none
IPSec zwischen Draytek Router und TMG2010 hinter Linksys Router RRS feed

  • Allgemeine Diskussion

  • Für die Anbindung ans Internet (SDSL) setze ich einen Linksys Router zwischen dem SDSL Modem und dem TMG2010 ein.
    Der Linksys stellt die Verbindung zum Provider und dem TMG her.

    Nun soll eine Außenstelle über den Draytek Router eine IPSec Verbindung herstellen, Beide Internet Zugänge arbeiten mit einer festen Öffentlichen IP.

    Nach diversen Internetbeiträgen habe ich versucht eine IPSec Verbindung aufzubauen. Nix geht.

    Branch-Office - Draytek - Internet - Linksys - TMG2010 - Main Office.

    Der TMG2010 baut keine Verbindung zum Draytek auf und der Draytek erreicht TMG baut aber keine Verbindung auf.

    Wo steckt der Fehler? Geht IPSec mit Router vor dem TMG2010 nicht?

    Ich bin da ratlos.

     

    Mittwoch, 24. März 2010 11:10

Alle Antworten

  • Hi,

    Frage:

    Branch-Office - Draytek - Internet - Linksys - (Route oder NAT ????) -TMG2010 - Main Office.

    Wenn NAT dann kein IPSec.


    Gruß Ralph Andreas Altermann | Microsoft Partner Regional Technical Communities, Hamburg | Im April - 3.ter Microsoft Partner Stammtisch Hamburg | Anmeldung/Registrierung unter http://www.xing.com/net/mpshh
    Donnerstag, 25. März 2010 09:54
  • Hi,

     

    der Linksys Router macht derzeit NAT. Ich habe noch eine ZyWall 35 mit 2x WAN, 1xWAN ungenutzt. Hier kann ich das NAT abschalten, würde das helfen?

     

    Ein weiteres Problem, eine L2TP Verbindung mit dem ISA 2006 zu dem Draytek geht, mit TMG2010 nicht mehr!

    Der Linksys Router ist der gleiche, woran kanns liegen. Gab es Änderungen am TMG?

     

    Donnerstag, 25. März 2010 10:31
  • Hi,

    >Für die Anbindung ans Internet (SDSL)

    Bei SDSL hast Du sicherlich auch feste IPs, warum noch ein Linksys davor ?
    Gehe direkt mit dm TMG an die SDSL und Du solltest alle Sorgen los sein.

    >Ein weiteres Problem, eine L2TP Verbindung mit dem ISA 2006 zu dem Draytek geht, mit TMG2010 nicht mehr!
    Habe momentan kein TMG online um zu Vergleichen, denke es liegt im Detail der genommenen L2TP-Verbindung
    und der Authentifizierung, was aber schwer wird hier im Forum zu diskutieren.


    Gruß Ralph Andreas Altermann | Microsoft Partner Regional Technical Communities, Hamburg | Im April - 3.ter Microsoft Partner Stammtisch Hamburg | Anmeldung/Registrierung unter http://www.xing.com/net/mpshh
    Donnerstag, 25. März 2010 12:34
  • Hi,

    über die direkt Anbindung habe ich auch schon mal nachgedacht.
    Aber auf dem ISA oder TMG muss ich dann eine Breitbandverbindung einrichten und die PPPoe Daten unter Windows hinterlegen.

    Dann noch die Zwangstrennung alle 24h, dann muss sich der ISA doch neu einwählen?

    Klappt das denn zufriedenstellend?

    So, habe das nun ohne Router mal ausprobiert, direkt mit den ext Interface ans Modem, nach KB Artikel auch konfiguriert.
    Läuft auch alles, die FW TMG kommt ins Internet.

    Aber baut keine L2TP Verbindung auf, habs genauso gemacht wie beim ISA 2006.

     

    Donnerstag, 25. März 2010 13:19
  • Hi,

    SDSL gibt es doch nur mit fester IP(s) und ohne Zwangstrennung.
    Da brauchst Du kein PPOE.

    L2TP-Verbindung per Zertifikate oder PSK ?

    Den Artikel kennst DU ? http://www.msisafaq.de/Anleitungen/TMG/VPN/VPNImport.htm


    Gruß Ralph Andreas Altermann | Microsoft Partner Regional Technical Communities, Hamburg | Im April - 3.ter Microsoft Partner Stammtisch Hamburg | Anmeldung/Registrierung unter http://www.xing.com/net/mpshh

    Donnerstag, 25. März 2010 18:48
  • Hi, schön wärs.

    wir haben von der Telekom einen S-DSL Anschluss, das nennt sich "DSL Business symmetrisch".
    Dahinter steckt ein SDSL Modem der Telekom, läuft genauso wie ein ADSL Anschluss, Trennung erfolgt nicht durch Telekom sonder durch den DSLAM (so hab ich das im Internet gefunden).

