Remove From My Forums

Das 1. Mal Installation und konfig.

Frage
0

Anmelden

Hallo,

ich setze einen Forefront TNG 2010 Standard zum 1. mal auf. Server2008 installiert, Forefront installiert. Router Speedport W504, DHCP AN, 192.168.1.1

Ein SBSServer ist im Netz vorhanden. Server2003 DHCP, Exchange, Netzlaufwerke usw.

Forefront Netzwerkkarte extern 192.168.1.10 Standardgateway der Router. Interene 192.168.5.254 - soll der Standardgateway für den SBS werden.

1. Problem: Ich kann bei der internen kein Standardgateway angeben, welchen auch? Dadurch ist das Netz nur ein öffentliches Netz.

SBSServer und Clients kommen ins Internet, Netviewer und SV.net werden geblockt (wird benötigt).

Per Remotedesktop komme ich nicht auf den Forefront, gehe davon aus das es an den öffentlichen Netz liegt.

VPN soweit konfiguriert, den SBS als Radius eingetragen. Clients sollen von außen auf die Netzwerkressourcen zugreifen können.

Ich weiß nicht ob der SBS alle Voraussetzungen hat? Woher weiß der Forefront wer VPN darf? Welche Forefronteinstellungen muss ich für den VPN vornehmen? Was muss ich einstellen damit Netviewer und SV.net wieder laufen.

Ich habe soviele Fragen ;-(

Wenn ihr noch etwas wissen müsst dann immer fragen!

Mfg, OlRi

Montag, 21. Februar 2011 18:38

Antworten

1

Anmelden
Hi,

stell am VPN Client ein, dass er keine IP Adresse beim VPN verbindungsaufbau bekommt, sondern eine feste IP Adresse.
In der NPS Verwaltung (Netzwerkrichtlinien - TMG Richtlinie) musst Du noch zulassen, dass der Client eine feste IP Adresse verwenden darf (Client kann eine IP Adresse anfordern)
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
- Als Antwort markiert Marc.Grote Donnerstag, 17. März 2011 11:03
Donnerstag, 17. März 2011 09:53

Alle Antworten

0

Anmelden

moin oiri,

bei multihomed-maschinen kannst du immer (!) nur ein standardgate setzen. in einem tmg-szenario wird dieses auf der externen karte gepflanzt.

siehe dazu auch hier (ist zwar von isa die rede, gilt aber auch für tmg):

http://blog.msfirewall.org.uk/2008/06/isa-servers-recommeded-network-card.html

solltest du intern mehrere ip-ranges im einsatz haben, dann müsstest du mit statischen routen arbeiten.

per rdp kommst du nicht auf tmg, weil seine firewall die pakete standardmäßig verwirft. tipp: systemrichtlinien konfigurieren!

mach den tmg zum member der domain, dann musst du nicht auch noch eine radius-anbindung bauen.

vpn machen können dürfen die user die du dazu autorisiert hast (ras-richtlinien oder einwahlberechtigungen).

ich empfehle dir folgendes buch zum thema, von den geschätzten kellogs:

http://www.msisafaq.de/Buch/TMG/index.htm
gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

Montag, 21. Februar 2011 18:50
0

Anmelden

Thx für die schnelle Antwort.

Habe ja die Egde Sache an laufen 2 Karten!

Bekomme ich keine Probleme wenn ich den Forefront in die Domäne einbinde?

Das andere werde ich mir anschauen :-)

Montag, 21. Februar 2011 19:12
0

Anmelden

Hi,

Windows 2008? Warum nicht R2? Ist aus meiner Sicht bei neuen Installationen die bessere Option.
Das Default Gateway setzt Du nur auf der externen Karte und zeigt zum Speedport
Damit Netviewer geht musst Du eine Regel erstellen, welche HTTP/HTTPS von den internen Servern nach Extern erlaubt
http://www.msisafaq.de/Anleitungen/2006/Grundlagen/index.htm (gilt auch groesstenteils fuer TMG)
Damit Du auf den TMG mit RDP kommst, musst Du die Clients in den Computersatz der Remote Desktop Computer in den Systemrichtlinien aufnehmen:
http://technet.microsoft.com/de-de/library/cc441740.aspx
Wegen VPN und RADIUS:
http://support.microsoft.com/kb/884492
http://technet.microsoft.com/en-us/library/bb794723.aspx
Auf dem SBS musst Du den NPS oder ISA konfigurieren (je nach SBS Version). Da kannst Du dann Verbindungsparameter festlegen. Am TMG kannst Du Benutzergruppen hinterlegen, welche VPN machen duerfen.
Du musst auch nicht zwingend RADIUS verwenden, wenn der TMG Domaenenmitglied sein sollte
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Montag, 21. Februar 2011 19:13
0

Anmelden

Hallo Marc,

ist ein 2008 R2 Standard mit Forefront TMG 2010 Standard.

