59613
Jul 27, 2009, updated at 12:50:22 (UTC)
5476
14
0
VPN (PPTP) Verbindung zwischen Firebox X750e und ISA 2006 Firewall - Fehler
Hallo,
ich versuche seit einiger Zeit ein VPN aufzubauen. Die Verbindung kommt aber leider nicht zu stande. Das Netzwerk in dem sich der VPN Client befindet ist durch eine ISA Firewall 2006 geschützt. Hier ist PPTP Passtrough natülich aktiviert. Das Gerät das die VPN Verbindung entgegen nimmt, sprich die Gegenseite, ist eine Firebox X750e. Das Gerät ist auch erreichbar über ping und ein trace route ist auch erfolgreich. Wenn ich die PPTP Verbindung auf dem Client starte, bleibt dieser immer an der Stelle: Benutzername und Kennwort werden verifiziert stehen und dann geht es nicht weiter. Er bricht dann mit der Fehlermeldung 619 ab.
Ich habe auch mir auch bereits angeschaut an welcher Stelle die Kommunikation stehen bleibt, bzw. von der ISA Firewall mit der Meldung: FWX_E_CONNECTION_KILLED beendet wird. Ich hab mir auch mal mit dem MS Network Monitor angeschaut, was dort so geschieht. Siehe Screenshot.
Hat jemand eine Idee? Mir gehen sie leider langsam aus. Bin für jeden Hinweis dankbar.
Viele Grüße,
Sebastian
P.S.
Hier ein Ausschnitt des ISA Monitors:
ich versuche seit einiger Zeit ein VPN aufzubauen. Die Verbindung kommt aber leider nicht zu stande. Das Netzwerk in dem sich der VPN Client befindet ist durch eine ISA Firewall 2006 geschützt. Hier ist PPTP Passtrough natülich aktiviert. Das Gerät das die VPN Verbindung entgegen nimmt, sprich die Gegenseite, ist eine Firebox X750e. Das Gerät ist auch erreichbar über ping und ein trace route ist auch erfolgreich. Wenn ich die PPTP Verbindung auf dem Client starte, bleibt dieser immer an der Stelle: Benutzername und Kennwort werden verifiziert stehen und dann geht es nicht weiter. Er bricht dann mit der Fehlermeldung 619 ab.
Ich habe auch mir auch bereits angeschaut an welcher Stelle die Kommunikation stehen bleibt, bzw. von der ISA Firewall mit der Meldung: FWX_E_CONNECTION_KILLED beendet wird. Ich hab mir auch mal mit dem MS Network Monitor angeschaut, was dort so geschieht. Siehe Screenshot.
Hat jemand eine Idee? Mir gehen sie leider langsam aus. Bin für jeden Hinweis dankbar.
Viele Grüße,
Sebastian
P.S.
Hier ein Ausschnitt des ISA Monitors:
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 121386
Url: https://administrator.de/contentid/121386
Printed on: April 25, 2024 at 11:04 o'clock
14 Comments
Latest comment
Hallo,
was steht denn im ISA Protokoll. Wie hast du denn da "PPTP Passthrough" eingerichtet? Wie ist den deine Regel im ISA dafür?
Peter
was steht denn im ISA Protokoll. Wie hast du denn da "PPTP Passthrough" eingerichtet? Wie ist den deine Regel im ISA dafür?
Peter
Vielleicht solltest du auch mal die Verbindung ohne ISA versuchen, also den Client vor den ISA packen.
Wenn es dann geht, dann muss es ja eine Einstellung am ISA sein..
Grüße
Wenn es dann geht, dann muss es ja eine Einstellung am ISA sein..
Grüße
Hallo Peter,
eine ISA Protokoll Screenshot hab ich oben eingefügt. Die Regel gibt von intern zu der festen IP des Zielserver alle VPN Protokolle frei. Darunter natürlich auch PPTP (die gibt es ja als vordefinierte Regel)
Danke für deine Hilfe.
Gruß,
Sebastian
eine ISA Protokoll Screenshot hab ich oben eingefügt. Die Regel gibt von intern zu der festen IP des Zielserver alle VPN Protokolle frei. Darunter natürlich auch PPTP (die gibt es ja als vordefinierte Regel)
Danke für deine Hilfe.
