none
Das 1. Mal Installation und konfig. RRS feed

  • Frage

  • Hallo,

    ich setze einen Forefront TNG 2010 Standard zum 1. mal auf. Server2008 installiert, Forefront installiert. Router Speedport W504, DHCP AN, 192.168.1.1

    Ein SBSServer ist im Netz vorhanden. Server2003 DHCP, Exchange, Netzlaufwerke usw.

    Forefront Netzwerkkarte extern 192.168.1.10 Standardgateway der Router. Interene 192.168.5.254 - soll der Standardgateway für den SBS werden.

    1. Problem: Ich kann bei der internen kein Standardgateway angeben, welchen auch? Dadurch ist das Netz nur ein öffentliches Netz.

    SBSServer und Clients kommen ins Internet, Netviewer und SV.net werden geblockt (wird benötigt).

    Per Remotedesktop komme ich nicht auf den Forefront, gehe davon aus das es an den öffentlichen Netz liegt.

    VPN soweit konfiguriert, den SBS als Radius eingetragen. Clients sollen von außen auf die Netzwerkressourcen zugreifen können.

    Ich weiß nicht ob der SBS alle Voraussetzungen hat? Woher weiß der Forefront wer VPN darf?  Welche Forefronteinstellungen muss ich  für den VPN vornehmen? Was muss ich einstellen damit Netviewer und SV.net wieder laufen.

     Ich habe soviele Fragen ;-(

    Wenn ihr noch etwas wissen müsst dann immer fragen!

    Mfg, OlRi

    Montag, 21. Februar 2011 18:38

Antworten

  • Hi,

    stell am VPN Client ein, dass er keine IP Adresse beim VPN verbindungsaufbau bekommt, sondern eine feste IP Adresse.
    In der NPS Verwaltung (Netzwerkrichtlinien - TMG Richtlinie) musst Du noch zulassen, dass der Client eine feste IP Adresse verwenden darf (Client kann eine IP Adresse anfordern)


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 17. März 2011 09:53
    Moderator

Alle Antworten

  • moin oiri,

    bei multihomed-maschinen kannst du immer (!) nur ein standardgate setzen. in einem tmg-szenario wird dieses auf der externen karte gepflanzt.

    siehe dazu auch hier (ist zwar von isa die rede, gilt aber auch für tmg):

    http://blog.msfirewall.org.uk/2008/06/isa-servers-recommeded-network-card.html

    solltest du intern mehrere ip-ranges im einsatz haben, dann müsstest du mit statischen routen arbeiten.

     

    per rdp kommst du nicht auf tmg, weil seine firewall die pakete standardmäßig verwirft. tipp: systemrichtlinien konfigurieren!

     

    mach den tmg zum member der domain, dann musst du nicht auch noch eine radius-anbindung bauen.

    vpn machen können dürfen die user die du dazu autorisiert hast (ras-richtlinien oder einwahlberechtigungen).

     

    ich empfehle dir folgendes buch zum thema, von den geschätzten kellogs:

    http://www.msisafaq.de/Buch/TMG/index.htm


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Montag, 21. Februar 2011 18:50
  • Thx für die schnelle Antwort.

    Habe ja die Egde Sache an laufen 2 Karten!

    Bekomme ich keine Probleme wenn ich den Forefront in die Domäne einbinde?

    Das andere werde ich mir anschauen :-)

    Montag, 21. Februar 2011 19:12
  • Hi,

    Windows 2008? Warum nicht R2? Ist aus meiner Sicht bei neuen Installationen die bessere Option.
    Das Default Gateway setzt Du nur auf der externen Karte und zeigt zum Speedport
    Damit Netviewer geht musst Du eine Regel erstellen, welche HTTP/HTTPS von den internen Servern nach Extern erlaubt
    http://www.msisafaq.de/Anleitungen/2006/Grundlagen/index.htm (gilt auch groesstenteils fuer TMG)
    Damit Du auf den TMG mit RDP kommst, musst Du die Clients in den Computersatz der Remote Desktop Computer in den Systemrichtlinien aufnehmen:
    http://technet.microsoft.com/de-de/library/cc441740.aspx
    Wegen VPN und RADIUS:
    http://support.microsoft.com/kb/884492
    http://technet.microsoft.com/en-us/library/bb794723.aspx
    Auf dem SBS musst Du den NPS oder ISA konfigurieren (je nach SBS Version). Da kannst Du dann Verbindungsparameter festlegen. Am TMG kannst Du Benutzergruppen hinterlegen, welche VPN machen duerfen.
    Du musst auch nicht zwingend RADIUS verwenden, wenn der TMG Domaenenmitglied sein sollte 


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Montag, 21. Februar 2011 19:13
    Moderator
  • Hallo Marc,

    ist ein 2008 R2 Standard mit Forefront TMG 2010 Standard.

