rob-weber
Goto Top

Fritz Fernzugriff durch ISA-Server 2004

Hallo zusammen,
ich bin neu hier im Forum.

Das Problem, welches sich mir hier bietet, kann ich nicht so recht nachvollziehen und denke, dass ich hier ein schnelleres Ergebnis erziele als durch eigene Basteleien.

Wie im Titel zu erkennen haben wir eine ISA 2004 Firewall im Einsatz auf einem Windows Server 2003.
Ich versuche nun, von unserm Netz über "Fritz Fernzugriff" eine VPN-Verbindung zu einem Kunden aufzubauen.
Der VPN-Tunnel steht und baut sich einwandfrei auf und ab. Jedoch kann ich keinen Rechner durch den VPN-Tunnel anpingen, noch eine RDP-Sitzung aufbauen.
Die RDP-Sitzung funktioniert auch nicht, wenn ich in der Firewallregel den Gesamten ausgehenden und eingehenden Traffic zulasse.
Das Clientsystem ist Windows XP x86 mit allen Updates, die lokale Firewall ist aus und außer dem ISA haben wir keine Firewall im Einsatz. Virensacanner gibt es auch keine.
Wenn ich das System jedoch an eine andere Internetverbindung anschließe, ohne ISA, funktioniert alles einwandfrei.
Ich kann also ausschließen, dass die Config-Datei der Fritzbox beschädigt ist.
Im Log vom ISA gibt es auch nix auffälliges.

Kennt jemand die Problematik und kann mir weiterhelfen?

Gruß
Robert

Content-Key: 168672

Url: https://administrator.de/contentid/168672

Ausgedruckt am: 29.03.2024 um 09:03 Uhr

Mitglied: aqui
aqui 27.06.2011 um 11:42:58 Uhr
Goto Top
Wenn du wirklich ganz sicher bist das der VPN Tunnel (AVM nutzt dazu das IPsec Protokoll mit ESP und UDP 500 was normalerweise in jedem NAT Router hängenbleibt ohne NAT Traversal) sauber zustande kommt dann ist es wie immer ein Routing Problem !
Das LAN Interface deines VPN Servers (vermutlich die Fritzbox) MUSS aber in jedem Falle immer pingbar sein !! Ist es das nicht, kommt erst gar keine VPN Verbindung zustande obwohl du das behauptest.
Diese Testwergebnisse fehlen komplett von dir face-sad

Kommt sie zustande ist das dann ein Problem der lokalen Firewall der angebpingten Geräte. Dort ist dann ICMP (Auf Echo Pakete antowrten) nicht erlaubt oder für das VPN IP Netzwerk nicht freigegeben so das die lokale Firewall das blockiert.

2ter Fehler kann sein das das angepingte Endgerät ein anderes Gateway (IP) als die Fritzbox konfiguriert hat. Damit gibt es dann keine Route ins VPN Netz und die Ping Pakete enden im Nirwana ! Abhilfe schafft dann einen statische Route im Router.
Traceroute und Pathping sind hier wie immer deine Freunde !
Mitglied: Rob-Weber
Rob-Weber 27.06.2011 um 12:22:32 Uhr
Goto Top
Funktionsweise an extra Netzzugang ohne ISA:
- Pingtest auf Gateway einwandfrei (keine hohen Antwortzeiten)
- VPN-Verbindung kommt zu Stande
- Pingtest auf Netzwerkgeräte im Netz des Kunden funktioniert einwandfrei (ICMP-Pakete werden nicht geblockt und ICMP-Request ist auch an)
- RDP-Sitzung funktioniert

Funktionsweise am ISA:
- Pingtest auf Gateway einwandfrei (keine hohen Antwortzeiten)
- VPN-Verbindung kommt zu Stande
- Pingtest auf Netzwerkgeräte im Netz des Kunden funktioniert nicht!
- RDP-Sitzung funktioniert nicht!

Es muss also definitiv an unserem ISA liegen.
Aber wo, wenn ich ja schon alles zulasse?
Mitglied: dog
dog 27.06.2011 um 17:01:08 Uhr
Goto Top
Aber wo, wenn ich ja schon alles zulasse?

Guck dir das Überwachungsprotokoll an, wenn du die Verbindung aufbaust.

Wahrscheinlich hast du vergessen ein Netzwerk oder Mapping zu definieren o.Ä.
Mitglied: Pjordorf
Pjordorf 27.06.2011 um 23:49:17 Uhr
Goto Top
Hallo,

Zitat von @Rob-Weber:
- RDP-Sitzung funktioniert
- RDP-Sitzung funktioniert nicht!
Verwendest du auf deinen Client den MS Firewallclient? Wenn ja, schalte den mal aus und teste dann.

Gruß,
Peter
Mitglied: Rob-Weber
Rob-Weber 28.06.2011 um 08:20:08 Uhr
Goto Top
Den MS Firewallclient nutzen wir nicht.
Das Mapping und die Netzwerkschnittstellen stimmen auch.
Der VPN-Tunnel steht ja einwandfrei, nur eben die RDP-Sitzung möchte nicht.

Auffällig ist, dass die route zu einem Rechner beim Kunden am Netz am ISA vorbei direkt durch den VPN-Tunnel geht, hinter dem ISA jedoch ins WAN geroutet wird.
Hilft das weiter?
Mitglied: aqui
aqui 28.06.2011 um 11:11:18 Uhr
Goto Top
Nimm dir doch einen Sniffer wie den Wireshark und verfolge den Weg der Pakete ! Dann ist dir doch im Handumdrehen klar WO es kneift.
De facto ist es einer der Firewall Einstellungen. Da hast du schlicht und einfach was vergessen !!
Überwachungsprotokoll, Traceroute und/oder Pathping sind deine Freunde !
Mitglied: Rob-Weber
Rob-Weber 28.06.2011 um 15:55:28 Uhr
Goto Top
Laut Pathping sucht er den anzupingenden Rechner über das Loopbackdevice statt über den VPN-Tunnel, wenn ich über den ISA gehe.
Den grund kann ich mir nicht herleiten.
Ich blocke ja absolut garnix in meiner Regel und die Route passe ich auch nicht an.
Sobald ich eine RDP Sitzung aufbauen möchte wählt er auch die Schnittstelle die ins WAN zeigt statt der VPN-Verbindung.
Mitglied: aqui
aqui 28.06.2011 um 17:31:45 Uhr
Goto Top
Dann mal mit route -print die Routing Tabelle ansehen...da läuft dann was ziemlich schief oder hat einer was ziemlich verbogen an dem Rechner. Normal ist das wenigstens nicht.
Den Grund dafür können wir von remote hier natürlich auch nicht herleiten ?!
Mitglied: Rob-Weber
Rob-Weber 05.07.2011 um 14:23:15 Uhr
Goto Top
Ich habe das Routing mal nachvollzogen und ein neues Routing für den Client im ISA eingetragen. Dennoch kann ich keine Änderung verbuchen!

Resultat:
Routing Passt
Protokolle und Ports sind freigegeben
Lokale Firewalls sind alle aus