locked
VPN kein Zugriff auf Clients hinter dem TMG RRS feed

  • Frage

  • Hallo liebe Gemeinde.

    Ich bin von ISA 2006 auf TMG umgestiegen. Aus meiner Sicht habe ich alles genauso konfiguriert.

    zum Netzwerk: Clients und Server liegen in verschiedenen IP-Netzen. Diese Netze werden über einen Router verbunden. Die Benutzer aus den verschiedenen Netzen verbinden sich über den TMG mit dem Internet. Das klappt alles wunderbar.

    Nun habe ich VPN auf dem TMG konfiguriert. Ich kann von außen auf den TMG Server zugreifen. Verbindungen zu anderen internen Clients oder Servern werden verweigert. Ping zum TMG funktioniert von außen. Ein Ping zu einem anderen Gerät im gleiche Netz oder zu anderen Netzen von außen funktioniert nicht.

    Soweit ich es aus den Protokollen der Überwachung nachvollziehen kann lässt der TMG DNS-Anfragen zum internen Server durch??

    Was hat sich von ISA 2006 auf TMG geändert? Der ISA 2006 lässt mich über VPN auf die internen Server zugreifen. Der TMG verweigert den Zugriff???

    Montag, 8. April 2013 19:33

Antworten

  • Das Logging gibt für den Ping aus, dass eine Verbindung initiiert wurde, jedoch werden 0 Byte übertragen. Diese Meldung wird mit success versehen und die entsprechende Firewall Regel genannt.

    Pro Pingversuch gibt es dazu genau einen Eintrag obwohl ja standardmäßig drei Pakete verschickt werden. Ansonsten taucht der Ping im Logging gar nicht auf. Wenn dort irgendwo mal etwas verweigert würde, dann hätte ich ja einen Ansatz wonach ich suchen könnte.

    DNS Verbindung werden übrigens auch erfolgreich initiiert.

    Ansonsten wird viel verweigert, was vom VPNClient an irgendwelche externen Adressen gesendet wird.

    Ich vermute, dass ich irgendwo auf dem TMG noch eine Route eintragen muss obwohl ich in den Foren gelesen habe, dass das nicht nötig ist.

    Also noch mal etwas genauer zum Netzwerk Intern sind ein paar Netze vergeben 10.1.201.0/24; 10.1.202.0/24 usw. Diese Netze sind alle mit einem Router(Layer3 Switch) verbunden. An diesen Layer3 Switch hängt auch der TMG mit einer Adresse aus dem 192.168.1.0 Netz. Auf dem TMG sind dann die jeweiligen Routen nach den 10.x.x.x Netzen statisch eingetragen und in das Netzwerk INTERN aufgenommen. Das funktioniert auch alles wunderbar. Die VPN Clients befinden sich im 10.100.1.x/24 Netz.

    Mit freundlichen Grüßen

    Dirk

    Kleiner Nachtrag:

    Gerade habe ich mit verschiedenen Einstellungen versucht das Ping Problem einzugrenzen. Anscheinend, ist es so das die Ping Anfragen den TMG noch erreichen und weitergeleitet werden, jedoch die Antworten nicht zurückgesendet werden. Also gesendete Bytes 240 empfangene Bytes 0

    Im Protokoll steht beim Beenden der Pingverbindung 0x80074e20 FWX_E_GRACEFUL_SHUTDOWN  

    Hat jemand eine IDEE???

    Dirk

    ---- LOESUNG DES PROBLEMS ----

    Also es lag nicht am TMG, sondern an der Layer 3 Switch. Dort war noch eine Standardroute auf den alten ISA- Server gesetzt. Da der neue TMG-Server eine andere interne IP-Adresse hatte, wurden die Antworten falsch zurückgeleitet.

    Neue Standardroute auf dem Switch. Jetzt läuft wieder alles wie bim ISA Server.

    Der Fehler sitzt halt immer vor dem Server.