Externe Karte habe ich wie du beschrieben auch so eingestellt.

Der SBS ist ein 2003 Small Business.

Muss ich noch Zertifikate oder so erstellen?

Montag, 21. Februar 2011 19:37
0

Anmelden

Hi,

nein,da bekommst Du keine Probleme! Funktioniert problemlos. Die interne Karte des TMG hat ja eine IP Adresse aus dem LAN wo auch der SBS ist und die IP Adresse des DNS Servers setzt Du an der internen TMG Karte auf den SBS Server
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Montag, 21. Februar 2011 20:00
0

Anmelden

Hi,

wenn Du OWA/EAS vom SBS im Internet verfuegbar machen willst, ja:
http://www.msisafaq.de/Anleitungen/2004/Firewallrichtlinien/OWA_FBA.htm (gilt auch groesstenteils fuer TMG)
http://www.isaserver.org/tutorials/Publishing-Outlook-Web-Access-Microsoft-Forefront-TMG.html
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Montag, 21. Februar 2011 20:02
0

Anmelden

die edge sache ist schonmal prima. den forefront in die domäne einbinden geht problemlos.

;-)
gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

Montag, 21. Februar 2011 23:58
0

Anmelden

Moin,

noch eine Ergänzung zur Netzkonfig:

Die DNS-Server solltest du dann auf der internen Karte eintragen. Das verhindert, das evt. Abfragen nach internen Systemen nach draußen geschickt werden ....

Glückwunsch zum 1. Mal ;)
Viele Grüße Carsten

Dienstag, 22. Februar 2011 06:46
0

Anmelden

Danke für die Hinweise!

Folgendes muss ich zum funktionieren bekommen.

SBS und Client müssen Internet haben

Netviewer muss funktionieren, für die Fernwartung auf den Clients.

SV.net muss funtionieren. http://www.itsg.de/(S(zetpppzw3tzzwy55fagf4dec))/svnet_home.itsg

VPN-Zugang für 2 Clients von außen die auf das Netzlaufwerk und den Exchange vom SBS zugreifen müssen.

Für die interne Netzwerkkarte hatte ich die IP 192.168.5.254 (Gateway für den SBS) und DNS 192.168.5.1 (SBS) vergeben. Wird als öffentliches Netz angezeigt.

Internet funktioniert.

Den SBS hatte ich als Radius im TMG eingestellt. Werde aber den TMG in dei Domäne aufnehmen und den Radius wieder entfernen.

Dienstag, 22. Februar 2011 07:55
0

Anmelden

Ich brauche nochmal eure Hilfe. Soweit ist alles gut. Ich bekomme nur, wenn ich eine VPN-Verbindung aufbauen will, immer die Fehlermeldung 812: Die Verbindung wurde durch eine Richtlinie verhindert, die auf Ihrem RAS/VPN-Server konfiguriert ist. Die durch den Server verwendete Authentifizierungsmethode zur Überprüfung Ihres Benutzernamens und Ihres Kennworts passt eventuell nicht zu der Authentifizierungsmethode, die in Ihrem Verbindungsprofil konfiguriert ist. Melden Sie diesen Fehler dem Administrator des RAS-Servers. Egal welche Gruppe ich vom SBS nehme, Domönenbenutzer oder andere, egal wie ich die Einwahl beim Benutzer einstelle, der Fehler bleibt. Ich weiß nicht mehr weiter, wo ist mein Fehler?

Muss ich den Forefront noch irgendwo im SBS eintragen?

Donnerstag, 24. Februar 2011 18:14
0

Anmelden

Hallo brauche noch einmal Hilfe.

Wie und wo stelle ich ein dass der VPN-Client, am besten der PC, eine feste IP bekommt (immer die gleiche) ?

Donnerstag, 17. März 2011 09:04
1

Anmelden
Hi,

stell am VPN Client ein, dass er keine IP Adresse beim VPN verbindungsaufbau bekommt, sondern eine feste IP Adresse.
In der NPS Verwaltung (Netzwerkrichtlinien - TMG Richtlinie) musst Du noch zulassen, dass der Client eine feste IP Adresse verwenden darf (Client kann eine IP Adresse anfordern)
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
- Als Antwort markiert Marc.Grote Donnerstag, 17. März 2011 11:03
Donnerstag, 17. März 2011 09:53
0

Anmelden

Super danke das hat geklappt :-)

Besteht auch die Möglichkeit die IP über den PC und nicht den User festzulegen?

