Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Fritz Fernzugriff durch ISA-Server 2004

Frage Sicherheit Firewall

Mitglied: Rob-Weber

Rob-Weber (Level 1) - Jetzt verbinden

27.06.2011 um 10:59 Uhr, 3052 Aufrufe, 9 Kommentare

Hallo zusammen,
ich bin neu hier im Forum.

Das Problem, welches sich mir hier bietet, kann ich nicht so recht nachvollziehen und denke, dass ich hier ein schnelleres Ergebnis erziele als durch eigene Basteleien.

Wie im Titel zu erkennen haben wir eine ISA 2004 Firewall im Einsatz auf einem Windows Server 2003.
Ich versuche nun, von unserm Netz über "Fritz Fernzugriff" eine VPN-Verbindung zu einem Kunden aufzubauen.
Der VPN-Tunnel steht und baut sich einwandfrei auf und ab. Jedoch kann ich keinen Rechner durch den VPN-Tunnel anpingen, noch eine RDP-Sitzung aufbauen.
Die RDP-Sitzung funktioniert auch nicht, wenn ich in der Firewallregel den Gesamten ausgehenden und eingehenden Traffic zulasse.
Das Clientsystem ist Windows XP x86 mit allen Updates, die lokale Firewall ist aus und außer dem ISA haben wir keine Firewall im Einsatz. Virensacanner gibt es auch keine.
Wenn ich das System jedoch an eine andere Internetverbindung anschließe, ohne ISA, funktioniert alles einwandfrei.
Ich kann also ausschließen, dass die Config-Datei der Fritzbox beschädigt ist.
Im Log vom ISA gibt es auch nix auffälliges.

Kennt jemand die Problematik und kann mir weiterhelfen?

Gruß
Robert
Mitglied: aqui
27.06.2011 um 11:42 Uhr
Wenn du wirklich ganz sicher bist das der VPN Tunnel (AVM nutzt dazu das IPsec Protokoll mit ESP und UDP 500 was normalerweise in jedem NAT Router hängenbleibt ohne NAT Traversal) sauber zustande kommt dann ist es wie immer ein Routing Problem !
Das LAN Interface deines VPN Servers (vermutlich die Fritzbox) MUSS aber in jedem Falle immer pingbar sein !! Ist es das nicht, kommt erst gar keine VPN Verbindung zustande obwohl du das behauptest.
Diese Testwergebnisse fehlen komplett von dir

Kommt sie zustande ist das dann ein Problem der lokalen Firewall der angebpingten Geräte. Dort ist dann ICMP (Auf Echo Pakete antowrten) nicht erlaubt oder für das VPN IP Netzwerk nicht freigegeben so das die lokale Firewall das blockiert.

2ter Fehler kann sein das das angepingte Endgerät ein anderes Gateway (IP) als die Fritzbox konfiguriert hat. Damit gibt es dann keine Route ins VPN Netz und die Ping Pakete enden im Nirwana ! Abhilfe schafft dann einen statische Route im Router.
Traceroute und Pathping sind hier wie immer deine Freunde !
Bitte warten ..
Mitglied: Rob-Weber
27.06.2011 um 12:22 Uhr
Funktionsweise an extra Netzzugang ohne ISA:
- Pingtest auf Gateway einwandfrei (keine hohen Antwortzeiten)
- VPN-Verbindung kommt zu Stande
- Pingtest auf Netzwerkgeräte im Netz des Kunden funktioniert einwandfrei (ICMP-Pakete werden nicht geblockt und ICMP-Request ist auch an)
- RDP-Sitzung funktioniert

Funktionsweise am ISA:
- Pingtest auf Gateway einwandfrei (keine hohen Antwortzeiten)
- VPN-Verbindung kommt zu Stande
- Pingtest auf Netzwerkgeräte im Netz des Kunden funktioniert nicht!
- RDP-Sitzung funktioniert nicht!

Es muss also definitiv an unserem ISA liegen.
Aber wo, wenn ich ja schon alles zulasse?
Bitte warten ..
Mitglied: dog
27.06.2011 um 17:01 Uhr
Aber wo, wenn ich ja schon alles zulasse?

Guck dir das Überwachungsprotokoll an, wenn du die Verbindung aufbaust.

Wahrscheinlich hast du vergessen ein Netzwerk oder Mapping zu definieren o.Ä.
Bitte warten ..
Mitglied: Pjordorf
27.06.2011 um 23:49 Uhr
Hallo,

Zitat von Rob-Weber:
- RDP-Sitzung funktioniert
- RDP-Sitzung funktioniert nicht!
Verwendest du auf deinen Client den MS Firewallclient? Wenn ja, schalte den mal aus und teste dann.

Gruß,
Peter
Bitte warten ..
Mitglied: Rob-Weber
28.06.2011 um 08:20 Uhr
Den MS Firewallclient nutzen wir nicht.
Das Mapping und die Netzwerkschnittstellen stimmen auch.
Der VPN-Tunnel steht ja einwandfrei, nur eben die RDP-Sitzung möchte nicht.

Auffällig ist, dass die route zu einem Rechner beim Kunden am Netz am ISA vorbei direkt durch den VPN-Tunnel geht, hinter dem ISA jedoch ins WAN geroutet wird.
Hilft das weiter?
Bitte warten ..
Mitglied: aqui
28.06.2011 um 11:11 Uhr
Nimm dir doch einen Sniffer wie den Wireshark und verfolge den Weg der Pakete ! Dann ist dir doch im Handumdrehen klar WO es kneift.
De facto ist es einer der Firewall Einstellungen. Da hast du schlicht und einfach was vergessen !!
Überwachungsprotokoll, Traceroute und/oder Pathping sind deine Freunde !
Bitte warten ..
Mitglied: Rob-Weber
28.06.2011 um 15:55 Uhr
Laut Pathping sucht er den anzupingenden Rechner über das Loopbackdevice statt über den VPN-Tunnel, wenn ich über den ISA gehe.
Den grund kann ich mir nicht herleiten.
Ich blocke ja absolut garnix in meiner Regel und die Route passe ich auch nicht an.
Sobald ich eine RDP Sitzung aufbauen möchte wählt er auch die Schnittstelle die ins WAN zeigt statt der VPN-Verbindung.
Bitte warten ..
Mitglied: aqui
28.06.2011 um 17:31 Uhr
Dann mal mit route -print die Routing Tabelle ansehen...da läuft dann was ziemlich schief oder hat einer was ziemlich verbogen an dem Rechner. Normal ist das wenigstens nicht.
Den Grund dafür können wir von remote hier natürlich auch nicht herleiten ?!
Bitte warten ..
Mitglied: Rob-Weber
05.07.2011 um 14:23 Uhr
Ich habe das Routing mal nachvollzogen und ein neues Routing für den Client im ISA eingetragen. Dennoch kann ich keine Änderung verbuchen!

Resultat:
Routing Passt
Protokolle und Ports sind freigegeben
Lokale Firewalls sind alle aus
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst VPN von Fritz!Box zu Windows Server 2012 R2 IPSec (7)

Frage von Andre02 zum Thema LAN, WAN, Wireless ...

Windows Server
gelöst Server 2012R2 RDP über Fritz Box VPN (22)

Frage von hansdampf zum Thema Windows Server ...

Windows Server
gelöst Server 2012R2 Frage zum DHCP Failover (6)

Frage von Coreknabe zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...