none
SBS 2003 mit ISA Server 2004 und IPSEC-Tunnel zu HomeOfficePCs: Konfiguration RRS feed

  • Frage

  • Wir nutzen im Office einen SBS 2003 mit ISA-Server 2004.

    Hier nutzten wir bislang VPN-Zugänge mit PPTP ohne Probleme.

    Jetzt soll ein HomePC mit einem IPSEC-Tunnel an das Office angeschlossen werden.

    Sowohl im Office als auch im Home wird ein DLink-VPN-Router eingesetzt. Die Router wurden soweit konfiguriert, dass der IPSEC-Tunnel steht.

    Allerdings können wir weder vom Office aus einen PC im Home noch umgekehrt anpingen. Der Ping wird durch die ISA-standardregel blockiert.

    Dann haben wir im ISA versucht, einen Remotestandort zu konfigurieren. Allerdings schlug hier die Installation fehl, weil die IP-Adresse des lokalen VPN-gateways nicht angenommen wurde.

    Wo machen wir hier einen gedanklichen Fehler. Wir bitten um Euren Rat!

    Hier noch die Netzwerkkennwerte:

    Office-Site:

    SBSServer: intern: 10.70.0.1

                       extern: 192.168.0.10

                       Office DLinkRouter: 192.168.0.1

    Home-Site:

    HomeNetzwerk: Home DLinkRouter: 192.192.0.1

                              Home Client: 192.192.0.10-15

    Gibt es hierfür ein How-To-Do?

    mfg

    JF

     

    Freitag, 2. September 2011 11:43

Antworten

  • Hi Jenny,
     
    > Wir nutzen im Office einen SBS 2003 mit ISA-Server 2004.
    >
    > Hier nutzten wir bislang VPN-Zugänge mit PPTP ohne Probleme.
    >
    > Jetzt soll ein HomePC mit einem IPSEC-Tunnel an das Office angeschlossen
    > werden.
    >
    > Sowohl im Office als auch im Home wird ein DLink-VPN-Router eingesetzt.
    > Die Router wurden soweit konfiguriert, dass der IPSEC-Tunnel steht.
    >
    > Allerdings können wir weder vom Office aus einen PC im Home noch
    > umgekehrt anpingen. Der Ping wird durch die ISA-standardregel blockiert.
    >
    >
    > Dann haben wir im ISA versucht, einen Remotestandort zu konfigurieren.
    > Allerdings schlug hier die Installation fehl, weil die IP-Adresse des
    > lokalen VPN-gateways nicht angenommen wurde.
    >
    > Wo machen wir hier einen gedanklichen Fehler. Wir bitten um Euren Rat!
    >
    > Hier noch die Netzwerkkennwerte:
    >
    > Office-Site:
    >
    > SBSServer: intern: 10.70.0.1
    >
    > extern: 192.168.0.10
    >
    > Office DLinkRouter: 192.168.0.1
    >
    > Home-Site:
    >
    > HomeNetzwerk: Home DLinkRouter: 192.192.0.1
    >
    > Home Client: 192.192.0.10-15
    >
    > Gibt es hierfür ein How-To-Do?
     
    Da ich es so lese, dass die beiden DLink-VPN-Router einen Site-To-Site
    VPN-Tunnel aufbauen, der DLink-VPN-Router jedoch VOR der ISA steht und so
    wie ein gewöhnlicher Client aus dem Internet behandelt wird, wird das, was
    du vermutlich eigentlich vor hast (Site-To-Site Verbindung zweiter LANs)
    nicht funktionieren.
     
