Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Lancom 1711 VPN und Isa Server 2004

Mitglied: raff0606

raff0606 (Level 1) - Jetzt verbinden

03.05.2010 um 10:37 Uhr, 5464 Aufrufe, 7 Kommentare

Hallo zusammen,
ich hab einen Lancom 1711 + VPN auf dem VPN konfiguriert ist. Das Protokoll ist IPSec im ESP Modus.
Ich will nun von zuhause aus auf unseren Fileserver in der Arbeit aus zugreifen. Dazu wird der Lancom Advanced VPN Client verwendet.
Die Verbindung wird auch aufgebaut allerdings komm ich dann nicht weiter in unser Firmennetzwerk. Ein ISA-Server dient als Edgefirewall.

Der Lancom hat die IP-Adresse: 192.168.20.1
Der ISA Server hat auf der Lancomseite die IP-Adresse: 192.168.20.10 SN:255.255.255.0
und auf der Firmennetzwerkseite die IP-Adresse: 10.10.10.110 SN:255.255.0.0

Muss jetzt der Adressbereich für die Einwahl-Zugänge auf das 10.10.10.X Netz oder auf das 192.168.20.X Netz eingestellt sein?

Muss auf dem Server wo der ISA läuft NAT eingerichtet sein?

Reicht es wenn UDP 500 (IKE) und UDP 4500 (NAT-T) in der Feierwall freigeben ist?

Ich probier schon die ganze Zeit rum leider ohne Erfolg.

Ich hoff ihr könnt mir helfen.

Vielen Dank im Voraus.
Mitglied: user217
03.05.2010 um 11:26 Uhr
Du musst:
1. auf dem Lancom der interne SN eintragen
2. auf dem ISA Server den Zugriff von 192.168.20.10 auf den Internen Fileserver freigeben (IPSEC, SMB usw.)

Dann sollte es eigentlich klappen.

Möglichkeit 2, route doch den VPN Client durch den Lancom durch zum Isa und mach VPN am Isa. Hat den Vorteil das du die Lancom VPN Clients nicht kaufen musst und von jedem Win Rechner aus eine Verbindung herstellen kannst. Außerdem ist die ISA Firewall meiner Meinung nach schöner zu konfigurieren wie der 1711er.

mfg
Bitte warten ..
Mitglied: aqui
03.05.2010 um 12:09 Uhr
Das mit dem Durchrouten ist doch Blödsinn wenn der LanCom schon VPNs supportet. Mal abgesehen davon das der ISA gar keine IPsec ESP VPNs terminieren kann handelt man sich nur weit größere Probleme damit ein wenn irgendwo NAT gemacht wird...vergiss das also schnell !

Der ISA Server wird je vermutlich HINTER dem Lancom Router stehen also so
(Internet)----dsl----(Lancom)----ethernet----(ISA)----10.10.0.0 /8----(Server)
oder ?? Da ist es unsinnig, das die UDP 500, 4500 und ESP in der Firewall berücksichtigst. Dein VPN Tunnel wird doch am Lancom terminiert und nicht dahinter !!!
Der Lancomm schneidet dann alles was als VPN Tunnelprotokoll verwendet wird ab und übrig bleibt nur ein nackter IP Frame. Somit kommen die VPN Protokolle ja nicht weiter als bis zum Lancom...logisch.
Der ISA blockt vermutlich den Zugang !! Du solltest also mal ins ISA Log sehen was dort blockiert wird und das dann netsprechend freischalten.

Wichtig ist welche IP Adresse dein Lancom Client bekommt wenn der VPN Tunnel steht !!!
Das kannst du mit dem Kommando ipconfig sehen. Dieses IP Netz muss als Quellnetz eine Erlaubnis haben auf Ziel IPs aus dem Netz 10.10.0.0 /8 zuzugreifen !
Die ISA Firewall muss also eine regel haben:
Erlaube: Quell IP: <VPN_IP-Netz> <Maske> auf Ziel IP 10.10.0.0 Maske: 255.255.0.0
Fertisch...damit sollte es auf Anhieb klappen !
Weitere Infos für den Zugang mit kostenfreien Clients auf den Lancom findest du hier:
http://www.shrew.net/support/wiki/HowtoLancom
Bitte warten ..
Mitglied: Arch-Stanton
03.05.2010 um 13:10 Uhr
... und nicht vergessen, auf dem Lancom unter Konfig. VPN Nat-Traversal zu aktivieren.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: raff0606
03.05.2010 um 13:46 Uhr
Hallo Aqui,
dein beschriebener Aufbau stimmt.
(Internet)----dsl----(Lancom)----ethernet----(ISA)----10.10.0.0 /8----(Server)
Der Server hat zwei Netzwerkkarten die Karte auf den Lancomseite (extern) hat die IP 192.168.20.10 SN 255.255.255.0 und auf der
Firmennetzwerkseite (Intern ) die IP 10.10.10.110 SN 255.255.0.0
Die VPN Clients bekommen eine IP im Bereich 10.10.10.245 - 10.10.10.250 SN 255.255.255.0 hier kann ich das Subnetz am Lancom nicht bestimmen.
Ich habe jetzt einen Rechner vor dem ISA plaziert und ihm die IP 10.10.10.245 SN 255.255.0.0
gegeben und versucht auf den Fileserver 10.10.9.200 SN 255.255.0.0 der hinter dem ISA Server steht zu kommen.
Das funktioniert leider nicht. Bevor das nicht funktioniert denk ich brauch ich es mit dem VPN Client gar nicht zu probieren.

