3
VPN Site to Site mit ISA 2004 funktioniert nicht!
Hallo!
Ich verzweifle!
Ich bin dabei eine VPN Site to Site Verbindung mit dem ISA Server 2004 Enterprise aufzubauen. Ich nutze die 120 Tage Evaluierungsversion.
Als OS nutze ich W2k3 Enterprise.
Ich habe 2 Standorte:
A: ISA Server 1
internet Netz: 10.0.0.0 255.255.0.0
Netzwerkkarte: 10.0.0.1
externes Netz: 192.168.0.0 255.255.0.0 (aber eigentlich egal oder?)
Netzwerkkarte: 192.168.101.77
Der ISA Server baut seine Internetverbindung mit einer DFÜ Verbindung über ein DSL Modem auf!
B: ISA Server 2
internes Netz: 164.25.0.0 255.255.0.0
Netzwerkkarte: 164.25.0.1
externes Netz: 192.168.0.0 255.255.0.0
Netzwerkkarte: 192.168.101.33
Dieser ISA Server sitzt hinter einem Speedport 400P und ist dort als DMZ Host eingetragen!
Beide verfügen über eine Dynamische DNS!
Nun habe ich exakt alle Schritte dieser http://www.msisafaq.de/anleitungen/2004/VPN/VPNS2SCert.htm Anleitung durchgeführt.
Leider bekomme ich aber keinen Datenverkehr hin. Wenn ich von A versuche die 164.25.0.1 zu pingen bekomme ich erst die Meldung Zeitüberschreitung und dann immer Zielhost nicht erreichbar!
Die Routingtabelle zeigt mir aber eine Route in das Netz 164.25.0.0 an! Und zwar über Gateway 0.0.0.0 und Schnittstelle fffffffffff
Manchmal ist dieser Eintrag aber auch nicht da!
Ich habe auch entsprechend alle Richtlinien und Netzwerkregeln vorgenommen! Eben wie in der Anleitung!
Das ganze versteh ich echt nicht!
Oder kann das sein, dass der ISA Server nicht mit klassenloser IP Adressvergabe (CIDR) klarkommt? Kann ich mir nicht vorstellen!
Ich verzweifle!
Ich bin dabei eine VPN Site to Site Verbindung mit dem ISA Server 2004 Enterprise aufzubauen. Ich nutze die 120 Tage Evaluierungsversion.
Als OS nutze ich W2k3 Enterprise.
Ich habe 2 Standorte:
A: ISA Server 1
internet Netz: 10.0.0.0 255.255.0.0
Netzwerkkarte: 10.0.0.1
externes Netz: 192.168.0.0 255.255.0.0 (aber eigentlich egal oder?)
Netzwerkkarte: 192.168.101.77
Der ISA Server baut seine Internetverbindung mit einer DFÜ Verbindung über ein DSL Modem auf!
B: ISA Server 2
internes Netz: 164.25.0.0 255.255.0.0
Netzwerkkarte: 164.25.0.1
externes Netz: 192.168.0.0 255.255.0.0
Netzwerkkarte: 192.168.101.33
Dieser ISA Server sitzt hinter einem Speedport 400P und ist dort als DMZ Host eingetragen!
Beide verfügen über eine Dynamische DNS!
Nun habe ich exakt alle Schritte dieser http://www.msisafaq.de/anleitungen/2004/VPN/VPNS2SCert.htm Anleitung durchgeführt.
Leider bekomme ich aber keinen Datenverkehr hin. Wenn ich von A versuche die 164.25.0.1 zu pingen bekomme ich erst die Meldung Zeitüberschreitung und dann immer Zielhost nicht erreichbar!
Die Routingtabelle zeigt mir aber eine Route in das Netz 164.25.0.0 an! Und zwar über Gateway 0.0.0.0 und Schnittstelle fffffffffff
Manchmal ist dieser Eintrag aber auch nicht da!
Ich habe auch entsprechend alle Richtlinien und Netzwerkregeln vorgenommen! Eben wie in der Anleitung!
Das ganze versteh ich echt nicht!
