Remove From My Forums

Eingehende Pakete werden im VPN geblockt!

Frage
0

Anmelden

Hallo zusammen,

Wir haben Außenmitarbeiter die sich via VPN ins Firmennetzwerk über die ISA einwählen. Das funktioniert!

Wenn ich mich nun aber aus dem Internen Netzwerk auf den VPN Client Verbinden möchte (RDP, PING, RemoteControll, DameWare usw.) bekomme ich einen Timeout und es passiert nichts! Auf der ISA sehen ich die Pakete, soweit OK.
Auf dem Client haben wir die Firewall schon deaktiviert (erweiterte Firewalleinstellungen), aber immer noch einen Timeout. Wir hatten nun die Protokollierung aktiviert und dort steht drin, dass unser Eingehendes Paket verworfen wird!

Wir haben die Netze in den Geschützen Netzwerkverbindungen deaktiviert, Firewall auch eingeschaltet und alles Zugelassen. Die "erweiterten Freigabeeinstellunge" für Netzwerkerkennung usw. eingeschaltet aber alles ohne besserung und erfolg!

Bin ein wenig ratlos und bin auf eure Ideen gespannt.

Mittwoch, 6. Juni 2012 07:16

Antworten

2

Anmelden
Ich könnte nur noch Trial an Error Vorschläge machen.

Kann der Client angepingt werden, wenn er im Netz (ohne VPN) ist?
Kann ein anderer Windows 7/XP Client angepingt werden, wenn er über VPN kommt?
Gibt es auf dem Client eventuell lokale Richtlinien die das verhindern (z.B. Verbindungssicherheitsregeln)?
War auf dem Client vielleicht schon mal eine anderes Firewallprodukt installiert?

.. Gruß Alex
- Bearbeitet Alexander Kellmann Montag, 11. Juni 2012 13:26
- Als Antwort markiert Alex Pitulice Mittwoch, 13. Juni 2012 07:00
Montag, 11. Juni 2012 13:25
1

Anmelden
Hi, konnten das Problem nun lösen.

Es lag an der von Trend Micro AntiViren Client mitgelieferten Firewall.

Sie ist zwar vom Server aus so konfiguriert, dass jeder eingehende sowie ausgehende Traffic zugelassen wird, aber vermutlich kommt er mit der VPN Verbindung nicht zurecht.

Danke für die Tipps!
- Als Antwort vorgeschlagen Alexander Kellmann Dienstag, 12. Juni 2012 14:47
- Als Antwort markiert Alex Pitulice Mittwoch, 13. Juni 2012 07:00
Dienstag, 12. Juni 2012 09:05

Alle Antworten

1

Anmelden

Hallo _noc,

wenn ich das richtig interpretiere, dann ist ein Client über den ISA per VPN verbunden und ihr versucht wiederum eine Verbindung zum Client aus dem internen Netz herzustellen. Den Timeout bekommt ihr von dem Rechner der den VPN-Client erreichen soll, richtig? Wenn das so ist, stelle ich die Vermutung an, dass das Routing nicht stimmt. Ich bin kein Spezialist was ISA angeht, aber ich könnte mir Vorstellen, dass die VPN-Clients eine andere IP-Adresse erhalten, bzw. ein anderes Netz zugewiesen bekommen (über den ISA) und hier müsste es dann eine Routing-Regel geben und ggf. eine Regel die entsprechende Protokolle durchlässt.

Seid Ihr euch sicher, das auf dem ISA das alles funktioniert?

Gruß Alex

Mittwoch, 6. Juni 2012 08:42
0

Anmelden

Hallo Alex,

danke für die Antwort, Du hast es richtig interpretiert. Ich bin mir schon sicher das die ISA funktioniert.

Wenn ich mir auf dem VPN Client die Windows Firewalllogs (die zuvor eingeschaltet wurden) anschaue, sehe ich ein "DROP" des eingehenden Paketes vom meinem Internen Rechner. Das würde heißen, das Routing zum VPN Client funktioniert.

cu

Mittwoch, 6. Juni 2012 09:48
1

Anmelden

Hallo,

ok, schade aber auch. Verwendet Ihr für die VPN Verbindung eine bestimmte Client Software eines Drittherstellers oder mit Windows boardmitteln?

Gruß

Mittwoch, 6. Juni 2012 11:01
0

Anmelden

Es werden die Windows eigenen Boardmittel verwendet.

Kurrios ist auch, dass wenn die Firwall komplett aus ist (für jedes Profil ausgeschaltet), immer noch ein Eintrag mit DROP in dem Firewall Log ist.

Mittwoch, 6. Juni 2012 14:28
1

Anmelden
Das ist wirklich komisch. Als Idee, beende den Windows Firewall Dienst, setze ihn auf manuell bzw. deaktiviert und starte den Client nochmal. So kann man zumindest sicher sein, dass die FW nicht irgendwie zwischenfunkt.
- Bearbeitet Alexander Kellmann Mittwoch, 6. Juni 2012 18:52
Mittwoch, 6. Juni 2012 18:50
0

Anmelden
Habe nun dir firewall auf Manuell gesetzt und neugestartet.

