
  • Hi,

    du hast am TMG Server in Standort A mehrere IP Adressen auf dem externen Interface gebunden?
    http://blogs.technet.com/b/isablog/archive/2011/03/17/tmg-enhanced-nat-considerations-when-using-the-default-ip-address.aspx


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Mittwoch, 20. Februar 2013 17:19
  • Habe ich eigentlich überhaupt nicht.

    Ich habe 5 IP Adressen zur freien Verfügung, allerdings verwende ich an diesem Server nur eben eine!
    Die anderen 4 nutze ich auf einem ganz anderen Server (Lync)

    Ich habe es allerdings hinbekommen. Es mussten von mir 2 Einstellungen vorgenommen werden um alles zum laufen zu bekommen.
    Ich bin zwar nicht so glücklich damit, aber es läuft zumindest.

    1. Einen Registry Eintrag gesetzt, welcher Spoofing deaktiviert. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\FwEng\Parameters DWORD DisableSpoofDetection = 1

    2.  In den Netzwerkrichtlinien und Zugriffssdienste ist die Verbindung unter Netzwerkschnittstellen. Dort muss in den Eigenschaften die DNS Registrierung entfernt werden.
    3. Ganz wichtig danach, neustart des Systems. Vorher ging es auch nicht.

    Vielen Dank für die Hilfe

    • Als Antwort markiert MarkSpoon Donnerstag, 21. Februar 2013 14:21
    Donnerstag, 21. Februar 2013 14:21