Donnerstag, 17. März 2011 10:42
1

Anmelden

Hi,

wie meinst Du das? Du kannst das VPN Profil fuer alle Benutzer konfigurieren, dass immer eine feste IP Adresse verwendet wird, egal welcher User sich anmeldet
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Donnerstag, 17. März 2011 11:04
0

Anmelden

Jepp sorry habe ich auch grade rausgefunden.

nochmals THX für deine schnelle Hilfe!

Donnerstag, 17. März 2011 11:21
0

Anmelden

Ein habe ich noch!

Funktionieren tut soweit alles gut. Was noch nicht richtig ist ist das Internet.

DSL 16000 vorhanden, liegt laut Router sogar mehr an!

Das Internet bzw. die Seiten bauen sich trozdem sehr langsam auf den Clients auf.

Weiß einer woran das liegen kann?

Netzwerk alles Giga.

Dienstag, 22. März 2011 07:11
0

Anmelden

moin,

hast du wie oben erwähnt die netzwerkkarten überprüft, vor allen in bezug auf dns-auflösung und bindungsreihenfolge?

sind alles sites langsam oder nur manche? verwendest du webproxyclients? wenn ja, haben die statische einträge oder verwendest du autodiscovery?
gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

Dienstag, 22. März 2011 07:40
0

Anmelden

Hi da ist er wieder :-)

Erstmal JA war der DNS !

Habe jetzt aber ein anderes Problem.

VPN ist über PPTP konfiguriert. Funktioniert!

Jetzt brauche ich aber auch noch ein IP/sec Zugang für ein FVG318 Router.

Also habe ich IP/sec angekreuzt und ein Schlüssel eingegeben.

Auf dem Client bekomme ich immer die Fehlermeldung 789 (fehler bei der ersten sicherheitsaushandlung)

Kann mir jemand weiterhelfen?

Dienstag, 29. März 2011 09:39
0

Anmelden

Hi,

Du willst also von einem internen Client ein IPSEC mit PSK durch den TMG zu einem externen Netgear Router machen?
Dann musst Du den TMG so konfigurieren das IPSEC durchgelassen wird:
http://www.isaserver.org/articles/IPSec_Passthrough.html
Der Client hat Vista / Windows 7?
http://support.microsoft.com/kb/926179/en-us
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Dienstag, 29. März 2011 11:46
0

Anmelden

Hab mich vielleicht fasch ausgedrückt.

Ich muss auf dem Forefront IPSEC aktivieren. Habe es nur mal mit einen PC versucht (IPSEC Schlüssel einhgegeben) wo ich dann immer die Fehlermeldung bekomme.

Dienstag, 29. März 2011 12:59
0

Anmelden

Hi,

OK, also den TMG Server als VPN Client Server fuer L2TP/IPSEC aktivieren:
http://araihan.wordpress.com/2010/04/23/how-to-configure-l2tpipsec-vpn-using-forefront-tmg-2010/
Der Registry Key fuer den Windows Client gilt aber auch hier!
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Dienstag, 29. März 2011 13:56
0

Anmelden

Hallo,

ich komme mit der L2TP/IPSEC Verbindung nicht weiter.

Wie schon geschrieben PPTP funktioniert von außen.

IP/sec angekreuzt und ein Schlüssel eingegeben.

Wenn ich mein Notebook an dem Router anschließe, mir ne IP wie die externe IP vom Forefront vergebe, funktioniert PPTP und L2TP.

Komme ich von draußen über die feste IP der Telekom, bekomme ich folgende Fehlermedung:

Fehler 789: Der L2TP-Verbindugsversuch ist fehlgeschlagen, da ein Verarbeitungdsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufgetreten ist.

Wie folgt angeschlossen: Speedport als Modem -> D-Link DI-604 als Router -> Forefront Server

Wenn ich die Protokollierung in Forefront laufen lasse, seh ich "Protokoll-IKE-Client, Aktion Initiierte Verbindung", aber dann scheint es nicht weiterzugehen.

Firewall wie hier eingestellt: http://araihan.wordpress.com/2010/04/23/how-to-configure-l2tpipsec-vpn-using-forefront-tmg-2010/ , http://araihan.wordpress.com/2009/10/08/how-to-configure-l2tp-ipsec-vpn-using-isa-server/

Ich habe keine Ahnung was ich falsch mache!

Muss ich die feste IP noch irgedwo eintragen?