    Externe Karte habe ich wie du beschrieben auch so eingestellt.

    Der SBS ist ein 2003 Small Business.

     

     

    Muss ich noch Zertifikate oder so erstellen?

    Montag, 21. Februar 2011 19:37
  • Hi,

    nein,da bekommst Du keine Probleme! Funktioniert problemlos. Die interne Karte des TMG hat ja eine IP Adresse aus dem LAN wo auch der SBS ist und die IP Adresse des DNS Servers setzt Du an der internen TMG Karte auf den SBS Server


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Montag, 21. Februar 2011 20:00
    Moderator
  • Hi,

    wenn Du OWA/EAS vom SBS im Internet verfuegbar machen willst, ja:
    http://www.msisafaq.de/Anleitungen/2004/Firewallrichtlinien/OWA_FBA.htm (gilt auch groesstenteils fuer TMG)
    http://www.isaserver.org/tutorials/Publishing-Outlook-Web-Access-Microsoft-Forefront-TMG.html


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Montag, 21. Februar 2011 20:02
    Moderator
  • die edge sache ist schonmal prima. den forefront in die domäne einbinden geht problemlos.

    ;-)


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Montag, 21. Februar 2011 23:58
  • Moin,

    noch eine Ergänzung zur Netzkonfig:

    Die DNS-Server solltest du dann auf der internen Karte eintragen. Das verhindert, das evt. Abfragen nach internen Systemen nach draußen geschickt werden ....

    Glückwunsch zum 1. Mal ;)


    Viele Grüße Carsten
    Dienstag, 22. Februar 2011 06:46
  • Danke für die Hinweise!
    Folgendes muss ich zum funktionieren bekommen.
    SBS und Client müssen Internet haben
    Netviewer muss funktionieren, für die Fernwartung auf den Clients.
    VPN-Zugang für 2 Clients von außen die auf das Netzlaufwerk und den Exchange vom SBS zugreifen müssen.
    Für die interne Netzwerkkarte hatte ich die IP 192.168.5.254 (Gateway für den SBS) und DNS 192.168.5.1 (SBS) vergeben. Wird als öffentliches Netz angezeigt.
    Internet funktioniert.
    Den SBS hatte ich als Radius im TMG eingestellt. Werde aber den TMG in dei Domäne aufnehmen und den Radius wieder entfernen.
    Dienstag, 22. Februar 2011 07:55
  • Ich brauche nochmal eure Hilfe. Soweit ist alles gut. Ich bekomme nur, wenn ich eine VPN-Verbindung aufbauen will, immer die Fehlermeldung 812: Die Verbindung wurde durch eine Richtlinie verhindert, die auf Ihrem RAS/VPN-Server konfiguriert ist. Die durch den Server verwendete Authentifizierungsmethode zur Überprüfung Ihres Benutzernamens und Ihres Kennworts passt eventuell nicht zu der Authentifizierungsmethode, die in Ihrem Verbindungsprofil konfiguriert ist. Melden Sie diesen Fehler dem Administrator des RAS-Servers. Egal welche Gruppe ich vom SBS nehme, Domönenbenutzer oder andere, egal wie ich die Einwahl beim Benutzer einstelle, der Fehler bleibt. Ich weiß nicht mehr weiter, wo ist mein Fehler?

     

    Muss ich den Forefront noch irgendwo im SBS eintragen?

    Donnerstag, 24. Februar 2011 18:14
  • Hallo brauche noch einmal Hilfe.

    Wie und wo stelle ich ein dass der VPN-Client, am besten der PC, eine feste IP bekommt (immer die gleiche) ?

    Donnerstag, 17. März 2011 09:04
  • Hi,

    stell am VPN Client ein, dass er keine IP Adresse beim VPN verbindungsaufbau bekommt, sondern eine feste IP Adresse.
    In der NPS Verwaltung (Netzwerkrichtlinien - TMG Richtlinie) musst Du noch zulassen, dass der Client eine feste IP Adresse verwenden darf (Client kann eine IP Adresse anfordern)


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 17. März 2011 09:53
    Moderator
  • Super danke das hat geklappt :-)

    Besteht auch die Möglichkeit die IP über den PC und nicht den User festzulegen?

