locked
Veröffentlichen von SSTP-VPN (MS UAG) über Reverseproxy ISA 2006 RRS feed

  • Frage

  • Hallo Leute,

    ich habe es sehr spezielles Setup (ob dies Sinn macht soll hier nicht die Frage sein) Ein MS UAG  (SP1 + UP1 + R1) soll unter anderem SSTP  VPN über das Portal anbieten. Dieser UAG kann jedoch nur über einen Reverseproxy ISA 2006 (5.0.5723.514) veröffentlicht   werden.  Dies geschieht über eine HTTP-Veröffentlichung mit SSL Bridging. Dazu besitzt der ISA das gleiche Zertifikat wie der UAG. 

    Ich habe ein Testsystem aufgebaut in der ich das Szenario testen kann.  In den HTTP Einstellungen der Veröffentlichung auf dem ISA werden alle HTTP Methoden und eine unlimitierte Inhaltslänge erlaubt.  Die Veröffentlichung des Portals  funktioniert,   bis das SSTP-VPN gestartet wird danach  gibt der ISA Server folgende Meldung aus:

    Die SSTP-Verbindung kommt nicht zu Stande. Die SSTP-Client-Komponenten beenden sich sofort.  Auf dem UAG Server ist kein SSTP Verbindungsversuch sichtbar! Der ISA Reverseproxy  reicht den Request nicht durch (Siehe Log) Destination ist 172.31.227.11(die ISA OUTSIDE Adresse) dies sollte aber 192.168.1.2 sein (die UAG OUTSIDE Adresse) der Rule Eintrag im Log ist auch leer.

    Die Frage: Matcht die HTTP-Veröffentlichung-Regel nicht auf die SSTP-URI  /sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/  was ist mit dem Datenbereich gemeint? Dies ist trat schon mal mit ISA2004 und OWA auf, da gab es einen Hotfix ...

    Ohne den Reverseproxy (UAG direkt)  funktioniert das SSTP-VPN ohne Probleme, es ist  also kein Zertifikatsproblem, CRL-Problem ....

    SSTP-Verbindungslog:

    Allowed Connection XXX-2003-ISA-02 06.03.2012 11:02:23 Log type: Web Proxy (Reverse) Status: 122 Der an einen Systemaufruf übergebene Datenbereich ist zu klein. Rule: Source: (172.31.227.6) Destination: (172.31.227.112:443) Request: SSTP_DUPLEX_POST http://portal.XXXXX/sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/ Filter information: Req ID: 07d4f69d; Compression: client=No, server=No, compress rate=0% decompress rate=0% Protocol: https User: anonymous Additional information Client agent: Object source: (No source information is available.) Cache info: 0x0 Processing time: 47 ms MIME type:

     


    normales Rerverseproxy LOG Allowed Connection XXX-2003-ISA-02 06.03.2012 11:02:23 Log type: Web Proxy (Reverse) Status: 200 OK. Rule: ISA-UAG Source: External (172.31.227.6) Destination: (192.168.1.2:443) Request: GET https://portal.XXXXXX:443/InternalSite/Images/empty.gif Filter information: Req ID: 07d4f696; Compression: client=No, server=No, compress rate=0% decompress rate=0% Protocol: https User: anonymous

    Additional information


    Wenn ich statt den ISA 2006 einen TMG 2010SP2 als Reverseproxy verwende, funktioniert das SSTP-VPN ohne Probleme! Dies ist jedoch im Moment noch nicht möglich in der Produktionsumgebung. 

    Vielen Dank

    Mr. Friedrich







    • Typ geändert Alex Pitulice Dienstag, 13. März 2012 08:05 Warten auf Feedback
    • Typ geändert Alex Pitulice Donnerstag, 24. Mai 2012 14:55 Noch aktiv
    Dienstag, 6. März 2012 10:29

Antworten

  • Hallo Alex

    sorry für die späte Antwort. Ich habe keine Lösung mit ISA 2006 gefunden, es funktioniert einfach nicht. Die Fehlermeldungen (Status: 534 Arithmetisches Ergebnis übersteigt 32 Bits)  lassen vermuten, dass es nichts mit den Einstellungen des ISA zu tun hat, sondern mit der Implementierung.