    Also:
     
    + entweder besorgst Du Dir in der Zentrale einen VPN-Router, der mittels
    VLAN die separate VPN-Verbindung auf den internen Switch umleitet,
     
    + oder Du besorgst Dir einen weiteren DLink-VPN-Router, der ausschließlich
    die VPN-Einwahl übernimmt und dessen internen Beinchen direkt am Switch des
    SBS-Netzwerkes (z.B. 10.70.0.254) angeschlossen wird:
     
    Network Behind a Network
     
    + oder Du lässt die ISA/SBS die Site-to-Site Verbindung aufbauen
     
    Configuring Remote Access VPN Servers in a Back to Back ISA Firewall
    Configuration
     
    Nichts-desto-trotz solltest Du dringend einen Netzwerkspezialisten
    heranholen, der Dir einen saubere, sichere und stabile Lösung implementiert
    und u.a. auch die zugehörigen Routing-Table anpasst.
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
     
    • Als Antwort markiert Jenny Frank Montag, 5. September 2011 16:21
    Montag, 5. September 2011 09:23
    Moderator

Alle Antworten

  • Hi Jenny,
     
    > Wir nutzen im Office einen SBS 2003 mit ISA-Server 2004.
    >
    > Hier nutzten wir bislang VPN-Zugänge mit PPTP ohne Probleme.
    >
    > Jetzt soll ein HomePC mit einem IPSEC-Tunnel an das Office angeschlossen
    > werden.
    >
    > Sowohl im Office als auch im Home wird ein DLink-VPN-Router eingesetzt.
    > Die Router wurden soweit konfiguriert, dass der IPSEC-Tunnel steht.
    >
    > Allerdings können wir weder vom Office aus einen PC im Home noch
    > umgekehrt anpingen. Der Ping wird durch die ISA-standardregel blockiert.
    >
    >
    > Dann haben wir im ISA versucht, einen Remotestandort zu konfigurieren.
    > Allerdings schlug hier die Installation fehl, weil die IP-Adresse des
    > lokalen VPN-gateways nicht angenommen wurde.
    >
    > Wo machen wir hier einen gedanklichen Fehler. Wir bitten um Euren Rat!
    >
    > Hier noch die Netzwerkkennwerte:
    >
    > Office-Site:
    >
    > SBSServer: intern: 10.70.0.1
    >
    > extern: 192.168.0.10
    >
    > Office DLinkRouter: 192.168.0.1
    >
    > Home-Site:
    >
    > HomeNetzwerk: Home DLinkRouter: 192.192.0.1
    >
    > Home Client: 192.192.0.10-15
    >
    > Gibt es hierfür ein How-To-Do?
     
    Da ich es so lese, dass die beiden DLink-VPN-Router einen Site-To-Site
    VPN-Tunnel aufbauen, der DLink-VPN-Router jedoch VOR der ISA steht und so
    wie ein gewöhnlicher Client aus dem Internet behandelt wird, wird das, was
    du vermutlich eigentlich vor hast (Site-To-Site Verbindung zweiter LANs)
    nicht funktionieren.
     
    Also:
     
    + entweder besorgst Du Dir in der Zentrale einen VPN-Router, der mittels
    VLAN die separate VPN-Verbindung auf den internen Switch umleitet,
     
    + oder Du besorgst Dir einen weiteren DLink-VPN-Router, der ausschließlich
    die VPN-Einwahl übernimmt und dessen internen Beinchen direkt am Switch des
    SBS-Netzwerkes (z.B. 10.70.0.254) angeschlossen wird:
     
    Network Behind a Network
     
    + oder Du lässt die ISA/SBS die Site-to-Site Verbindung aufbauen
     
    Configuring Remote Access VPN Servers in a Back to Back ISA Firewall
    Configuration
     
    Nichts-desto-trotz solltest Du dringend einen Netzwerkspezialisten
    heranholen, der Dir einen saubere, sichere und stabile Lösung implementiert
    und u.a. auch die zugehörigen Routing-Table anpasst.
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
     
    • Als Antwort markiert Jenny Frank Montag, 5. September 2011 16:21
    Montag, 5. September 2011 09:23
    Moderator
  • Hallo Thomas,

    mit Deiner Antwort hat es gleich klick gemacht. Bislang hatten wir noch keine site-to-site-verbindungen mit ISA zu konfigurieren. Der vorgeschlagene Weg hat funktioniert. Danke!

     

    mfg

     

    jf

     

    Montag, 5. September 2011 16:20