8
Site2Site-VPN mit TMG und Draytek Vigor 2910
Hallo zusammen,
ich habe eine Frage zum Site2Site-VPN mit dem o.g. Firewall-Router vs. TMG:
Wir haben folgendes Szenario:
Standort1:
TMG mit öffentlicher IP-Adresse, konfiguriertes Site2Site-Netzwerk zu Standort2 mit der dortigen öffentlichen IP und dem internen Netzwerk-Range, Phase1 3DES, SHA1, G2 mit PSK
Der TMG hat eine Netzwerkkarte, die direkt im WAN hängt.
Standort2:
Vigor2910, Lan2Lan-Profil Dial out mit den gleichen Site2Site-Settings wie an der TMG. Der Vigor hängt als exposed host hinter einer Fritzbox mit gebridgtem Port und hat eine öffentliche IP-Adresse, die auch erreichbar ist.
Im Wesentlichen habe ich mich an diese Anleitung gehalten:
http://theangryangel.co.uk/blog/ms-isa-server-2004-to-draytek-vigor-280 ...
Sobald ich diese Konfiguration aktiviere, sehe ich unter „Connection management“, wie sich scheinbar der TMG am Vigor einwählt. Im Connection management taucht ein "Dynamic client" auf mit der Remote-IP 188.x.x.x und dem Virtual Network 188.x.x.x (das ist die WAN-Seite des Zielnetzes)
Allerdings komme ich nur von der TMG-Seite zur Draytek-Seite, von der Draytek-Seite komme ich nicht zum TMG - das Netz wird nicht geroutet. Was mich sehr wundert ist der „Dynamic client“ – eigentlich würde ich erwarten, dass dort „VPN MS“ steht. Aber irgendwie „dialt“ der Draytek den TMG nicht an, bzw. nicht mehr.
Ich hatte nur ein einziges mal die Situation, da hatte ich den "Dynamic client-Tunnel" und auch einen weiteren Tunnel mit dem von mir am Draytek vergebenen Profilnamen. Da stand dann als Remote-IP 188.x.x.x und als Virtual Network 192.x.x.x - also das Source-Net. Damit hat das Routing funktioniert, aber nachdem ich eine Routing-Option verstellt und wieder hergestellt hatte, klappte das einfach nicht mehr. Diesen Zustand kann ich trotz gleicher Einstellungen nicht mehr erreichen. Ich hab das Lan2Lan-Profil auch schonmal komplett gelöscht, keine Chance. Korrekt erscheint mir das aber trotzdem nicht zu sein, denn warum bilden sich überhaupt zwei Tunnel?
Ich weiß, dass das Draytek-Modell schon etwas älter ist und damit vermutlich out of support, aber site2Site sollte das Gerät ja trotzdem können. Die neueste Firmware ist übrigens bereits installiert. Der Draytek-Support meinte dazu "der TMG wählt sich offenbar als VPN Client ein und übermittelt dem Vigor lediglich die öffentliche IP-Adresse und nicht das lokale Subnetz, weshalb ein Routing nicht möglich ist. Bitte überprüfen Sie die Konfiguration des TMGs."
Da gibt es aber nach meiner Meinung nichts zu überprüfen, die Phasen-Settings sind 100% identisch und die Netzwerk/Firewall-Regeln werden ja automatisch erstellt.
Wäre super, wenn da jemand einen goldenen Tipp für mich hätte
VG
Marcel
ich habe eine Frage zum Site2Site-VPN mit dem o.g. Firewall-Router vs. TMG:
Wir haben folgendes Szenario:
Standort1:
TMG mit öffentlicher IP-Adresse, konfiguriertes Site2Site-Netzwerk zu Standort2 mit der dortigen öffentlichen IP und dem internen Netzwerk-Range, Phase1 3DES, SHA1, G2 mit PSK
Der TMG hat eine Netzwerkkarte, die direkt im WAN hängt.
Standort2:
Vigor2910, Lan2Lan-Profil Dial out mit den gleichen Site2Site-Settings wie an der TMG. Der Vigor hängt als exposed host hinter einer Fritzbox mit gebridgtem Port und hat eine öffentliche IP-Adresse, die auch erreichbar ist.
Im Wesentlichen habe ich mich an diese Anleitung gehalten:
http://theangryangel.co.uk/blog/ms-isa-server-2004-to-draytek-vigor-280 ...