Gruß,
Sebastian
Zitat von @hevtig:
Vielleicht solltest du auch mal die Verbindung ohne ISA versuchen,
also den Client vor den ISA packen.
Wenn es dann geht, dann muss es ja eine Einstellung am ISA sein..
Grüße
Vielleicht solltest du auch mal die Verbindung ohne ISA versuchen,
also den Client vor den ISA packen.
Wenn es dann geht, dann muss es ja eine Einstellung am ISA sein..
Grüße
Hallo hevtig,
wenn ich versuche die PPTP Verbindung hinter einer anderen Firewall zu starten, geschieht dies ohne Probleme. Ich vermute das die Packet Inspection der ISA Firewall einen Fehler feststellt und die Verbindung dann beendet.
Danke für deine Hilfe.
Gruß,
Sebastian
Steht vor dem ISA noch ein Router? Hast du den Client direkt hinter >>diesem<< Router getestet? Nicht, dass der Router da Probleme macht.
Ich tippe halt, dass es nicht der ISA ist, da ich mich nicht daran erinnern kann, dass es da einen "Knackepunkt" gab.
Aber vielleicht beschreibst du das Scenario noch ein wenig...
Ich tippe halt, dass es nicht der ISA ist, da ich mich nicht daran erinnern kann, dass es da einen "Knackepunkt" gab.
Aber vielleicht beschreibst du das Scenario noch ein wenig...
Hallo sebastian,
Ändere deine Regel ab in von intern (Computer) nach Extern (Alle) und teste dann nochmal.
Ist dein Client ein SecureNAT Client?
Hast du "PPTP Passtrough" aktiviert und / oder eine Regel definiert?
Hast du http://support.microsoft.com/kb/838245/en-us mal durchgearbeitet?
Peter
Ändere deine Regel ab in von intern (Computer) nach Extern (Alle) und teste dann nochmal.
Ist dein Client ein SecureNAT Client?
Hast du "PPTP Passtrough" aktiviert und / oder eine Regel definiert?
Hast du http://support.microsoft.com/kb/838245/en-us mal durchgearbeitet?
Peter
Hallo Peter,
hab ich gestestet. Läuft leider auch nicht.
Ja, sprich das Gateway ist die ISA 2006 Firewall und DNS halt der DC.
Ja, hab ich aktiviert und halt zusätzlich noch die Regel s.o.
ja, danach hab ich die Regel angelegt.
Gruß,
Sebastian
Ändere deine Regel ab in von intern (Computer) nach Extern
(Alle) und teste dann nochmal.
(Alle) und teste dann nochmal.
hab ich gestestet. Läuft leider auch nicht.
Ist dein Client ein SecureNAT Client?
Ja, sprich das Gateway ist die ISA 2006 Firewall und DNS halt der DC.
Hast du "PPTP Passtrough" aktiviert und / oder eine Regel
definiert?
definiert?
Ja, hab ich aktiviert und halt zusätzlich noch die Regel s.o.
ja, danach hab ich die Regel angelegt.
Gruß,
Sebastian
Hallo,
den Firewallclient hast auch im Einsatz?
was steht denn im Protokoll auf der Watchguard?
Peter
den Firewallclient hast auch im Einsatz?
was steht denn im Protokoll auf der Watchguard?
Peter
Hallo,
hast du schon mal eine VPN Verbindung zu einem anderen VPN Server aufgebaut welcher funktioniert?
Peter
hast du schon mal eine VPN Verbindung zu einem anderen VPN Server aufgebaut welcher funktioniert?
Peter
Hallo Peter,
nee, den hab ich nicht im Einsatz. Kenne den ehrlich gesagt auch gar nicht wirklich. Werd mich gleich mal schlau machen.
Also andere PPTP VPN habe ich leider gerade nicht zum testen verfügbar. Aber SSL VPN ist problemlos möglich. Die Firewall kommt auch ziemlich sicher bis zur Firebox durch, sonst würde der VPN Dialog schon einen Schritt früher hängen bleiben.
Vielen Dank für Deine Mühe, Deine Tipps sind wirklich gut! Da ich schon länger an dem Problem sitze (google), hab ich halt nur schon viel ausprobiert.
