locked
TMG IPSec Site2Site VPN mit HQ ohne NAT und NL mit NAT RRS feed

  • Frage

  • Hallo zusammen,

    wir möchten eine NL an unser HQ per Site2Site IPSec VPN anbinden. Im HQ steht eine TMG 2010 SP1 R4. In der NL haben zum testen eine Astaro oder eine TMG applainace. Mit beiden Geräten zeigt sich das gleiche Verhalten. Der VPN Tunnel wird aufgebaut. Ein Ping von der NL geht zum angepingten Server im HQ durch den Tunnel, kommt dann vom Server zur TMG zurück, findet dort jedoch nicht den Tunnel, um zu Antworten.

    Die TMG haben wir wie folgt konfiguriert:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent]
    "AssumeUDPEncapsulationContextOnSendRule"=dword:00000001

    und

    netsh tmg set global name=DontDropIPSECDetunneledTrafficToLocalhost value=1 persistent

    Bei dieser Fehlerkonstillation denke ich, das eindeutig die TMG ein Problem hat.

    Ist ein site2site IPSec VPN mit NAT derzeit grundsätzlih nicht möglich?
    Bei ISA 2004 ging dies!!

    Oder hat jemand noch ein Tipp?

    Freu mich auf Tipps & Gruß

    Frank

     



    • Bearbeitet FrankBeiTI Dienstag, 27. September 2011 11:36
    Dienstag, 27. September 2011 11:19

Alle Antworten

  • Also ein "geht garnicht" würde mir auch helfen....

    Wo ist denn nur die Kraft vom Fach?

    ;-)

    Frank

    Mittwoch, 5. Oktober 2011 09:21
  • OKay mach ich hier mal den Alleinunterhalter. Auch Selbstgespräche sind doch irgendwie kommunikativ..;-)....vielleicht hilft es hier jemanden. Geben und Nehmen!

    Also laut MS Support ist NAT-T mit IPSec bei IPv4 nicht wirklich kompatibel. D. h. mit windows 2008 R2 und TMG ist es so nicht möglich. Dabei ist auch nicht die TMG, sondern Windows hat damit ein Problem. Mit Windows 2003 und ISA ging es, weil MS das irgendwie technisch kompatibel implementiert hat. Um dieses auch bei W 2008 zu erreichen kann man einen Hotfix einspielen.

    http://support.microsoft.com/default.aspx?scid=kb;EN-US;2523881

    Ein erster Test von TMG zu TMG App war positiv. Nun kommt die Astaro.

    Ob man die beiden Einstellungen:

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\PolicyAgent]
    "AssumeUDPEncapsulationContextOnSendRule"=dword:00000001

    und

    netsh tmg set global name=DontDropIPSECDetunneledTrafficToLocalhost value=1 persistent

    noch braucht ist mir nicht klar. Vielleicht was Marc was dazu...;-) oder hat nen Spruch *grins*

    Gebe noch grünes Licht, wenn alles positiv.

    Frohes Schaffen

    Frank

     

    Mittwoch, 12. Oktober 2011 09:11