    Donnerstag, 17. März 2011 10:42
  • Hi,

    wie meinst Du das? Du kannst das VPN Profil fuer alle Benutzer konfigurieren, dass immer eine feste IP Adresse verwendet wird, egal welcher User sich anmeldet


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 17. März 2011 11:04
    Moderator
  • Jepp sorry habe ich auch grade rausgefunden.

    nochmals THX für deine schnelle Hilfe!

    Donnerstag, 17. März 2011 11:21
  • Ein habe ich noch!
    Funktionieren tut soweit alles gut. Was noch nicht richtig ist ist das Internet.
    DSL 16000 vorhanden, liegt laut Router sogar mehr an!
    Das Internet bzw. die Seiten bauen sich trozdem sehr langsam auf den Clients auf.
    Weiß einer woran das liegen kann?

    Netzwerk alles Giga.
    Dienstag, 22. März 2011 07:11
  • moin,

    hast du wie oben erwähnt die netzwerkkarten überprüft, vor allen in bezug auf dns-auflösung und bindungsreihenfolge?

    sind alles sites langsam oder nur manche? verwendest du webproxyclients? wenn ja, haben die statische einträge oder verwendest du autodiscovery?


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Dienstag, 22. März 2011 07:40
  • Hi da ist er wieder :-)
    Erstmal JA war der DNS !
    Habe jetzt aber ein anderes Problem.
    VPN ist über PPTP konfiguriert. Funktioniert!
    Jetzt brauche ich aber auch noch ein IP/sec Zugang für ein FVG318 Router.
    Also habe ich IP/sec angekreuzt und ein Schlüssel eingegeben.
    Auf dem Client bekomme ich immer die Fehlermeldung 789 (fehler bei der ersten sicherheitsaushandlung)
    Kann mir jemand weiterhelfen?
    Dienstag, 29. März 2011 09:39
  • Hi,

    Du willst also von einem internen Client ein IPSEC mit PSK durch den TMG zu einem externen Netgear Router machen?
    Dann musst Du den TMG so konfigurieren das IPSEC durchgelassen wird:
    http://www.isaserver.org/articles/IPSec_Passthrough.html
    Der Client hat Vista / Windows 7?
    http://support.microsoft.com/kb/926179/en-us


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 29. März 2011 11:46
    Moderator
  • Hab mich vielleicht fasch ausgedrückt.
    Ich muss auf dem Forefront IPSEC aktivieren. Habe es nur mal mit einen PC versucht (IPSEC Schlüssel einhgegeben) wo ich dann immer die Fehlermeldung bekomme.
    Dienstag, 29. März 2011 12:59
  • Hi,

    OK, also den TMG Server als VPN Client Server fuer L2TP/IPSEC aktivieren:
    http://araihan.wordpress.com/2010/04/23/how-to-configure-l2tpipsec-vpn-using-forefront-tmg-2010/
    Der Registry Key fuer den Windows Client gilt aber auch hier!


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 29. März 2011 13:56
    Moderator
  • Hallo,
    ich komme mit der  L2TP/IPSEC Verbindung nicht weiter.
    Wie schon geschrieben PPTP funktioniert von außen.
    IP/sec angekreuzt und ein Schlüssel eingegeben.
    Wenn ich mein Notebook an dem Router anschließe, mir ne IP wie die externe IP vom Forefront vergebe, funktioniert PPTP und L2TP.
    Komme ich von draußen über die feste IP der Telekom, bekomme ich folgende Fehlermedung:
    Fehler 789: Der L2TP-Verbindugsversuch ist fehlgeschlagen, da ein Verarbeitungdsfehler während der ersten Sicherheitsaushandlung mit dem Remotecomputer aufgetreten ist.
    Wie folgt angeschlossen: Speedport als Modem -> D-Link DI-604 als Router -> Forefront Server
    Wenn ich die Protokollierung in Forefront laufen lasse, seh ich "Protokoll-IKE-Client, Aktion Initiierte Verbindung", aber dann scheint es nicht weiterzugehen.
                                          
    Ich habe keine Ahnung was ich falsch mache!

