7
Lancom 1711 VPN und Isa Server 2004
Hallo zusammen,
ich hab einen Lancom 1711 + VPN auf dem VPN konfiguriert ist. Das Protokoll ist IPSec im ESP Modus.
Ich will nun von zuhause aus auf unseren Fileserver in der Arbeit aus zugreifen. Dazu wird der Lancom Advanced VPN Client verwendet.
Die Verbindung wird auch aufgebaut allerdings komm ich dann nicht weiter in unser Firmennetzwerk. Ein ISA-Server dient als Edgefirewall.
Der Lancom hat die IP-Adresse: 192.168.20.1
Der ISA Server hat auf der Lancomseite die IP-Adresse: 192.168.20.10 SN:255.255.255.0
und auf der Firmennetzwerkseite die IP-Adresse: 10.10.10.110 SN:255.255.0.0
Muss jetzt der Adressbereich für die Einwahl-Zugänge auf das 10.10.10.X Netz oder auf das 192.168.20.X Netz eingestellt sein?
Muss auf dem Server wo der ISA läuft NAT eingerichtet sein?
Reicht es wenn UDP 500 (IKE) und UDP 4500 (NAT-T) in der Feierwall freigeben ist?
Ich probier schon die ganze Zeit rum leider ohne Erfolg.
Ich hoff ihr könnt mir helfen.
Vielen Dank im Voraus.
ich hab einen Lancom 1711 + VPN auf dem VPN konfiguriert ist. Das Protokoll ist IPSec im ESP Modus.
Ich will nun von zuhause aus auf unseren Fileserver in der Arbeit aus zugreifen. Dazu wird der Lancom Advanced VPN Client verwendet.
Die Verbindung wird auch aufgebaut allerdings komm ich dann nicht weiter in unser Firmennetzwerk. Ein ISA-Server dient als Edgefirewall.
Der Lancom hat die IP-Adresse: 192.168.20.1
Der ISA Server hat auf der Lancomseite die IP-Adresse: 192.168.20.10 SN:255.255.255.0
und auf der Firmennetzwerkseite die IP-Adresse: 10.10.10.110 SN:255.255.0.0
Muss jetzt der Adressbereich für die Einwahl-Zugänge auf das 10.10.10.X Netz oder auf das 192.168.20.X Netz eingestellt sein?
Muss auf dem Server wo der ISA läuft NAT eingerichtet sein?
Reicht es wenn UDP 500 (IKE) und UDP 4500 (NAT-T) in der Feierwall freigeben ist?
Ich probier schon die ganze Zeit rum leider ohne Erfolg.
Ich hoff ihr könnt mir helfen.
Vielen Dank im Voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 141947
Url: https://administrator.de/contentid/141947
Printed on: April 24, 2024 at 22:04 o'clock
7 Comments
Latest comment
Du musst:
1. auf dem Lancom der interne SN eintragen
2. auf dem ISA Server den Zugriff von 192.168.20.10 auf den Internen Fileserver freigeben (IPSEC, SMB usw.)
Dann sollte es eigentlich klappen.
Möglichkeit 2, route doch den VPN Client durch den Lancom durch zum Isa und mach VPN am Isa. Hat den Vorteil das du die Lancom VPN Clients nicht kaufen musst und von jedem Win Rechner aus eine Verbindung herstellen kannst. Außerdem ist die ISA Firewall meiner Meinung nach schöner zu konfigurieren wie der 1711er.
mfg
1. auf dem Lancom der interne SN eintragen
2. auf dem ISA Server den Zugriff von 192.168.20.10 auf den Internen Fileserver freigeben (IPSEC, SMB usw.)
Dann sollte es eigentlich klappen.
Möglichkeit 2, route doch den VPN Client durch den Lancom durch zum Isa und mach VPN am Isa. Hat den Vorteil das du die Lancom VPN Clients nicht kaufen musst und von jedem Win Rechner aus eine Verbindung herstellen kannst. Außerdem ist die ISA Firewall meiner Meinung nach schöner zu konfigurieren wie der 1711er.
mfg
Das mit dem Durchrouten ist doch Blödsinn wenn der LanCom schon VPNs supportet. Mal abgesehen davon das der ISA gar keine IPsec ESP VPNs terminieren kann handelt man sich nur weit größere Probleme damit ein wenn irgendwo NAT gemacht wird...vergiss das also schnell !
