Benutzer mit den meisten Antworten
Standort zu Standort Verbindung mit TMG

Frage
-
Ich bekomme es einfach nicht hin, ich bekomme immer wieder Fehler.
Zu meiner Konfiguration.
2 Standorte verbinden.
Standort A:
TMG extern: 80.80.80.80, intern: 10.10.1.1
Standort B:
Vodafone EasyBox mit fester IP: 90.90.90.90, intern:192.168.2.1
Daran hängt die TMG mit Extern: 192.168.2.3 und intern: 192.168.1.254Ich baue an Standort A eine IPsec Verbindung auf
Remote VPN Gateway: 90.90.90.90
Lokaler VPN Tunnelendpunkt: 80.80.80.80
IP Adressen die in diesem Netz enthalten sind: 90.90.90.90 und 192.168.1.0 - 192.168.1.255Ich baue in Standort B eine IPsec Verbindung auf
Remote VPN Gateway: 80.80.80.80
Lokaler VPN Tunnelendpunkt: 90.90.90.90
IP Adressen die in diesem Netz enthalten sind: 80.80.80.80 und 10.10.0.0 - 10.10.255.255IPSec Einstellungen sind absolut identisch und der PreShared key passt auch.
Es kommt keine Verbindung zustande. Fehler bei Standort B ist: kann keine Verbindung mit Tunnelendpunkt 90.90.90.90 herstellen.
EasyBox leitet alle Ports von 1-10000 TCP+UDP an 192.168.2.3 weiter.
Vielleicht kann jemand einen direkten Konfigurationsfehler erkennen?
Vielen Dank
Dienstag, 19. Februar 2013 13:03
Antworten
-
Habe ich eigentlich überhaupt nicht.
Ich habe 5 IP Adressen zur freien Verfügung, allerdings verwende ich an diesem Server nur eben eine!
Die anderen 4 nutze ich auf einem ganz anderen Server (Lync)Ich habe es allerdings hinbekommen. Es mussten von mir 2 Einstellungen vorgenommen werden um alles zum laufen zu bekommen.
Ich bin zwar nicht so glücklich damit, aber es läuft zumindest.1. Einen Registry Eintrag gesetzt, welcher Spoofing deaktiviert. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\FwEng\Parameters DWORD DisableSpoofDetection = 1
2. In den Netzwerkrichtlinien und Zugriffssdienste ist die Verbindung unter Netzwerkschnittstellen. Dort muss in den Eigenschaften die DNS Registrierung entfernt werden.
3. Ganz wichtig danach, neustart des Systems. Vorher ging es auch nicht.Vielen Dank für die Hilfe
- Als Antwort markiert MarkSpoon Donnerstag, 21. Februar 2013 14:21
Donnerstag, 21. Februar 2013 14:21
Alle Antworten
-
Hi,
IKE, AH und ESP hast Du auch durchgelassen zum TMG?
http://de.wikipedia.org/wiki/IPsecregards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
Dienstag, 19. Februar 2013 17:35 -
Ja hatte ich.
Also ich habe nun eine andere Konfiguration gemacht mit der ich schon viel weiter gekommen bin.
Ich habe bei beiden nun eine L2TP Verbindung aufgebaut welche anstandslos verbunden wird auf beiden Seiten.
Allerdings bekomme ich nun, wenn ich von einem Client, welcher hinter des jeweiligen TMG liegt, (Also egal ob Standort A oder B) auf der jeweiligen Gegenstelle eine Spoofingmeldung.Ich habe mal testweise in der Registry Spoofing ausgeschaltet, allerdings verwirft er wohl dann Packete, da er keine Regel hat welche dazu passt.
Bei der Erstellung der Standortverbindung werden ja Regeln angelegt. Muss man zusätzlich noch welche einbinden? Meiner Meinung nach sollten alle vorhanden sein, zumindest sehe ich auf anhieb nicht welche zusätzlichen, außer der Standartregeln, noch angelegt werden müssen.
Firewallregel -> Gesamter ausgehender Datenverkehr -> von intern und S2S Adressraum -> S2S Adressraum und Intern
Netzwerkregel -> Route -> S2S Adressraum nach Interndiese natürlich bei beiden Standorten.
Auf den Firewalls selbst kann ich die gegenstelle anpingen.
Dienstag, 19. Februar 2013 17:44 -
Hi,
Firewallpolicy passen (lassen ja fast alles zu). Wenn im TMG Log beim Logging keine Regel angezeigt wird hast Du ein Routing Problem, sprich die Routingtabellen, Netzwerkobjekte / -Regeln am TMG passen noch nicht. Hast Du schon mal mit Route Print geschaut ob die Routen alle passen?