    Muss ich die feste IP noch irgedwo eintragen?
    Freitag, 15. April 2011 12:18
  • moin,

    kann dein dlink nat-t? falls nicht, dann kanns mit ipsec nich klappen:

    http://social.technet.microsoft.com/Forums/de-DE/forefrontde/thread/e17c79df-e3aa-44da-96ae-d052abeeac62


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Freitag, 15. April 2011 15:10
  • Hi,

    sollte er machen oder hat das mit dem Nat-T nichts zutun?

    This router supports VPN pass-through for IPSec, L2TP and PPTP. It features a built-in firewall to protect the network from malicious attacks.

    http://www.speedguide.net/routers/d-link-di-604-upnp-4-port-broadband-router-77

    Werde aber nochh einmal die Einstellungen im Router durchgehen!

    Sonntag, 17. April 2011 21:26
  • Hallo,
    Funktioniert immer noch nicht und ich habe kein anderen Router zum testen!
    Kann ich auch den Router weglassen und mich mit dem Forefront direkt per PPPoE einwählen?
    Soll ja nur zum testen sein.
    Oder kann das immer noch an dem Speedport liegen?
    Wo ich den Speedport als Modem-Router im Betrieb hatte, kam ich per IPsec überhaupt nicht rein, Fehler 678.
     
    Mittwoch, 20. April 2011 13:20
  • Hi,

    ja, es kann immer noch am Router liegen. Gerade die SoHo Router sind fuer ein solches Verhalten bekannt.
    Du kannst den TMG Server auch direkt mit PPOE zum testen konfigurieren. Ist auch eher eine Windows Geschichte. Wenn Du den PPoE Treiber unter Windows zum laufen bringst, kannst Du diesen auch mit TMG verwenden


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Mittwoch, 20. April 2011 15:43
    Moderator
  • Hallo,

    also meinst du auch dass es am Router liegt. Wollte nämlich fragen ob ich davon ausgehen kann dass am Forefront alles richtig eingestell ist. Wenn es doch direkt am Router funktioniert!

     

    Donnerstag, 28. April 2011 10:42
  • Hallo da bin ich wieder ;-)
    1. Es lag am Router, Forefront direkt ans Modem und schon funktionierte IPsec.
    Jetzt habe ich aber noch immer ein Problem mit dem Standort zu Standort VPN Verbindung.
    Am Forefront die Verbindung eingerichtet. Phase1 und 2 noch einmal manuel konfiguriert, damit der Netgear es auch versteht.
    Phase1 Phase2 Forefront <-> Netgear FVG318 alles gleiche Einstellungen.
    Am Forefront, in der Überwachung, sehe ich die Verbindung.
    In den VPN Logs im Netgear kommt folgendes:
    2011-05-27 : INFO:  Using IPsec SA configuration: 192.168.2.0/24<->192.168.5.0/24
    2011-05-27 : INFO:  Configuration found for 87.xx9.xx8.xx.
    2011-05-27 : INFO:  Initiating new phase 2 negotiation: 80.xx2.xx4.xx0[0]<=>87.xx9.xx8.xx[0]
    2011-05-27 : ERROR:  Unknown notify message from 87.xx9.xx8.xx[500].No phase2 handle found.
    2011-05-27 : ERROR:  Unknown notify message from 87.xx9.xx8.xx[500].No phase2 handle found.
    2011-05-27 : ERROR:  Unknown notify message from 87.xx9.xx8.xx[500].No phase2 handle found.
    2011-05-27 : ERROR:  Giving up on 87.xx9.xx8.xx to set up IPsec-SA due to time up
    2011-05-27 : INFO:  accept a request to establish IKE-SA: 87.xx9.xx8.xx
    2011-05-27 : INFO:  Configuration found for 87.xx9.xx8.xx
    2011-05-27 : INFO:  Initiating new phase 2 negotiation: 80.xx2.xx4.xx0[500]<=>87.xx9.xx8.xx[0]
    2011-05-27 : ERROR:  Unknown notify message from 87.xx9.xx8.xx[500].No phase2 handle found.
    2011-05-27 : ERROR:  Unknown notify message from 87.xx9.xx8.xx[500].No phase2 handle found.
    2011-05-27 : ERROR:  Unknown notify message from 87.xx9.xx8.xx[500].No phase2 handle found.
    2011-05-27 : ERROR:  Giving up on 87.xx9.xx8.xx to set up IPsec-SA due to time up
    In derFirewallrichtlinie für die Standortvebindenung habe ich sämtliche Protokolle ausprobiert, ohne Erfolg.
    Kann mir einer weiterhelfen, ist sehr dringend!
     
    Freitag, 27. Mai 2011 11:55