Der ISA Server wird je vermutlich HINTER dem Lancom Router stehen also so
(Internet)----dsl----(Lancom)----ethernet----(ISA)----10.10.0.0 /8----(Server)
oder ?? Da ist es unsinnig, das die UDP 500, 4500 und ESP in der Firewall berücksichtigst. Dein VPN Tunnel wird doch am Lancom terminiert und nicht dahinter !!!
Der Lancomm schneidet dann alles was als VPN Tunnelprotokoll verwendet wird ab und übrig bleibt nur ein nackter IP Frame. Somit kommen die VPN Protokolle ja nicht weiter als bis zum Lancom...logisch.
Der ISA blockt vermutlich den Zugang !! Du solltest also mal ins ISA Log sehen was dort blockiert wird und das dann netsprechend freischalten.
Wichtig ist welche IP Adresse dein Lancom Client bekommt wenn der VPN Tunnel steht !!!
Das kannst du mit dem Kommando ipconfig sehen. Dieses IP Netz muss als Quellnetz eine Erlaubnis haben auf Ziel IPs aus dem Netz 10.10.0.0 /8 zuzugreifen !
Die ISA Firewall muss also eine regel haben:
Erlaube: Quell IP: <VPN_IP-Netz> <Maske> auf Ziel IP 10.10.0.0 Maske: 255.255.0.0
Fertisch...damit sollte es auf Anhieb klappen !
Weitere Infos für den Zugang mit kostenfreien Clients auf den Lancom findest du hier:
http://www.shrew.net/support/wiki/HowtoLancom
Der ISA Server wird je vermutlich HINTER dem Lancom Router stehen also so
(Internet)----dsl----(Lancom)----ethernet----(ISA)----10.10.0.0 /8----(Server)
oder ?? Da ist es unsinnig, das die UDP 500, 4500 und ESP in der Firewall berücksichtigst. Dein VPN Tunnel wird doch am Lancom terminiert und nicht dahinter !!!
Der Lancomm schneidet dann alles was als VPN Tunnelprotokoll verwendet wird ab und übrig bleibt nur ein nackter IP Frame. Somit kommen die VPN Protokolle ja nicht weiter als bis zum Lancom...logisch.
Der ISA blockt vermutlich den Zugang !! Du solltest also mal ins ISA Log sehen was dort blockiert wird und das dann netsprechend freischalten.
Wichtig ist welche IP Adresse dein Lancom Client bekommt wenn der VPN Tunnel steht !!!
Das kannst du mit dem Kommando ipconfig sehen. Dieses IP Netz muss als Quellnetz eine Erlaubnis haben auf Ziel IPs aus dem Netz 10.10.0.0 /8 zuzugreifen !
Die ISA Firewall muss also eine regel haben:
Erlaube: Quell IP: <VPN_IP-Netz> <Maske> auf Ziel IP 10.10.0.0 Maske: 255.255.0.0
Fertisch...damit sollte es auf Anhieb klappen !
Weitere Infos für den Zugang mit kostenfreien Clients auf den Lancom findest du hier:
http://www.shrew.net/support/wiki/HowtoLancom
... und nicht vergessen, auf dem Lancom unter Konfig. VPN Nat-Traversal zu aktivieren.
Gruß, Arch Stanton
Gruß, Arch Stanton
Hallo Aqui,
dein beschriebener Aufbau stimmt.
(Internet)----dsl----(Lancom)----ethernet----(ISA)----10.10.0.0 /8----(Server)
Der Server hat zwei Netzwerkkarten die Karte auf den Lancomseite (extern) hat die IP 192.168.20.10 SN 255.255.255.0 und auf der
Firmennetzwerkseite (Intern ) die IP 10.10.10.110 SN 255.255.0.0
Die VPN Clients bekommen eine IP im Bereich 10.10.10.245 - 10.10.10.250 SN 255.255.255.0 hier kann ich das Subnetz am Lancom nicht bestimmen.
Ich habe jetzt einen Rechner vor dem ISA plaziert und ihm die IP 10.10.10.245 SN 255.255.0.0
gegeben und versucht auf den Fileserver 10.10.9.200 SN 255.255.0.0 der hinter dem ISA Server steht zu kommen.
