Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Fritz Fernzugriff durch ISA-Server 2004

Frage Sicherheit Firewall

Mitglied: Rob-Weber

Rob-Weber (Level 1) - Jetzt verbinden

27.06.2011 um 10:59 Uhr, 3069 Aufrufe, 9 Kommentare

Hallo zusammen,
ich bin neu hier im Forum.

Das Problem, welches sich mir hier bietet, kann ich nicht so recht nachvollziehen und denke, dass ich hier ein schnelleres Ergebnis erziele als durch eigene Basteleien.

Wie im Titel zu erkennen haben wir eine ISA 2004 Firewall im Einsatz auf einem Windows Server 2003.
Ich versuche nun, von unserm Netz über "Fritz Fernzugriff" eine VPN-Verbindung zu einem Kunden aufzubauen.
Der VPN-Tunnel steht und baut sich einwandfrei auf und ab. Jedoch kann ich keinen Rechner durch den VPN-Tunnel anpingen, noch eine RDP-Sitzung aufbauen.
Die RDP-Sitzung funktioniert auch nicht, wenn ich in der Firewallregel den Gesamten ausgehenden und eingehenden Traffic zulasse.
Das Clientsystem ist Windows XP x86 mit allen Updates, die lokale Firewall ist aus und außer dem ISA haben wir keine Firewall im Einsatz. Virensacanner gibt es auch keine.
Wenn ich das System jedoch an eine andere Internetverbindung anschließe, ohne ISA, funktioniert alles einwandfrei.
Ich kann also ausschließen, dass die Config-Datei der Fritzbox beschädigt ist.
Im Log vom ISA gibt es auch nix auffälliges.

Kennt jemand die Problematik und kann mir weiterhelfen?

Gruß
Robert
Mitglied: aqui
27.06.2011 um 11:42 Uhr
Wenn du wirklich ganz sicher bist das der VPN Tunnel (AVM nutzt dazu das IPsec Protokoll mit ESP und UDP 500 was normalerweise in jedem NAT Router hängenbleibt ohne NAT Traversal) sauber zustande kommt dann ist es wie immer ein Routing Problem !
Das LAN Interface deines VPN Servers (vermutlich die Fritzbox) MUSS aber in jedem Falle immer pingbar sein !! Ist es das nicht, kommt erst gar keine VPN Verbindung zustande obwohl du das behauptest.
Diese Testwergebnisse fehlen komplett von dir

Kommt sie zustande ist das dann ein Problem der lokalen Firewall der angebpingten Geräte. Dort ist dann ICMP (Auf Echo Pakete antowrten) nicht erlaubt oder für das VPN IP Netzwerk nicht freigegeben so das die lokale Firewall das blockiert.

2ter Fehler kann sein das das angepingte Endgerät ein anderes Gateway (IP) als die Fritzbox konfiguriert hat. Damit gibt es dann keine Route ins VPN Netz und die Ping Pakete enden im Nirwana ! Abhilfe schafft dann einen statische Route im Router.
Traceroute und Pathping sind hier wie immer deine Freunde !
Bitte warten ..
Mitglied: Rob-Weber
27.06.2011 um 12:22 Uhr
Funktionsweise an extra Netzzugang ohne ISA:
- Pingtest auf Gateway einwandfrei (keine hohen Antwortzeiten)
- VPN-Verbindung kommt zu Stande
- Pingtest auf Netzwerkgeräte im Netz des Kunden funktioniert einwandfrei (ICMP-Pakete werden nicht geblockt und ICMP-Request ist auch an)
- RDP-Sitzung funktioniert

Funktionsweise am ISA:
- Pingtest auf Gateway einwandfrei (keine hohen Antwortzeiten)
- VPN-Verbindung kommt zu Stande
- Pingtest auf Netzwerkgeräte im Netz des Kunden funktioniert nicht!
- RDP-Sitzung funktioniert nicht!

Es muss also definitiv an unserem ISA liegen.
Aber wo, wenn ich ja schon alles zulasse?
Bitte warten ..
Mitglied: dog
27.06.2011 um 17:01 Uhr
Aber wo, wenn ich ja schon alles zulasse?