    • Bearbeitet DKoeder Donnerstag, 11. April 2013 19:49
    • Als Antwort markiert Alex Pitulice Freitag, 12. April 2013 12:16
    Dienstag, 9. April 2013 19:18

Alle Antworten

  • Hi,

    geaendert hat sich da von ISA zu TMG nichts.
    Deine internen Netze sindim TMG im Netzwerk INTERN zusammengefasst? Es gibt eine Netzwerkregel von VPN-CLIENTS zu INTERN vom Typ ROUTE und eine Firewallregel die von VPN-CLIENTS zu INTERN die gewuenschten Protokolle zulaesst?
    Was sagt das TMG Live Logging wenn Du z. B. versuchst von einem VPN Client einen Client/Server im LAN anzupingen?
    Die VPN-CLIENTS bekommen die IP per DHCP oder per statischer IP vom TMG Server?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Dienstag, 9. April 2013 04:01
  • Hallo Marc,

    vielen Dank für die Antwort.

    Die internen netze sind im Netzwerk INTERN definiert.Die Netzwerkregel VPN Clients zu Intern ist vom Ty p route und aktiviert.

    Außerdem habe ich eine Firewalregel definiert von VPN-Clients, Quarantäne-Clients nach INTERN und lokaler HOST, gesamter ausgehender Datenverkehr für alle Benutzer.

    Der TMG vergibt die IP-Adressen statisch vom TMG.

    Mit freundlichen Grüßen

    Dirk

    Dienstag, 9. April 2013 08:54
  • Hi,

    dann sieht alles gut aus. Was sagt das TMG Live Logging?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Dienstag, 9. April 2013 09:10
  • Das Logging gibt für den Ping aus, dass eine Verbindung initiiert wurde, jedoch werden 0 Byte übertragen. Diese Meldung wird mit success versehen und die entsprechende Firewall Regel genannt.

    Pro Pingversuch gibt es dazu genau einen Eintrag obwohl ja standardmäßig drei Pakete verschickt werden. Ansonsten taucht der Ping im Logging gar nicht auf. Wenn dort irgendwo mal etwas verweigert würde, dann hätte ich ja einen Ansatz wonach ich suchen könnte.

    DNS Verbindung werden übrigens auch erfolgreich initiiert.

    Ansonsten wird viel verweigert, was vom VPNClient an irgendwelche externen Adressen gesendet wird.

    Ich vermute, dass ich irgendwo auf dem TMG noch eine Route eintragen muss obwohl ich in den Foren gelesen habe, dass das nicht nötig ist.

    Also noch mal etwas genauer zum Netzwerk Intern sind ein paar Netze vergeben 10.1.201.0/24; 10.1.202.0/24 usw. Diese Netze sind alle mit einem Router(Layer3 Switch) verbunden. An diesen Layer3 Switch hängt auch der TMG mit einer Adresse aus dem 192.168.1.0 Netz. Auf dem TMG sind dann die jeweiligen Routen nach den 10.x.x.x Netzen statisch eingetragen und in das Netzwerk INTERN aufgenommen. Das funktioniert auch alles wunderbar. Die VPN Clients befinden sich im 10.100.1.x/24 Netz.

    Mit freundlichen Grüßen

    Dirk

    Kleiner Nachtrag:

    Gerade habe ich mit verschiedenen Einstellungen versucht das Ping Problem einzugrenzen. Anscheinend, ist es so das die Ping Anfragen den TMG noch erreichen und weitergeleitet werden, jedoch die Antworten nicht zurückgesendet werden. Also gesendete Bytes 240 empfangene Bytes 0

    Im Protokoll steht beim Beenden der Pingverbindung 0x80074e20 FWX_E_GRACEFUL_SHUTDOWN  

    Hat jemand eine IDEE???

    Dirk

    ---- LOESUNG DES PROBLEMS ----

    Also es lag nicht am TMG, sondern an der Layer 3 Switch. Dort war noch eine Standardroute auf den alten ISA- Server gesetzt. Da der neue TMG-Server eine andere interne IP-Adresse hatte, wurden die Antworten falsch zurückgeleitet.

    Neue Standardroute auf dem Switch. Jetzt läuft wieder alles wie bim ISA Server.

    Der Fehler sitzt halt immer vor dem Server.

    • Bearbeitet DKoeder Donnerstag, 11. April 2013 19:49
    • Als Antwort markiert Alex Pitulice Freitag, 12. April 2013 12:16
    Dienstag, 9. April 2013 19:18
  • Hallo DKoeder,

    ich frage dich einfach mal, du/Sie sind auf den TMG umgestiegen, würdest/würden du/Sie Ihren ISA 2006 verkaufen.
    Gruß
    Uwe

    Freitag, 26. April 2013 07:07