    Dazu muss dann ein "Endgerät" die PPPoe Einwahl durchführen, hierzu hatte ich den Linksys Router genommen.
    Das ganze habe ich heute mal ohne Router, aber mit direktem Anschluss an den TMG versucht.
    Dazu wird dann ein DFÜ Einwahl im TMG definiert, mit Angabe des Netzes extern und Automatischer Wahl.

    Das Ergebnis hier war, dann das bei L2TP im Eventlog eine Fehlermeldung stand, in etwa so.
    "Der PPPOE Port wird von einem anderen Gerät benutzt".

    Mir wäre auch eine Cisco Router lieber, der einfach das Subnetz routet und meinem TMG (ISA) zur Verfügung stellt.
    Gibt es aber wohl erst bei einer 2MBIT Standleitung, die kostet so 600€/Monat.

    L2TP mit PSK, der Artikel bezieht sich auf IPSec nicht L2TP. Bei L2TP lässt sich die Phase I / II nicht anpassen.
    IPSec hatte ich auch mal mit direktem Anschluss und PPPoe versucht, Verbindung kommt aber nur einseitig zustande.

    Ich habe auch mit Jens Baier Kontakt, aber er kann sich auch keinen rechten Reim drauf machen. In einem Blog rät er sogar zu einem Router (glaube es war NAT dabei, muss aber der Richtige Router sein).

    Donnerstag, 25. März 2010 19:10
  • Hi Jürgen,

    irgendwie ist mir dieser Thread verloren gegangen, sorry.

    Also ich habe mehrere StS-Verbindungen mit LAN-ISA-(NAT)-Router-(PPOE)->Internet am Laufen. Und es müssen keine 600 Eurorouter/Monat sein.
    Tausch doch mal den Linksys gegen den Draytek, nat. jeweils mit aktueller FW.

    >IPSec hatte ich auch mal mit direktem Anschluss und PPPoe versucht, Verbindung kommt aber nur einseitig zustande.
    Das ist ja schon was. Steht hier dann etwas im IPSec-Mon ?
    Denke mal das jetzt an der Konfig liegt.


    Gruß Ralph Andreas Altermann | Microsoft Partner Regional Technical Communities, Hamburg | Im April - 3.ter Microsoft Partner Stammtisch Hamburg | Anmeldung/Registrierung unter http://www.xing.com/net/mpshh
    Samstag, 10. April 2010 13:25
  • Hi,

    Ich habe "die" Router alle mal durchgehabt (Zywall 35, Fritzbox, Draytek 2500WE, Draytek 2700, Linksys AG241, Linksys WRT54GL mit/ohne DD-wrt).

    Sogar eine PPPoe ohne Router mit direktem TMG, ext. NIC am Internet. hat alles nix gebracht Meist war L2TP noch OK, aber IPSec Nie.
    Nach einigen Gesprächen auch mit CISO wird es wohl nun eine CompanyConnect 10M Flex Verbindung für 299/Monat (mit 2.5MBit/Sync).

    Ich sollte wohl den Nachbarn nicht sagen das es bis zu 622MBit sein können...

    Inkl. Subnetz (8 IP) und direkt Zugang in den Backbone der Telekom (1GBit).

    Dann wird wohl alles gut, wir planen dann auch die Webserver von 1&1 ins Haus zu holen.

    Ich glaube der ISA2006 war mit dem NAT noch leichter zufrieden zu stellen, aber das TMG2010 ist da genauer.

     

    Gruß

    Jürgen

    Sonntag, 11. April 2010 11:09
  • Hi Jürgen,

    es gibt was neues zu TMG

    http://www.microsoft.com/downloads/details.aspx?FamilyID=af1e8287-072c-45a6-9d8e-37485e482fe2&displaylang=en

    PS: habe jetzt auch mit IPSEC (Vpn-Einwahl) mit PSK Probleme bei meinem neuem TMG2010

    Auch wenn es sich beim o.g. Hotfix um NLB TMGs geht, aber evtl ein Ansatz.


    Gruß Ralph Andreas Altermann | Microsoft Partner Regional Technical Communities, Hamburg | Im April - 3.ter Microsoft Partner Stammtisch Hamburg | Anmeldung/Registrierung unter http://www.xing.com/net/mpshh
    Freitag, 16. April 2010 19:55