locked
VPN durch ISA/TMG raus lassen RRS feed

  • Frage

  • Hi,
     
    das Thema ist ja schon mehrfach aufgetaucht...
    Wenn ich es richtig sehe, tut sich ISA/TMG schwer (bis unmöglich, Ausnahme
    SSL-VPN) VPN Ausgehend zu ermöglichen, richtig?
     
    Aber wie löst Ihr das Problem, dass ein Kunde sein Netzwerk mit ISA/TMG
    absichert, aber selber Mitarbeiter zu anderen Kunden per IPSec-, PPTP-VPN
    zugreifen können müssen?
     
    Jede Idee/Ansatz ist willkommen.  :-)
     
    --
     
    Besten Dank,
    Jens
     
     

    Regards, Jens Klein
    Dienstag, 31. August 2010 04:55

Antworten

  • Hi,

    ich wuerde das gar nicht ueber den TMG machen, da Du Dir damit ein Loch in die Firewall schiesst. TMG kann den Traffic ja nicht filtern, da eine End-zu-End Verbindung zwischen VPN Client und VPN Server existiert und TMG den Traffic nur durchlaesst.

    Ich kenne das von einigen Kunden und von mir so, dass man dedizierte PCs hat, welche nicht mit dem LAN verbunden sind oder entsprechend abgeschottet sind und ueber eine dedizierte Internet Leitung verfuegen. VPN Management PCs halt.

    Auch wenn es in den englischen und deutschen Foren mal ab und an einen Thread gibt, dass ausgehendes VPN nicht durch TMG funktioniert, sollte das Gro der Admins kein Problem damit haben und ich selbst hatte auch noch nie ein Problem bei Kunden damit (man kann ja nicht alle Kunden ueberzeugen, es so zu machen, wie ich es gerne haette :-).

    Also ausgehend VPN:
    Access rule fuer VPN Protokolle from VPN Client INTERNAL to EXTERNAL for All Users, alles ohne Filterung, PPTP FIlter am TMG muss an sein (wenn PPTP verwendet wird). Der Client muss SecureNAT CLient sein. Dann kann es natuerlich noch an vorgelagerten Routern / Gateways scheitern, aber aus TMG Sicht sollte das ausreichend sein. Schau mal im ISATEAM Blog vorbei, die haben zu ausgehenden VPN Problemen schon ne Menge geschrieben.


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Dienstag, 31. August 2010 05:07
  • Hi Jens,

    also prinzipiell gibt es kein Problem, mit ISA/TMG uns ausgehenden Client-VPN-Verbindungen. Problematisch ist meistens der Router vor dem ISA/TMG, wenn dieser NAT-T oder GRE nicht richtig kann.

    Ergänzend zu Marc würde ich die Regel etwas restriktiver gestalten und nur von bestimmten Clients (Computersatz) zu bestimmten VPN-Servern (Computersatz) die benötigten VPN-Protokolle erlauben.

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Dienstag, 31. August 2010 06:55

Alle Antworten

  • Hi,

    ich wuerde das gar nicht ueber den TMG machen, da Du Dir damit ein Loch in die Firewall schiesst. TMG kann den Traffic ja nicht filtern, da eine End-zu-End Verbindung zwischen VPN Client und VPN Server existiert und TMG den Traffic nur durchlaesst.

    Ich kenne das von einigen Kunden und von mir so, dass man dedizierte PCs hat, welche nicht mit dem LAN verbunden sind oder entsprechend abgeschottet sind und ueber eine dedizierte Internet Leitung verfuegen. VPN Management PCs halt.

    Auch wenn es in den englischen und deutschen Foren mal ab und an einen Thread gibt, dass ausgehendes VPN nicht durch TMG funktioniert, sollte das Gro der Admins kein Problem damit haben und ich selbst hatte auch noch nie ein Problem bei Kunden damit (man kann ja nicht alle Kunden ueberzeugen, es so zu machen, wie ich es gerne haette :-).

    Also ausgehend VPN:
    Access rule fuer VPN Protokolle from VPN Client INTERNAL to EXTERNAL for All Users, alles ohne Filterung, PPTP FIlter am TMG muss an sein (wenn PPTP verwendet wird). Der Client muss SecureNAT CLient sein. Dann kann es natuerlich noch an vorgelagerten Routern / Gateways scheitern, aber aus TMG Sicht sollte das ausreichend sein. Schau mal im ISATEAM Blog vorbei, die haben zu ausgehenden VPN Problemen schon ne Menge geschrieben.


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Dienstag, 31. August 2010 05:07
  • Hi Jens,

    also prinzipiell gibt es kein Problem, mit ISA/TMG uns ausgehenden Client-VPN-Verbindungen. Problematisch ist meistens der Router vor dem ISA/TMG, wenn dieser NAT-T oder GRE nicht richtig kann.

    Ergänzend zu Marc würde ich die Regel etwas restriktiver gestalten und nur von bestimmten Clients (Computersatz) zu bestimmten VPN-Servern (Computersatz) die benötigten VPN-Protokolle erlauben.

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Dienstag, 31. August 2010 06:55
  • moin jens,

    schließe mich der meinung der kellogs an. habe dies schon häufiger für kunden so konfiguriert. für wichtig erachte ich den security-aspekt den marc erwähnte, nicht das du hier die büchse der pandora öffnest!


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Dienstag, 31. August 2010 08:19
  • Vielen Dank für die Hinweise. Die Tür soll klein bleiben.  ;-)
     
    --
     
    Besten Dank,
    Jens
     
     

    Regards, Jens Klein
    Dienstag, 31. August 2010 13:34