Viele Grüße,
Sebastian
Peter
nee, den hab ich nicht im Einsatz. Kenne den ehrlich gesagt auch gar nicht wirklich. Werd mich gleich mal schlau machen.
was steht denn im Protokoll auf der Watchguard?
zu der Firebox hab ich leider keinen Zugang. Ist ein "Partnerunternehmen", dass aber leider nur über begrenztes know how verfügt...Zitat von @Pjordorf:
Hallo,
hast du schon mal eine VPN Verbindung zu einem anderen VPN Server
aufgebaut welcher funktioniert?
Peter
Hallo,
hast du schon mal eine VPN Verbindung zu einem anderen VPN Server
aufgebaut welcher funktioniert?
Peter
Also andere PPTP VPN habe ich leider gerade nicht zum testen verfügbar. Aber SSL VPN ist problemlos möglich. Die Firewall kommt auch ziemlich sicher bis zur Firebox durch, sonst würde der VPN Dialog schon einen Schritt früher hängen bleiben.
Vielen Dank für Deine Mühe, Deine Tipps sind wirklich gut! Da ich schon länger an dem Problem sitze (google), hab ich halt nur schon viel ausprobiert.
Viele Grüße,
Sebastian
Hallo,
also kannst du nicht feststellen ob es an deiner oder an der entfernten seite liegt.
Du hast eine PM erhalten!
Peter
also kannst du nicht feststellen ob es an deiner oder an der entfernten seite liegt.
Du hast eine PM erhalten!
Peter
kleines Update:
Also ich habe den ISA Firewallclient inzwischen getestet. Das ändert aber leider auch nichts. Außerdem habe ich eine zweite PPTP Verbindung testen können. Dort gab es leider das selbe Problem. IPSec und SSL VPN sind aber problemlos möglich.
An dieser Stelle nochmal ein riesen Dankeschön an Peter für die tolle Unterstützung!!!
Das Problem ist also noch nicht gelöst. Falls jemand noch Ideen hat, ich bin für jeden Hinweis dankbar.
Gruß,
Sebastian
Also ich habe den ISA Firewallclient inzwischen getestet. Das ändert aber leider auch nichts. Außerdem habe ich eine zweite PPTP Verbindung testen können. Dort gab es leider das selbe Problem. IPSec und SSL VPN sind aber problemlos möglich.
An dieser Stelle nochmal ein riesen Dankeschön an Peter für die tolle Unterstützung!!!
Das Problem ist also noch nicht gelöst. Falls jemand noch Ideen hat, ich bin für jeden Hinweis dankbar.
Gruß,
Sebastian
Hattest du eigentlich meinen 2. Beitrag gesehen und evtl. auch einmal überprüft?
Wenn man den ISA als Fehlerquelle ausschließen könnte wäre das ja schonmal ein Fortschritt...
Wenn man den ISA als Fehlerquelle ausschließen könnte wäre das ja schonmal ein Fortschritt...
Hallo hevtig,
also indirekt hab ich das geprüft. Ich habe es nicht genauso gemacht wie von DIr empfohlen, owohl das sicherlich die schönere Variante gewesen wäre, da dies technisch im laufenden Betrieb zur Zeit nicht möglich ist.
Gruß
Hallo hevtig,
wenn ich versuche die PPTP Verbindung hinter einer anderen Firewall
zu starten, geschieht dies ohne Probleme. Ich vermute das die Packet
Inspection der ISA Firewall einen Fehler feststellt und die Verbindung
dann beendet.
Danke für deine Hilfe.
Gruß,
Sebastian
wenn ich versuche die PPTP Verbindung hinter einer anderen Firewall
zu starten, geschieht dies ohne Probleme. Ich vermute das die Packet
Inspection der ISA Firewall einen Fehler feststellt und die Verbindung
dann beendet.
Danke für deine Hilfe.
Gruß,
Sebastian
also indirekt hab ich das geprüft. Ich habe es nicht genauso gemacht wie von DIr empfohlen, owohl das sicherlich die schönere Variante gewesen wäre, da dies technisch im laufenden Betrieb zur Zeit nicht möglich ist.
Gruß
