none
TMG-Zugriff über IPSec-Tunnel RRS feed

  • Frage

  • Hallo zusammen,

    wir würden gerne unseren TMG (inkl. Updaterollup 3 für SP1) über einen IPSec-Tunnel durch einen Nagios-Server überwachen lassen. Dabei werden nur ICMP- und SNMP-Checks benötigt.

    Ich habe bereits eine Regel eingerichtet, die Zugriff via Ping und SNMP vom IPSec-Tunnel-Netzwerk zum lokalen Host zulässt. Nur leider antwortet der TMG weiterhin nicht.

    Gibt es hierzu noch eine Einstellung, die zu treffen ist, damit es funktioniert?

    Danke für die Hilfe!

    André

    Dienstag, 29. März 2011 07:06

Alle Antworten

  • Hallo Andre,

    dazu muss in den Einstellungen des IPSec-Tunnels auf der Gegenseite die Externe IP vom TMG mit in den Netzwerkbereichen enthalten sein.

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Dienstag, 29. März 2011 07:08
    Moderator
  • Hi Christian,

    danke für Deine schnelle Antwort.

    Was könnte man machen, wenn die Firewall auf der Gegenseite das einfügen der öffentlichen IP nicht zulässt bzw. nicht möglich ist?

    Grüße,

    André

    Dienstag, 29. März 2011 15:16
  • Hi Andre,

    warum soll das nicht gehen? Ich hatte bislang noch keine Firewall gesehen bei der das nicht ginge. Wenn es nicht möglich sein sollte, dann hast du schlechte Karten.

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Mittwoch, 30. März 2011 07:15
    Moderator
  • Hallo Christian,

    sorry für die verpätete Antwort. War leider im Krankenstand.

    Wir setzen hier eine Zyxel USG 200 ein. Laut Herstellersupport ist das bei IPSec-Tunneln so nicht möglich. Diese Einstellung wäre nur bei einem L2TP/IPSec-Tunnel möglich.

    Würde das evtl. mit L2TP/IPSec funktionieren, da das die USG 200 auch können würde?

     

    Grüße,

    André

    Freitag, 1. April 2011 11:40
  • Hallo Andre,

    kein Problem. Laut dem Handbuch scheint das wirklich nicht zu gehen. Ich hatte mal einen D-Link-Router bei dem das auch nicht ging, da konnte man wirklich nur ein Subnetz eintragen.

    Letztendlich konnte ich mir aber behelfen, indem ich im D-Link Router einen weiteren Tunnel konfiguriert habe, der als Remotenetzwerk nur die externe IP-Adresse vom TMG/ISA beinhaltete.

    Probier mal aus, ob das so möglich ist.

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Freitag, 1. April 2011 12:04
    Moderator