Guck dir das Überwachungsprotokoll an, wenn du die Verbindung aufbaust.

Wahrscheinlich hast du vergessen ein Netzwerk oder Mapping zu definieren o.Ä.
Bitte warten ..
Mitglied: Pjordorf
27.06.2011 um 23:49 Uhr
Hallo,

Zitat von Rob-Weber:
- RDP-Sitzung funktioniert
- RDP-Sitzung funktioniert nicht!
Verwendest du auf deinen Client den MS Firewallclient? Wenn ja, schalte den mal aus und teste dann.

Gruß,
Peter
Bitte warten ..
Mitglied: Rob-Weber
28.06.2011 um 08:20 Uhr
Den MS Firewallclient nutzen wir nicht.
Das Mapping und die Netzwerkschnittstellen stimmen auch.
Der VPN-Tunnel steht ja einwandfrei, nur eben die RDP-Sitzung möchte nicht.

Auffällig ist, dass die route zu einem Rechner beim Kunden am Netz am ISA vorbei direkt durch den VPN-Tunnel geht, hinter dem ISA jedoch ins WAN geroutet wird.
Hilft das weiter?
Bitte warten ..
Mitglied: aqui
28.06.2011 um 11:11 Uhr
Nimm dir doch einen Sniffer wie den Wireshark und verfolge den Weg der Pakete ! Dann ist dir doch im Handumdrehen klar WO es kneift.
De facto ist es einer der Firewall Einstellungen. Da hast du schlicht und einfach was vergessen !!
Überwachungsprotokoll, Traceroute und/oder Pathping sind deine Freunde !
Bitte warten ..
Mitglied: Rob-Weber
28.06.2011 um 15:55 Uhr
Laut Pathping sucht er den anzupingenden Rechner über das Loopbackdevice statt über den VPN-Tunnel, wenn ich über den ISA gehe.
Den grund kann ich mir nicht herleiten.
Ich blocke ja absolut garnix in meiner Regel und die Route passe ich auch nicht an.
Sobald ich eine RDP Sitzung aufbauen möchte wählt er auch die Schnittstelle die ins WAN zeigt statt der VPN-Verbindung.
Bitte warten ..
Mitglied: aqui
28.06.2011 um 17:31 Uhr
Dann mal mit route -print die Routing Tabelle ansehen...da läuft dann was ziemlich schief oder hat einer was ziemlich verbogen an dem Rechner. Normal ist das wenigstens nicht.
Den Grund dafür können wir von remote hier natürlich auch nicht herleiten ?!
Bitte warten ..
Mitglied: Rob-Weber
05.07.2011 um 14:23 Uhr
Ich habe das Routing mal nachvollzogen und ein neues Routing für den Client im ISA eingetragen. Dennoch kann ich keine Änderung verbuchen!

Resultat:
Routing Passt
Protokolle und Ports sind freigegeben
Lokale Firewalls sind alle aus
Bitte warten ..
Ähnliche Inhalte
Router & Routing
gelöst VPN Fernzugriff auf Fbox 7490 (11)

Frage von andyw5 zum Thema Router & Routing ...

Windows Server
PowerShell Fernzugriff (3)

Frage von DerVolker zum Thema Windows Server ...

Linux Netzwerk
Nat Tunnel zum Fernzugriff (2)

Frage von trolo0 zum Thema Linux Netzwerk ...

LAN, WAN, Wireless
gelöst Sophos UTM mit Fritz Repeater (21)

Frage von MichiGrossmann zum Thema LAN, WAN, Wireless ...

Neue Wissensbeiträge
Linux Netzwerk

Ping und das einstellbare Bytepattern

(1)

Erfahrungsbericht von LordGurke zum Thema Linux Netzwerk ...

Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

(3)

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Heiß diskutierte Inhalte
Microsoft Office
Office Druck fehler (18)

Frage von DaistwasimBusch zum Thema Microsoft Office ...

Windows Server
Zertifikat am DC erneuern funktioniert nicht (13)

Frage von takvorian zum Thema Windows Server ...