Nachdem das VPn aufgebaut wurde und ich ein Ping vom Internen Rechner auf den VPN Client ausführe, passiert gar nix.

Es werden diesmal auch keine lokalen Firewall logs geschrieben.

EDIT:

Hatte nun veruscht die VPN Verkehr mit Wireshark oder ähnlichen abzufangen, aber an den VPn Verkehr komme ich nicht ran.

Weiterer Nachtrag:

Haben nun eine VPN-Verbindung vom Smartphone aus aufgebaut. Diese kann ich dann anpingen!

Die ISA scheint hier korrekt konfiguriert zu sein.
- Bearbeitet _Henry_ Freitag, 8. Juni 2012 10:48
Freitag, 8. Juni 2012 09:33
0

Anmelden

Habe das nun auf einen WinXP Pro SP3 getestet, dort geht das auch nicht.

Wir habe es mit Firewall an und aus getestet. Diesmal wird auch nichts im Firewall Log geschrieben, sodass es den Anschein hat, es läge an der ISA.

Aber wie oben angesprochen, konnte auf ein Handy (Smartphone) das im selben VPN war gepingt werden!

Es scheint, als würde die VPN Verbindung im allgemeinen die Pakete droppen! Ist darüber was bekannt?

Freitag, 8. Juni 2012 11:17
1

Anmelden
Hallo _noc,

auf dem TMG/ISA kann man das Log anschalten um zu sehen was passiert. Ich glaube aber, das das Thema besser im entsprechenden TMG/ISA Forum aufgehoben -> http://social.technet.microsoft.com/Forums/de-de/forefrontde/threads ist.

Als Idee könnte man noch temporär eine Regel auf dem ISA erstellen, der den ganzen Traffic zwischen VPN <-> intern zulässt.

Gruß Alex
- Als Antwort vorgeschlagen Alex Pitulice Freitag, 8. Juni 2012 13:51
- Nicht als Antwort vorgeschlagen _Henry_ Freitag, 8. Juni 2012 19:54
Freitag, 8. Juni 2012 13:15
0

Anmelden

Hallo Alex,

in den Logs kann ich nichts weiter feststellen.

Ich glaube nicht, das es ein Problem der ISA ist. Ich denke immer noch, das es am Client liegt.

Wenn ich eine VPN Verbindung vom Smartphone oder Tablet aus aufbaue, kann ich diese anpingen und Remote erreichén. Das läuft ja auch über die ISA und wenn es hier funktioniert muss ein Windows XP/7 Problem sein.

Freitag, 8. Juni 2012 19:54
0

Anmelden

Hallo,

gibt es noch weitere Ideen oder sollte ich mich direkt an MS wenden?

Montag, 11. Juni 2012 11:38
2

Anmelden
Ich könnte nur noch Trial an Error Vorschläge machen.

Kann der Client angepingt werden, wenn er im Netz (ohne VPN) ist?
Kann ein anderer Windows 7/XP Client angepingt werden, wenn er über VPN kommt?
Gibt es auf dem Client eventuell lokale Richtlinien die das verhindern (z.B. Verbindungssicherheitsregeln)?
War auf dem Client vielleicht schon mal eine anderes Firewallprodukt installiert?

.. Gruß Alex
- Bearbeitet Alexander Kellmann Montag, 11. Juni 2012 13:26
- Als Antwort markiert Alex Pitulice Mittwoch, 13. Juni 2012 07:00
Montag, 11. Juni 2012 13:25
0

Anmelden

Hallo,

zu 1. - Ja

zu 2. - Nein

zu 3. - Nein, es wurden keine Verbindungssicherheitsregeln konfiguriert

zu 4. - Es ist ein Viren Client von Trend Micro drauf, der hat zwar ne Firewall, die aber deaktivert ist. Werde das nochmal testen.

Dienstag, 12. Juni 2012 06:48
1

Anmelden
Hi, konnten das Problem nun lösen.

Es lag an der von Trend Micro AntiViren Client mitgelieferten Firewall.

Sie ist zwar vom Server aus so konfiguriert, dass jeder eingehende sowie ausgehende Traffic zugelassen wird, aber vermutlich kommt er mit der VPN Verbindung nicht zurecht.

Danke für die Tipps!
- Als Antwort vorgeschlagen Alexander Kellmann Dienstag, 12. Juni 2012 14:47
- Als Antwort markiert Alex Pitulice Mittwoch, 13. Juni 2012 07:00
Dienstag, 12. Juni 2012 09:05
0

Anmelden

Hallo,

freut mich das es geklappt hat.

Dienstag, 12. Juni 2012 14:47

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

Eingehende Pakete werden im VPN geblockt!

Frage

Antworten

Alle Antworten