Benutzer mit den meisten Antworten
IPSEC/L2TP VPN

Frage
-
Moin Leute,
ich weiß... VPN ist ein schnödes Thema. Aber ja, wir wollen es noch einsetzen (auch wenn TMG 2015 ausläuft..).
Zur Topologie:
- TMG-Array (1 Knoten INTERNES NETZ - 1 Knoten DMZ Netz) - DMZ to Extern eine McAfee Sidewinder Application Layer Firewall. Clients im Internet Windows 7 EP.
Über PPTP und PAP läuft alles wunderbar. Einfache Konfig, lief ja schon mit Routing und RAS. Nun wollen wir aber die Konfiguration auf L2TP/IPSEC mit MS-CHAP v2 bringen.
Welche Ports müssen dafür auf den Sidewinders von DMZ nach EXTERN geöffnet sein und benötige ich NAT-T?
kind regards Jochen Reinecke - MCITP Enterprise Administrator 2008
- Typ geändert Alex Pitulice Donnerstag, 27. Dezember 2012 09:10 Warten auf Feedback
- Typ geändert Alex Pitulice Donnerstag, 17. Januar 2013 19:55 Noch Aktiv
Donnerstag, 13. Dezember 2012 07:49
Antworten
-
Moin,
neues Jahr neues Glück.. Einige Faktoren haben dann zum Erfolg geführt.
1. http://support.microsoft.com/kb/926179 auf den Windows 7 Clients (auch wenn der Artikel sich auf Vista/2k8 bezieht)
2. Front-Firewall und TMG-Gateway mit 500, 4500, 1701 und 1723 geöffnet...
Danke nochmal für eure Beiträge!
kind regards Jochen Reinecke - MCITP Enterprise Administrator 2008
- Als Antwort markiert Alex Pitulice Donnerstag, 17. Januar 2013 19:55
Donnerstag, 17. Januar 2013 08:33
Alle Antworten
-
Hi,
http://de.wikipedia.org/wiki/Layer_2_Tunneling_Protocol
http://support.microsoft.com/kb/233256/de
NAT-T wenn IPSEC durch einen nAT Router / Firewall geht ja - also in der regel jaregards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
Donnerstag, 13. Dezember 2012 08:23 -
Hallo nochmal,
danke für den Artikel! Ports sind soweit frei. Bekomme statt dem fast schon gewohnten Fehler 800 (Schwierigkeiten beim Verbindungsaufbau) jetzt den Fehler 766: "Es konnte kein Zertifikat gefunden werden."
Ich habe für die TMG-Server jeweils Zertifikate (Server und Webserver mit CN von dem jeweiligen Server und dem gem. NLB-Namen) erstellt und das Stamm-CA-Cert auf dem Client installiert.
Benötigt der Client nun ein Zertifikat?
kind regards Jochen Reinecke - MCITP Enterprise Administrator 2008
Donnerstag, 13. Dezember 2012 10:50 -
Hallo ihr zwei,
muss ich nun dem Client ein Computer-Zertifikat der CA ausstellen oder ein "allgemeines" L2TP oder den TMGs?
Ich habe es nun mit dem PSK versucht (vorerst).. Die TMG Berichterstattung schmeißt dann ein paar IKEv2 Verbindungen an (scheinbar kommt etwas an beim TMG)..
Protokolltyp: <id id="L_LogPane_FirewallService">Firewalldienst</id> <id id="L_LogPane_Status"> Status:
</id> Eine Verbindung wurde beim ordnungsgemäßen Herunterfahren mit
einem FIN-initialisierten Dreiwegehandshake getrennt.kind regards Jochen Reinecke - MCITP Enterprise Administrator 2008
Donnerstag, 13. Dezember 2012 13:16 -
Hi,
sowohl Client und TMG benötigen ein Zertifikat für die gegenseitige Authentifizierung, außer es wird ein PSK verwendet.
Die Fehlermeldung 809 deutet darauf hin, dass NAT im Spiel ist. Wenn dies der Fall ist, dann müssen die Ports 4500, 500 und IP-Protokoll 51 auf den TMG weitergeleitet werden, sofern ein NAT-Router davor steht.
Ansonsten noch folgenden Hotfix installieren:
http://support.microsoft.com/kb/2523881
Gruß
Christian Groebner MVP Forefront
Donnerstag, 13. Dezember 2012 14:07 -
Hallo Christian,
Hotfix auf dem Client eingespielt.. Kein Erfolg. Ports 4500, 500 und 51/50 sind frei (auf TMGs und Firewalls).
Client mit PPTP und MS-CHAPv2 läuft.
Client mit L2TP/IPSec und MS-CHAPv2 + PreSharedKey läuft nicht mit Fehler 809.kind regards Jochen Reinecke - MCITP Enterprise Administrator 2008
Freitag, 14. Dezember 2012 07:14 -
Hallo Jochen,
Besteht das Problem weiterhin?
Viele Grüße,
Alex
Alex Pitulice, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.Mittwoch, 19. Dezember 2012 09:56 -
Moin Alex,
leider ja. Die Tipps waren zwar gut und es schreitet auch Schritt für Schritt voran. Ich werde mich heute noch ein wenig mit dem Protocol-Forwarding auf den Sidewinders beschäftigen. Ggf. läuft es danach ja adequat.
Werde die Lösung (oder meine Handlungsschritte) dann aber dennoch hier bereitstellen. Danke!
kind regards Jochen Reinecke - MCITP Enterprise Administrator 2008
Mittwoch, 19. Dezember 2012 10:35 -
Hallo Jochen,
danke Dir für die Antwort. Dann warten wir für Deine Rückmeldung. :)
Gruss,
Alex
Alex Pitulice, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.Donnerstag, 27. Dezember 2012 09:12 -
Moin,
neues Jahr neues Glück.. Einige Faktoren haben dann zum Erfolg geführt.
1. http://support.microsoft.com/kb/926179 auf den Windows 7 Clients (auch wenn der Artikel sich auf Vista/2k8 bezieht)
2. Front-Firewall und TMG-Gateway mit 500, 4500, 1701 und 1723 geöffnet...
Danke nochmal für eure Beiträge!
kind regards Jochen Reinecke - MCITP Enterprise Administrator 2008
- Als Antwort markiert Alex Pitulice Donnerstag, 17. Januar 2013 19:55
Donnerstag, 17. Januar 2013 08:33 -
Hallo,
danke Dir auch Jochen, für die Lösung die Du gepostet hast!
Gruss,
Alex
Alex Pitulice, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.Donnerstag, 17. Januar 2013 19:54