    Mit TMG 2010 (unter W2008R2 64Bit)  funktioniert es mit den Standardeinstellungen einer Webveröffentlichung.  Das wird die zukünftige Lösung sein.

    Vielen Dank!

    Mr. Friedrich

    • Als Antwort markiert Alex Pitulice Donnerstag, 24. Mai 2012 14:55
    Donnerstag, 24. Mai 2012 07:17

Alle Antworten

  • Hi,

    ich denke mal, dass Dir der HTTP-Filter von ISA 2006 in die Suppe spuckt. Erhoehe mal fuer die SSTP Veroeffentlichugsregel die HTTP Filter Einstellungen auf der ersten Registerkarte oder deaktivere zum testen mal den HTTP Filter in ISA 2006


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Dienstag, 6. März 2012 10:45
  • Hi Marc

    Das ist interessant, nach dem Abschalten des HTTP-Filters kommt nun :

    Allowed Connection XXX-2003-ISA-02 06.03.2012 13:07:01
    Log type: Web Proxy (Reverse)
    Status: 534 Arithmetisches Ergebnis übersteigt 32 Bits.  
    Rule: ISA-UAG
    Source: External (172.31.227.6)
    Destination: (192.168.1.2:443)
    Request: SSTP_DUPLEX_POST https://portal.XXXXXXX:443/sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/
    Filter information: Req ID: 07ed01a7; Compression: client=No, server=No, compress rate=0% decompress rate=0%
    Protocol: https
    User: anonymous
     Additional information
    Client agent:
    Object source: Internet (Source is the Internet. Object was added to the cache.)
    Cache info: 0x0
    Processing time: 1 ms
    MIME type:
     

    Grüße Mr. Friedrich

    Dienstag, 6. März 2012 12:09
  • Hi,

    Der Client kann ueber den ISA die CRL erreichen?

    Wenn ja, dann habe ich erstmal keine Idee ausser den HTTP Filter anzupassen und die Werte zu erziehen.

    Kannst Du testweise probieren ueber ISA einen nicht UAG sstp Server zu erreichen? Nicht das es die Kombi UAG ISA ist


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Dienstag, 6. März 2012 12:56
  • Hi

    Die CRL ist von einer öffentlichen CA und ist erreichbar.   Was meinst du genau mit "den HTTP Filter anzupassen und die Werte zu erziehen."   In den HTTP Protokoll Einstellungen  ist "Enterprise Einstellung Headergröße 32768" eingestellt. Wie ändert man die "Enterprise Einstellung" ?   Der Fehler  Status: 534 Arithmetisches Ergebnis übersteigt 32 Bits.  klingt doch eher nach einem generellen Problem, oder?

    Dienstag, 6. März 2012 14:25
  • Hi,

    sorry habe das Posting mit einem Mobile Phone geschrieben :-) Meine "erhoehen" und nicht "erziehen"

    Modifizierung hier:
    http://www.isaserver.org/tutorials/Configuring-Forefront-TMG-HTTP-Filter.html


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Dienstag, 6. März 2012 17:19
  • Hallo Alex

    sorry für die späte Antwort. Ich habe keine Lösung mit ISA 2006 gefunden, es funktioniert einfach nicht. Die Fehlermeldungen (Status: 534 Arithmetisches Ergebnis übersteigt 32 Bits)  lassen vermuten, dass es nichts mit den Einstellungen des ISA zu tun hat, sondern mit der Implementierung.

    Mit TMG 2010 (unter W2008R2 64Bit)  funktioniert es mit den Standardeinstellungen einer Webveröffentlichung.  Das wird die zukünftige Lösung sein.

    Vielen Dank!

    Mr. Friedrich

    • Als Antwort markiert Alex Pitulice Donnerstag, 24. Mai 2012 14:55
    Donnerstag, 24. Mai 2012 07:17