Freitag, 15. April 2011 12:18
0

Anmelden

moin,

kann dein dlink nat-t? falls nicht, dann kanns mit ipsec nich klappen:

http://social.technet.microsoft.com/Forums/de-DE/forefrontde/thread/e17c79df-e3aa-44da-96ae-d052abeeac62
gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

Freitag, 15. April 2011 15:10
0

Anmelden

Hi,

sollte er machen oder hat das mit dem Nat-T nichts zutun?

This router supports VPN pass-through for IPSec, L2TP and PPTP. It features a built-in firewall to protect the network from malicious attacks.

http://www.speedguide.net/routers/d-link-di-604-upnp-4-port-broadband-router-77

Werde aber nochh einmal die Einstellungen im Router durchgehen!

Sonntag, 17. April 2011 21:26
0

Anmelden

Hallo,

Funktioniert immer noch nicht und ich habe kein anderen Router zum testen!

Kann ich auch den Router weglassen und mich mit dem Forefront direkt per PPPoE einwählen?

Soll ja nur zum testen sein.

Oder kann das immer noch an dem Speedport liegen?

Wo ich den Speedport als Modem-Router im Betrieb hatte, kam ich per IPsec überhaupt nicht rein, Fehler 678.

Mittwoch, 20. April 2011 13:20
0

Anmelden

Hi,

ja, es kann immer noch am Router liegen. Gerade die SoHo Router sind fuer ein solches Verhalten bekannt.
Du kannst den TMG Server auch direkt mit PPOE zum testen konfigurieren. Ist auch eher eine Windows Geschichte. Wenn Du den PPoE Treiber unter Windows zum laufen bringst, kannst Du diesen auch mit TMG verwenden
regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

Mittwoch, 20. April 2011 15:43
0

Anmelden

Hallo,

also meinst du auch dass es am Router liegt. Wollte nämlich fragen ob ich davon ausgehen kann dass am Forefront alles richtig eingestell ist. Wenn es doch direkt am Router funktioniert!

Donnerstag, 28. April 2011 10:42
0

Anmelden

Hallo da bin ich wieder ;-)

1. Es lag am Router, Forefront direkt ans Modem und schon funktionierte IPsec.

Jetzt habe ich aber noch immer ein Problem mit dem Standort zu Standort VPN Verbindung.

Am Forefront die Verbindung eingerichtet. Phase1 und 2 noch einmal manuel konfiguriert, damit der Netgear es auch versteht.

Phase1 Phase2 Forefront <-> Netgear FVG318 alles gleiche Einstellungen.

Am Forefront, in der Überwachung, sehe ich die Verbindung.

In den VPN Logs im Netgear kommt folgendes:

2011-05-27 : INFO: Using IPsec SA configuration: 192.168.2.0/24<->192.168.5.0/24
2011-05-27 : INFO: Configuration found for 87.xx9.xx8.xx.
2011-05-27 : INFO: Initiating new phase 2 negotiation: 80.xx2.xx4.xx0[0]<=>87.xx9.xx8.xx[0]
2011-05-27 : ERROR: Unknown notify message from 87.xx9.xx8.xx[500].No phase2 handle found.
2011-05-27 : ERROR: Unknown notify message from 87.xx9.xx8.xx[500].No phase2 handle found.
2011-05-27 : ERROR: Unknown notify message from 87.xx9.xx8.xx[500].No phase2 handle found.
2011-05-27 : ERROR: Giving up on 87.xx9.xx8.xx to set up IPsec-SA due to time up
2011-05-27 : INFO: accept a request to establish IKE-SA: 87.xx9.xx8.xx

2011-05-27 : INFO: Configuration found for 87.xx9.xx8.xx

2011-05-27 : INFO: Initiating new phase 2 negotiation: 80.xx2.xx4.xx0[500]<=>87.xx9.xx8.xx[0]
2011-05-27 : ERROR: Unknown notify message from 87.xx9.xx8.xx[500].No phase2 handle found.
2011-05-27 : ERROR: Unknown notify message from 87.xx9.xx8.xx[500].No phase2 handle found.
2011-05-27 : ERROR: Unknown notify message from 87.xx9.xx8.xx[500].No phase2 handle found.
2011-05-27 : ERROR: Giving up on 87.xx9.xx8.xx to set up IPsec-SA due to time up

In derFirewallrichtlinie für die Standortvebindenung habe ich sämtliche Protokolle ausprobiert, ohne Erfolg.

Kann mir einer weiterhelfen, ist sehr dringend!

Freitag, 27. Mai 2011 11:55

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

Das 1. Mal Installation und konfig.

Frage

Antworten

Alle Antworten