Auf dem Isa Server hab ich eine Regel erstellt:
Aktion: Zulassen
Protokoll: Gesamten ausgehenden Datenverkehr zulassen
Von: VPN Clients 10.10.10.245 - 10.10.10.250
Nach: Internes Netzwerk 10.10.0.0. - 10.10.255.255

Was mir gerade aufgefallen ist, ist das der ISA Server als Edgefire konfiguriert ist und nicht als Backfirewall.
Laut Aufbau fungiert er aber als Backfirewall. Ist diese Konfiguration dafür von Bedeutung?
Und im Moment ist im NAT im Routing und RAS aktiviert aber das benötige ich nicht soweit ich das aus deiner Anwort verstanden hab.
Bitte warten ..
Mitglied: raff0606
03.05.2010 um 15:09 Uhr
Habe VPN Nat-Traversal aktiviert.
Habe jetzt auch den ISA Server als Backfirewall konfiguriert. Obige Regel neu erstellt.

Leider immer noch ohne Erfolg
Bitte warten ..
Mitglied: aqui
03.05.2010 um 15:28 Uhr
Ja. das ist auch sonnenklar das das niemals klappen kann !!!
Sieh dir mal deine IP Adressierung an dann wird dir das (hoffentlich) auch klar.... Das hätte dir sofort auffallen müssen bei solchem Banalfehler !!

Im VPN nutzt du für die Clients das Netzwerk 10.10.10.0 mit einer 24 Bit Maske !!
Im Firmenentz habt ihr exakt das gleiche IP Netzwerk 10.10.0.0 aber mit einer 16 Bit Maske !!! Klingelt es bei dir.... ??
Endgeräte im Firmennetz können also diese VPN Clients niemals "sehen" denn für diese sind die VPN Clients einfach ja direkte Endgeräte ihres eigenen Netzes. Durch die 16 Bit Maske sind die Clients im 10.10.10.0er Netz ja Host Adressen ihres eigenen Netzes also dem Firmewnentz !!
Sie würden also niemals über den ISA nach draussen können da somit wegen der Gleichheit der IP Netze ein sauberes Routing unmöglich wäre.
Dein Problem ist also eine Subnetzmasken Mismatch.
Ein simpler Anfängerfehler den vielleicht noch IP Schüler der 1. Grundschulklasse machen aber Profis wie du eigentlich nicht mehr... !!

Eine Lösung ist aber ganz einfach und simpel !!!
Änder einfach den VPN Client IP Adresspool im Lancom Router auf 10.11.10.245 - 10.11.10.250 !!!
Die Firmen IP Adressierung zu ändern ist ja vermutlich mehr oder minder utopisch in einem Live Netz ?!
Dann klappt der VPN Zugriff auf Anhieb problemlos... (Richtige ISA Regel natürlich vorausgesetzt !!)
Bitte warten ..
Mitglied: raff0606
18.05.2010 um 10:35 Uhr
Hallo,
das ich hier ein Subnetzmasken Mischmasch hab ist mir schon aufgefallen...
Allerdings hab ich kein Ansatz zur Lösung gefunden da ich am Lancom nur ein IP-Adressen Pool vorgeben kann aber kein Subnetz.
Am Lancom ist das Subnetz nicht konfigurierbar und somit kommen die VPN-Clients automatisch in die 24 Bit Maske.

Habe jetzt den Adresspool im Lancom Router auch mal auf die 10.11.10.145 - 10.11.10.250 gestellt leider ohne Erfolg.
Ich glaub mein Problem ist immer noch der ISA-Server der mich nicht von extern nach intern in das Firmennetzwerk lässt.
Obwohl ich jetzt eine Regel definiert hab die den gesamten Datenverkehr von extern nach intern erlaubt.
Habe auch einen Rechner direkt vor den ISA Server platziert und ihm die IP 10.10.10.115 SN 255.255.0.0 gegeben und damit
versucht auf das interne Netz zu gelangen leider auch ohne Erfolg.

Im Moment bin ich einwenig ratlos wo es noch hängt. Aber danke schon mal für die geposteten Denkanstöße und für die die noch kommen
Bitte warten ..
Ähnliche Inhalte
Router & Routing
LANCOM 1711+VPN TCOM Einwahl
gelöst Frage von pzwopt19Router & Routing21 Kommentare

Hallo, habe hier einen LANCOM 1711+VPN. Bei der Einrichtung für den Zugang zum Internet über den Assistenten habe ich ...

Router & Routing
Lancom Router für Server 2012 VPN
Frage von Aixx1337Router & Routing4 Kommentare

Nabend ! bei meinem Onkel in der Firma gibt es einen Windows Server 2012, welcher Routing und Ras konfiguriert ...

LAN, WAN, Wireless

VPN Iphone zu Lancom R883VAW und Fritzbox 7490 zu Lancom?

Frage von babylon05LAN, WAN, Wireless4 Kommentare

Hallo, habe vorher zwei Standorte über zwei Fritzboxen 7490 per VPN verbunden. Jetzt habe ich mir einen Lancom router ...

DNS

Lancom VPN hinter Speedport Hybrid

gelöst Frage von ZAFASDNS16 Kommentare

Hallo Zusammen, ich habe den Anschluss von Telekom DSL Business auf Hybrid (Privatkunden) umgestellt. Am Anschluss läuft nun ein ...

Neue Wissensbeiträge
CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 6 StundenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 1 TagSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 1 TagWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 1 TagiOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Heiß diskutierte Inhalte
Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server27 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung26 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
gelöst Frage von Bommi1961Batch & Shell21 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...

Windows 10
Unter Windows 10 Home 64Bit (1709) kommt Fehler beim Aufruf von verschiedenen Systemprogrammen wie z.B. Gerätemanager
Frage von bitshopWindows 1017 Kommentare

Hallo, beim meinem Onkel haben wir seit längerem das Problem, dass z.B. beim Aufruf des Gerätemanagers eine Fehlermeldung kommt ...