Das funktioniert leider nicht. Bevor das nicht funktioniert denk ich brauch ich es mit dem VPN Client gar nicht zu probieren.
Auf dem Isa Server hab ich eine Regel erstellt:
Aktion: Zulassen
Protokoll: Gesamten ausgehenden Datenverkehr zulassen
Von: VPN Clients 10.10.10.245 - 10.10.10.250
Nach: Internes Netzwerk 10.10.0.0. - 10.10.255.255
Was mir gerade aufgefallen ist, ist das der ISA Server als Edgefire konfiguriert ist und nicht als Backfirewall.
Laut Aufbau fungiert er aber als Backfirewall. Ist diese Konfiguration dafür von Bedeutung?
Und im Moment ist im NAT im Routing und RAS aktiviert aber das benötige ich nicht soweit ich das aus deiner Anwort verstanden hab.
dein beschriebener Aufbau stimmt.
(Internet)----dsl----(Lancom)----ethernet----(ISA)----10.10.0.0 /8----(Server)
Der Server hat zwei Netzwerkkarten die Karte auf den Lancomseite (extern) hat die IP 192.168.20.10 SN 255.255.255.0 und auf der
Firmennetzwerkseite (Intern ) die IP 10.10.10.110 SN 255.255.0.0
Die VPN Clients bekommen eine IP im Bereich 10.10.10.245 - 10.10.10.250 SN 255.255.255.0 hier kann ich das Subnetz am Lancom nicht bestimmen.
Ich habe jetzt einen Rechner vor dem ISA plaziert und ihm die IP 10.10.10.245 SN 255.255.0.0
gegeben und versucht auf den Fileserver 10.10.9.200 SN 255.255.0.0 der hinter dem ISA Server steht zu kommen.
Das funktioniert leider nicht. Bevor das nicht funktioniert denk ich brauch ich es mit dem VPN Client gar nicht zu probieren.
Auf dem Isa Server hab ich eine Regel erstellt:
Aktion: Zulassen
Protokoll: Gesamten ausgehenden Datenverkehr zulassen
Von: VPN Clients 10.10.10.245 - 10.10.10.250
Nach: Internes Netzwerk 10.10.0.0. - 10.10.255.255
Was mir gerade aufgefallen ist, ist das der ISA Server als Edgefire konfiguriert ist und nicht als Backfirewall.
Laut Aufbau fungiert er aber als Backfirewall. Ist diese Konfiguration dafür von Bedeutung?
Und im Moment ist im NAT im Routing und RAS aktiviert aber das benötige ich nicht soweit ich das aus deiner Anwort verstanden hab.
Habe VPN Nat-Traversal aktiviert.
Habe jetzt auch den ISA Server als Backfirewall konfiguriert. Obige Regel neu erstellt.
Leider immer noch ohne Erfolg
Habe jetzt auch den ISA Server als Backfirewall konfiguriert. Obige Regel neu erstellt.
Leider immer noch ohne Erfolg
Ja. das ist auch sonnenklar das das niemals klappen kann !!!
Sieh dir mal deine IP Adressierung an dann wird dir das (hoffentlich) auch klar.... Das hätte dir sofort auffallen müssen bei solchem Banalfehler !!
Im VPN nutzt du für die Clients das Netzwerk 10.10.10.0 mit einer 24 Bit Maske !!
Im Firmenentz habt ihr exakt das gleiche IP Netzwerk 10.10.0.0 aber mit einer 16 Bit Maske !!! Klingelt es bei dir.... ??
Endgeräte im Firmennetz können also diese VPN Clients niemals "sehen" denn für diese sind die VPN Clients einfach ja direkte Endgeräte ihres eigenen Netzes. Durch die 16 Bit Maske sind die Clients im 10.10.10.0er Netz ja Host Adressen ihres eigenen Netzes also dem Firmewnentz !!
Sie würden also niemals über den ISA nach draussen können da somit wegen der Gleichheit der IP Netze ein sauberes Routing unmöglich wäre.
Dein Problem ist also eine Subnetzmasken Mismatch.
Ein simpler Anfängerfehler den vielleicht noch IP Schüler der 1. Grundschulklasse machen aber Profis wie du eigentlich nicht mehr... !!
Eine Lösung ist aber ganz einfach und simpel !!!
Änder einfach den VPN Client IP Adresspool im Lancom Router auf 10.11.10.245 - 10.11.10.250 !!!
