ducky
Goto Top

ISA 2006 als Client VPN-Server hinter einer Watchguard 550e, IPSec durch Watchguard funktioniert nicht.

Hi Ihr,

folgende Konfiguration:

Firebox 550e als frontend --> ISA 2006

Firebox managed die Branch office connections.

Isa soll die mobile Client anfragen händeln, leider hab ich es bis jetzt noch nicht hinbekommen, laut Watchguard muss ich eine 1to1 NAT eintragen, damit es überhaupt hinhaut, hab diese auch gemappt auf die externe Schnittstelle des ISA's.

Dementsprechend die Firewallpolicies eingerichtet, leider catched mir trotz dieser Einrichtung die Firebox alles an IKE-Traffic und denkt es ist Branch office Traffic.

Anbei hab ich ein Bild mit dem Log+Firewallpolicies hinzugefügt, vielleicht kann mir jemand weiterhelfen, mit PPTP funktioniert es einwandfrei mit Policy.

0ecdcb57f6df140183231c96ab473c6e-log+rules

VPN L2TP/IPSec mit EAP-TLS + Zertverifikation.

Von Intern, kann ich eine L2TP/IPSec connection zum ISA herstellen.

Hoffe mir kann jemand weiterhelfen face-wink.

Grüße DuckY

Content-Key: 91224

Url: https://administrator.de/contentid/91224

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: DuckY
DuckY 03.07.2008 um 16:20:11 Uhr
Goto Top
Sodala nun hab ich es geschafft, dass der Traffic am ISA ankommt, mit 1to1 NAT,

Die 1to1 IP, war auch noch bei der Watchguard in Secondary IP für die Externe Schnittstelle eingetragen.

leider macht ISA keine faxen und nimmt diesen Traffic nicht an, erstellt keine Logs oder sonstiges.

Ich sehe nur in der Überwachung dass nun IKE Traffic von diesem Client ankommt, kann es sein dass mein 1to1 NAT Probs bei der Authentifizierung macht?

Grüße

DuckY
Mitglied: aqui
aqui 03.07.2008 um 16:33:47 Uhr
Goto Top
Ja, vermutlich ! Eigentlich ist die Einrichtung recht einfach !
Du machst ja vermutlich NAT auf der Firebox. Du musst daher lediglich die eingehenden Ports:

UDP 500 (IKE)
UDP 4500 (NAT Traversal)
ESP (Protokoll Nummer 50)

an die lokale IP Adresse des Servers forwarden (Port Forwarding) Das sollte das Problem sofort lösen.
Technisch noch besser ist es natürlich du terminierst deine VPN Verbindungen gleich auf der Firewall aber vermutlich kostet das wieder bei Watchguard...
Mitglied: DuckY
DuckY 04.07.2008 um 16:29:00 Uhr
Goto Top
Hi,

ja die hab ich alle schon forgewardet..... des Problem war wo anders, der ISA hat nun Traffic und antwortet auch fleissig.

In der Watchguard musste ich eine ganz seltsame Einstellung machen, bei 1to1 NAT muss ich anstatt single-IP --> IP-range einstellen, auch wenn man nur eine IP genattet haben will.

Nun seh ich traffic an firebox & isa.

Mein einziges Problem ist nun noch, wo bzw. wie veränder ich den Mode von Main Mode zu Aggressive Mode?

Und wo veränder ich den Identifier, dass er nicht versucht mit seiner IP sich am client zu verifizieren sondern mim servername oder ka was.

Des weiteren, hat jemand vielleicht nen kostenlosen VPN-Client der mit SecureID geht?

Grüße DuckY