none
Wie erstelle ich eine Standort-zu-Standort-Verbindung via IPSec zu einem fremden Unternehmen? RRS feed

  • Allgemeine Diskussion

  • Hallo Forum,

    ich habe als IT-Administrator eine Aufgabe zu lösen, wo ich i.A. nicht recht weiß wie ich sie angehen soll.

    Es geht um die Verbindung unserer Firma mit einem fremden Unternehmen, um dort via RDP, oder Https eine Softwareanwendung zu nutzen.
    Die Verbindung soll mit Hilfe einer Statischen LAN-to-LAN IPSec Verbindung ablaufen.
    Wir nutzen den Forefront TMG 2010, das andere Unternehmen eine Fortigate Firewall.

    Ich habe folgende Informationen von dem fremden Unternehmen:
    1. Öffentliche IP-Adresse
    2. Den Netzwerkbereich auf den wir zugreifen sollen.
    3. Die IP-Adresse von dem Server auf dem die Software genutzt werden soll.
    4. Einen Pre-Shared Key
    5. Die IPSec Einstellungen Phase 1 & 2

    Gleichzeitig hat das andere Unternehmen von mir folgende Informationen erhalten:
    1. Unsere Öffentliche IP-Adresse
    2. Unseren Netzwerk Adressbereich.

    Mir ist klar, dass ich die Verbindung über eine "VPN Standort zu Standort Verbindung" herstellen muss. Aber was trage ich wo ein entzieht momentan meiner Erkenntnis. Wie muss ich das machen?

    Für jede Info danke ich Euch! :-)

    Mittwoch, 15. August 2012 10:20

Alle Antworten

  • Hi,

    schau mal als Beispiel:

    http://tmgblog.richardhicks.com/2011/01/25/configuring-site-to-site-vpn-with-forefront-tmg-and-cisco-pix-and-asa/
    http://www.carbonwind.net/ISA/CheckPointVPNs2s/CheckPointVPNs2s.htm

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Mittwoch, 15. August 2012 10:32
    Moderator
  • Hallo Marc,

    danke für die Links. Diese haben wir sorgfältig abgearbeitet. Dennoch erhalte ich eine Fehlermeldung in der Ereignisanzeige unter Sicherheit:
    Fehler bei einer IPsec-Hauptmodusaushandlung.

    Lokaler Endpunkt:

                    Lokaler Prinzipalname:       -
                    Netzwerkadresse: 192.xxx.xxx.xx
                    Port des Schlüsselerstellungsmoduls:              500

    Remoteendpunkt:

                    Prinzipalname:                     -
                    Netzwerkadresse: 145.xxx.xxx.xxx
                    Port des Schlüsselerstellungsmoduls:              500

    Zusätzliche Informationen:

                    Schlüsselerstellungsmodulname:     IKEv1
                    Authentifizierungsmethode:             Vorinstallierter Schlüssel
                    Rolle:                                     Antwortdienst
                    Identitätswechselstatus:     Nicht aktiviert
                    Hauptmodus-Filter-ID:       93095

    Fehlerinformationen:

                    Fehlerpunkt:                         Lokaler Computer
                    Fehlerursache:                      Verhandlung hat Zeitlimit überschritten.
                    Status:                                   Gesendete erste (SA-) Nutzlast
                    Initiatorcookie:                     e2b6e115cc5a1a3c
                    Antwortdienstcookie:         7b281fe7e7ae6db8

    Interessanterweise lautet die IP-Adresse des Remoteendpunktes: 145.xxx.xxx.240 Diese haben wir auch im Forefront eingestellt
    In der Ereignisanzeige bekommen wir aber als Remoteendpunkt die: 145.xxx.xxx.242 angezeigt.


    Unser TMG ist nicht direkt mit dem Internet verbunden, sondern hängt hinter einem Router. Die NAT-Traversal Einstellungen haben wir auf dem Router eingestellt. In der o.a. Ereignisanzeige wird als Lokaler Endpunkt nicht unsere Öffentliche IP, sondern die IP-Adresse, 192.xxx.xxx.xx, unserer DMZ.
    Ich weiß nicht ob es wichtig ist. Der Forfront TMG ist ein virtueller Server in einer VMware 4 Umgebung.

    Mittwoch, 15. August 2012 13:35
  • HI,

    der Tunnelendpunkt auf Eurer Seite ist Eure oeffentliche IP Adresse und Ihr muesst an Eurem Router sicherstellen, dass alle notwendigen Anfragen fuer die IPSEC Protokolle ohne Filterung/Modifizierung an Euren TMG weitergeleitet werden.
    Warum der Remote Tunnelendpunkt nicht die .240 sondern die .242 ist kann ich nicht sagen, da muesstet Ihr mal Kontakt mit dem VPN Partner aufnehmen


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Mittwoch, 15. August 2012 18:19
    Moderator
  • Hallo Marc,

    ich kann noch nichts neues vermelden. Wir warten auf die Antwort der Gegenstelle. So lange die Basics nicht geklärt und geprüft sind, macht ein weiteres "herumprobieren" keinen Sinn. Die Konfiguration unseres LANCOM 821+ haben wir noch einmal geprüft und dabei erst einmal keine falschen Einstellungen gefunden. Vielleicht gibt es irgendwo eine "Einstellfalle". Wir haben sie bis jetzt nicht entdeckt.

    Ich melde mich, sobald neue Infos vorhanden sind.

    Viele Grüße
    Montag, 20. August 2012 09:06
  • Hallo zusammen,

    ich noch einmal wegen der VPN-Thematik, die mittlerweile eine VPN-Problematik geworden ist.
    Offensichtlich "können" die beiden Firewalls (Fortigate <=> Forefront TMG) es nicht miteinander in der Phase 1 mit "Main Mode". Der Main Mode ist Standardmäßig beim TMG voreingestellt und ich habe keine Information gefunden wo ich ihn auf den benötigten "Aggressive Mode" umstellen kann.

    Hat jemand einen Rat?

    Vielen Dank und viele Grüße

    Dienstag, 28. August 2012 14:00
  • Hi,

    der Aggressive Mode ist nur eine etwas andere Variante des Main Mode. Beides sind Phase 1 Varianten. Windows Server 2003 hat nie den Aggressive Mode unterstuetzt und ich meine das hat sich mit Windows Server 2008/R2 nicht geaendert. Zumindest Windows 7 unterstuetzt weiterhin keinen Aggressive Mode. Bleibt also nur auf dem anderen Tunnelendpunkt fuer Eure VPN Verbindung den Aggressive Mode auszuschalten?!


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Dienstag, 28. August 2012 18:13
    Moderator