locked
Fragen zu TMG VPN RRS feed

  • Frage

  • Hallo zusammen,

    erstaunliches Phänomen: Ein TMG Standard 2010 mit aktuellen Patches.

    Interne Clients können prima einen Server hinter einer Site-2-Site VPN Verbindung erreichen. VPN Clients nicht!?

    Die Regel hat natürlich das Netzwerk "VPN Clients" zugelassen. Die Netzwerke und die Regel werden auch ordentlich erkannt. die Regeln und das Routing funktionieren also.

    Das liegt offensichtlich daran, dass z.B. ein PING des Servers hinter dem S2S VPN nach intern funktioniert, zu den VPN Clients aber nicht: 0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED.

    Also: Pakete von hinter der Site2Site Verbindung werden Richtung VPN Clients als Spoofing bewertet. Warum denn das???

    Help is needed!!

     

    Dienstag, 19. Juli 2011 12:13

Alle Antworten

  • Hallo,

    eine Netzwerkbeziehung VPN-Clients zu S2S-Netzwerk hast du und auf der Gegenseite ist auch der IP-Adressbereich des VPN-Client-Netzwerks enthalten?

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Dienstag, 19. Juli 2011 12:41
  • Ja. Auf der Ggenseite ist eine Cisco ASA. Aber dort ist das VPN Netz definiert (sonst würde ich die Anfrage nicht auf meiner TMG sehen (die ist ja Tunnelendpunt).

    Gruß

    Gernot

    Dienstag, 19. Juli 2011 12:47
  • moin gernot,

    einen spoof sieht man häufig dann, wenn die pakete nochmal genattet sind. dies könnte z.b. zutreffen, wenn deine vpn-clients nochmal ein transfernetz durchlaufen. ich hatte das mal bei einem kunden der einen vorgelagerten router als vpn-device genutzt hat. schau dir doch im logging mal an von welchen ips die clients kommen.


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Mittwoch, 20. Juli 2011 06:02
  • Moin Jens,

    nee. Das käme später. Die VPN Clients sind mit dem TMG direkt verbunden. Allerdings steht davor eine Cisco ASA. Aber die Routet und NATtet nicht...

    Aber was wäre auch dagegen zu tun???

    Gruß

    Gernot

    Donnerstag, 21. Juli 2011 16:42
  • der fall den ich oben geschildert habe ist recht einfach zu lösen. das ip-segment muss dem tmg in form eines netzwerkes bekannt gemacht werden. ich habe dann somit das transfernetz sowie den vpn-ipbereich mit in ein eigenes netzwerk aufgenommen und dies dann per regelwerk nach intern kanalisiert und gut is.

    wenn du eine asa in front hast und vpn auf tmg terminiert ist, kann meine geschichte nicht zutreffen - insofern egal. die ip's für die vpn-clients werden wie vergeben? per dhcp oder statischer ip-adresspool?


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Freitag, 22. Juli 2011 19:48
  • Ich habe mich in dem Thema gerade mal wieder versucht.

    Die IP Adressen der VPN Clients vom TMG per DHCP.

     

    Freitag, 12. August 2011 16:08
  • Hi Gernot,

    gibt es ein Update zu Deinem Problem? Im englischsprachigen Forum gab es bisher auch noch keine Loesung? http://social.technet.microsoft.com/Forums/de-DE/Forefrontedgegeneral/thread/2093fdb5-3b34-46b9-8cc1-c7fdb158a41d


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 23. August 2011 15:52
  • Nö! Geht leider immer noch nicht :-(
    Greetings/Grüße Gernot
    Dienstag, 23. August 2011 16:02