Die Firmen IP Adressierung zu ändern ist ja vermutlich mehr oder minder utopisch in einem Live Netz ?!
Dann klappt der VPN Zugriff auf Anhieb problemlos... (Richtige ISA Regel natürlich vorausgesetzt !!)
Sieh dir mal deine IP Adressierung an dann wird dir das (hoffentlich) auch klar.... Das hätte dir sofort auffallen müssen bei solchem Banalfehler !!
Im VPN nutzt du für die Clients das Netzwerk 10.10.10.0 mit einer 24 Bit Maske !!
Im Firmenentz habt ihr exakt das gleiche IP Netzwerk 10.10.0.0 aber mit einer 16 Bit Maske !!! Klingelt es bei dir.... ??
Endgeräte im Firmennetz können also diese VPN Clients niemals "sehen" denn für diese sind die VPN Clients einfach ja direkte Endgeräte ihres eigenen Netzes. Durch die 16 Bit Maske sind die Clients im 10.10.10.0er Netz ja Host Adressen ihres eigenen Netzes also dem Firmewnentz !!
Sie würden also niemals über den ISA nach draussen können da somit wegen der Gleichheit der IP Netze ein sauberes Routing unmöglich wäre.
Dein Problem ist also eine Subnetzmasken Mismatch.
Ein simpler Anfängerfehler den vielleicht noch IP Schüler der 1. Grundschulklasse machen aber Profis wie du eigentlich nicht mehr... !!
Eine Lösung ist aber ganz einfach und simpel !!!
Änder einfach den VPN Client IP Adresspool im Lancom Router auf 10.11.10.245 - 10.11.10.250 !!!
Die Firmen IP Adressierung zu ändern ist ja vermutlich mehr oder minder utopisch in einem Live Netz ?!
Dann klappt der VPN Zugriff auf Anhieb problemlos... (Richtige ISA Regel natürlich vorausgesetzt !!)
Hallo,
das ich hier ein Subnetzmasken Mischmasch hab ist mir schon aufgefallen...
Allerdings hab ich kein Ansatz zur Lösung gefunden da ich am Lancom nur ein IP-Adressen Pool vorgeben kann aber kein Subnetz.
Am Lancom ist das Subnetz nicht konfigurierbar und somit kommen die VPN-Clients automatisch in die 24 Bit Maske.
Habe jetzt den Adresspool im Lancom Router auch mal auf die 10.11.10.145 - 10.11.10.250 gestellt leider ohne Erfolg.
Ich glaub mein Problem ist immer noch der ISA-Server der mich nicht von extern nach intern in das Firmennetzwerk lässt.
Obwohl ich jetzt eine Regel definiert hab die den gesamten Datenverkehr von extern nach intern erlaubt.
Habe auch einen Rechner direkt vor den ISA Server platziert und ihm die IP 10.10.10.115 SN 255.255.0.0 gegeben und damit
versucht auf das interne Netz zu gelangen leider auch ohne Erfolg.
Im Moment bin ich einwenig ratlos wo es noch hängt. Aber danke schon mal für die geposteten Denkanstöße und für die die noch kommen
das ich hier ein Subnetzmasken Mischmasch hab ist mir schon aufgefallen...
Allerdings hab ich kein Ansatz zur Lösung gefunden da ich am Lancom nur ein IP-Adressen Pool vorgeben kann aber kein Subnetz.
Am Lancom ist das Subnetz nicht konfigurierbar und somit kommen die VPN-Clients automatisch in die 24 Bit Maske.
Habe jetzt den Adresspool im Lancom Router auch mal auf die 10.11.10.145 - 10.11.10.250 gestellt leider ohne Erfolg.
Ich glaub mein Problem ist immer noch der ISA-Server der mich nicht von extern nach intern in das Firmennetzwerk lässt.
Obwohl ich jetzt eine Regel definiert hab die den gesamten Datenverkehr von extern nach intern erlaubt.
Habe auch einen Rechner direkt vor den ISA Server platziert und ihm die IP 10.10.10.115 SN 255.255.0.0 gegeben und damit
versucht auf das interne Netz zu gelangen leider auch ohne Erfolg.
Im Moment bin ich einwenig ratlos wo es noch hängt. Aber danke schon mal für die geposteten Denkanstöße und für die die noch kommen