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
Dienstag, 19. Februar 2013 19:54 -
Ich bin nicht unbedingt der Routingmaster :-)
Allerdings würde es für mich so passen. Diese Tabelle ist identisch mit der im TMG Vernetzung -> Routing.
Ich bin mir zwar nicht sicher, aber denke nicht, dass im Routing die externe IP Adresse von Standort B enthalten sein muss oder?
===========================================================================
Aktive Routen Standort A:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle Metrik
0.0.0.0 0.0.0.0 80.80.80.77 80.80.80.79 266
10.10.0.0 255.255.0.0 Auf Verbindung 10.10.1.1 266
10.10.1.1 255.255.255.255 Auf Verbindung 10.10.1.1 266
10.10.2.24 255.255.255.255 10.10.2.24 10.10.2.48 19
10.10.2.27 255.255.255.255 10.10.2.27 10.10.2.48 19
10.10.2.37 255.255.255.255 10.10.2.37 10.10.2.48 19
10.10.2.43 255.255.255.255 10.10.2.43 10.10.2.48 19
10.10.2.44 255.255.255.255 10.10.2.44 10.10.2.48 19
10.10.2.45 255.255.255.255 10.10.2.45 10.10.2.48 19
10.10.2.48 255.255.255.255 Auf Verbindung 10.10.2.48 274
10.10.255.255 255.255.255.255 Auf Verbindung 10.10.1.1 266
127.0.0.0 255.0.0.0 Auf Verbindung 127.0.0.1 306
127.0.0.1 255.255.255.255 Auf Verbindung 127.0.0.1 306
127.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
80.80.80.78 255.255.255.248 Auf Verbindung 80.80.80.79 266
80.80.80.79 255.255.255.255 Auf Verbindung 80.80.80.79 266
80.80.80.80 255.255.255.255 Auf Verbindung 80.80.80.79 266
192.168.1.0 255.255.255.0 192.168.1.254 192.168.1.199 286
192.168.1.0 255.255.255.0 192.168.1.200 192.168.1.199 286
192.168.1.199 255.255.255.255 Auf Verbindung 192.168.1.199 286
192.168.1.200 255.255.255.255 Auf Verbindung 192.168.1.199 30
224.0.0.0 240.0.0.0 Auf Verbindung 127.0.0.1 306
224.0.0.0 240.0.0.0 Auf Verbindung 10.10.1.1 266
224.0.0.0 240.0.0.0 Auf Verbindung 80.80.80.79 266
224.0.0.0 240.0.0.0 Auf Verbindung 10.10.2.48 274
224.0.0.0 240.0.0.0 Auf Verbindung 192.168.1.199 286
255.255.255.255 255.255.255.255 Auf Verbindung 127.0.0.1 306
255.255.255.255 255.255.255.255 Auf Verbindung 10.10.1.1 266
255.255.255.255 255.255.255.255 Auf Verbindung 80.80.80.79 266
255.255.255.255 255.255.255.255 Auf Verbindung 10.10.2.48 274
255.255.255.255 255.255.255.255 Auf Verbindung 192.168.1.199 286
===========================================================================
Ständige Routen:
Netzwerkadresse Netzmaske Gatewayadresse Metrik
0.0.0.0 0.0.0.0 80.80.80.77 Standard
192.168.1.0 255.255.255.0 192.168.1.254 256
Mittwoch, 20. Februar 2013 08:11 -
Hi,
du hast am TMG Server in Standort A mehrere IP Adressen auf dem externen Interface gebunden?
http://blogs.technet.com/b/isablog/archive/2011/03/17/tmg-enhanced-nat-considerations-when-using-the-default-ip-address.aspxregards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
Mittwoch, 20. Februar 2013 17:19 -
Habe ich eigentlich überhaupt nicht.
Ich habe 5 IP Adressen zur freien Verfügung, allerdings verwende ich an diesem Server nur eben eine!
Die anderen 4 nutze ich auf einem ganz anderen Server (Lync)Ich habe es allerdings hinbekommen. Es mussten von mir 2 Einstellungen vorgenommen werden um alles zum laufen zu bekommen.
Ich bin zwar nicht so glücklich damit, aber es läuft zumindest.1. Einen Registry Eintrag gesetzt, welcher Spoofing deaktiviert. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\FwEng\Parameters DWORD DisableSpoofDetection = 1
2. In den Netzwerkrichtlinien und Zugriffssdienste ist die Verbindung unter Netzwerkschnittstellen. Dort muss in den Eigenschaften die DNS Registrierung entfernt werden.
3. Ganz wichtig danach, neustart des Systems. Vorher ging es auch nicht.Vielen Dank für die Hilfe
- Als Antwort markiert MarkSpoon Donnerstag, 21. Februar 2013 14:21
Donnerstag, 21. Februar 2013 14:21