Oder kann das sein, dass der ISA Server nicht mit klassenloser IP Adressvergabe (CIDR) klarkommt? Kann ich mir nicht vorstellen!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 97916
Url: https://administrator.de/contentid/97916
Printed on: April 25, 2024 at 22:04 o'clock
3 Comments
Latest comment
Das externe Netz sollte besser nicht gleich sein nur um Problemen vorzubeugen !!
Setze also an Server 1 es besser auf 172.16.1.1 /16 oder sowas.
Normalerweise bekommt der Server 1 hier am PPP Interface eine öffentliche IP was du auch richtig vermutest das es eigentlich egal ist, aber....
Die LAN Interface IP bleibt aktiv bestehen so das es vermutlich zum Konflikt mit 2 gleichen IP Netzen kommt !!
Was noch dazukommt ist das der Speedport vermutlich nicht mit classless IP Adressen umgehen kann !!! (Ob der ISA Server das kann ist auch fraglich...)
Du solltest also dem Server besser eine dedizierte Maske im Class C Netz des Speedports geben also:
192.168.101.33 Maske: 255.255.255.0
Denn der Speedport wird vermutlich auch eine 24 Bit Class C Maske haben ?!
So wie oben hättest du dann unsymetrische Subnetzmasken was unbedingt zu vermeiden ist im gleichen IP Segment !!!
Damit sollte es eigentlich problemlos klappen.
Fall dennoch nicht:
Auf Server 2 den MS Net-Monitor installieren und prüfen ob an seinem LAN Port überhaupt die PPTP VPN Pakete vom Speedport bzw. Server 1 richtig geforwardet werden und überhaupt ankommen.
Ferner solltest du die Logs prüfen ob der VPN Tunnel auch überhaupt wirklich zustandekommt !!!
Ohne die VPN Tunnel OK Meldung im Log ist ein Ping Versuch sowieso Unsinn !
Setze also an Server 1 es besser auf 172.16.1.1 /16 oder sowas.
Normalerweise bekommt der Server 1 hier am PPP Interface eine öffentliche IP was du auch richtig vermutest das es eigentlich egal ist, aber....
Die LAN Interface IP bleibt aktiv bestehen so das es vermutlich zum Konflikt mit 2 gleichen IP Netzen kommt !!
Was noch dazukommt ist das der Speedport vermutlich nicht mit classless IP Adressen umgehen kann !!! (Ob der ISA Server das kann ist auch fraglich...)
Du solltest also dem Server besser eine dedizierte Maske im Class C Netz des Speedports geben also:
192.168.101.33 Maske: 255.255.255.0
Denn der Speedport wird vermutlich auch eine 24 Bit Class C Maske haben ?!
So wie oben hättest du dann unsymetrische Subnetzmasken was unbedingt zu vermeiden ist im gleichen IP Segment !!!
Damit sollte es eigentlich problemlos klappen.
Fall dennoch nicht:
Auf Server 2 den MS Net-Monitor installieren und prüfen ob an seinem LAN Port überhaupt die PPTP VPN Pakete vom Speedport bzw. Server 1 richtig geforwardet werden und überhaupt ankommen.
Ferner solltest du die Logs prüfen ob der VPN Tunnel auch überhaupt wirklich zustandekommt !!!
Ohne die VPN Tunnel OK Meldung im Log ist ein Ping Versuch sowieso Unsinn !
Ohh Mann!
164 er Adressen sind ja öffentlich! Wie peinlich! Das werd ich als erstes anpassen!
Der Speedport hat auch eine 16er Suffix. Demnach sind die Netzmasken synchron. Daran kann es wohl nicht liegen. Aber ich werde nun auch noch die eine externe Karte anpassen und mich dann nochmal melden!
164 er Adressen sind ja öffentlich! Wie peinlich! Das werd ich als erstes anpassen!
Der Speedport hat auch eine 16er Suffix. Demnach sind die Netzmasken synchron. Daran kann es wohl nicht liegen. Aber ich werde nun auch noch die eine externe Karte anpassen und mich dann nochmal melden!
Kommt drauf an... Wenn du bei der T-System arbeitest darfst du sie ja verwenden 
http://www.heise.de/netze/tools/whois-abfrage
und mal 164.25.0.0 eingeben....
http://www.heise.de/netze/tools/whois-abfrage
und mal 164.25.0.0 eingeben....