Sobald ich diese Konfiguration aktiviere, sehe ich unter „Connection management“, wie sich scheinbar der TMG am Vigor einwählt. Im Connection management taucht ein "Dynamic client" auf mit der Remote-IP 188.x.x.x und dem Virtual Network 188.x.x.x (das ist die WAN-Seite des Zielnetzes)
Allerdings komme ich nur von der TMG-Seite zur Draytek-Seite, von der Draytek-Seite komme ich nicht zum TMG - das Netz wird nicht geroutet. Was mich sehr wundert ist der „Dynamic client“ – eigentlich würde ich erwarten, dass dort „VPN MS“ steht. Aber irgendwie „dialt“ der Draytek den TMG nicht an, bzw. nicht mehr.
Ich hatte nur ein einziges mal die Situation, da hatte ich den "Dynamic client-Tunnel" und auch einen weiteren Tunnel mit dem von mir am Draytek vergebenen Profilnamen. Da stand dann als Remote-IP 188.x.x.x und als Virtual Network 192.x.x.x - also das Source-Net. Damit hat das Routing funktioniert, aber nachdem ich eine Routing-Option verstellt und wieder hergestellt hatte, klappte das einfach nicht mehr. Diesen Zustand kann ich trotz gleicher Einstellungen nicht mehr erreichen. Ich hab das Lan2Lan-Profil auch schonmal komplett gelöscht, keine Chance. Korrekt erscheint mir das aber trotzdem nicht zu sein, denn warum bilden sich überhaupt zwei Tunnel?
Ich weiß, dass das Draytek-Modell schon etwas älter ist und damit vermutlich out of support, aber site2Site sollte das Gerät ja trotzdem können. Die neueste Firmware ist übrigens bereits installiert. Der Draytek-Support meinte dazu "der TMG wählt sich offenbar als VPN Client ein und übermittelt dem Vigor lediglich die öffentliche IP-Adresse und nicht das lokale Subnetz, weshalb ein Routing nicht möglich ist. Bitte überprüfen Sie die Konfiguration des TMGs."
Da gibt es aber nach meiner Meinung nichts zu überprüfen, die Phasen-Settings sind 100% identisch und die Netzwerk/Firewall-Regeln werden ja automatisch erstellt.
Wäre super, wenn da jemand einen goldenen Tipp für mich hätte
VG
Marcel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 211827
Url: https://administrator.de/contentid/211827
Printed on: April 18, 2024 at 19:04 o'clock
8 Comments
Latest comment
Hallo,
- Das Routing ist am Draytek Router ja ganz offensichtlich vorhanden, aber hast Du das Routing denn auch am TMG aktiviert?
- Müssen am TMG eventuell Routen hinterlegt werden das man vom Draytek irgend wo hinkommt im TMG Netzwerk?
Bei dem Klient to Site VPN ist ja auf dem Klienten auch das Routing in der Regel aus kommt es eventuell daher?
Gruß
Dobby
- Das Routing ist am Draytek Router ja ganz offensichtlich vorhanden, aber hast Du das Routing denn auch am TMG aktiviert?
- Müssen am TMG eventuell Routen hinterlegt werden das man vom Draytek irgend wo hinkommt im TMG Netzwerk?
Der Draytek-Support meinte dazu "der TMG wählt sich offenbar als VPN Client ein und übermittelt dem Vigor lediglich die öffentliche IP-Adresse und nicht das lokale Subnetz, weshalb ein Routing nicht möglich ist. Bitte überprüfen Sie die Konfiguration des TMGs."
Hast Du denn einmal versucht den Prozess (VPN) seitens des Draytek anzustoßen oder aufzubauen?Bei dem Klient to Site VPN ist ja auf dem Klienten auch das Routing in der Regel aus kommt es eventuell daher?
Gruß
Dobby
Hi,
das Routing aktiviert sich am TMG in der zum Site2Site-Netzwerk passenden Netzwerkregel automatisch, hab ich gerade nochmal geprüft. Auch die entsprechenden Regeln werden automatisch generiert (Netz Entfernt nach intern und umgekehrt z.B.).
Wenn ich im Draytek "dial" wähle, passiert nichts ... wenn ich aber vom TMG einen ping anstoße, dann wählt dieser sich umgehend beim Draytek ein und der (einseitige) Tunnel steht.
Viele Grüße
Marcel
das Routing aktiviert sich am TMG in der zum Site2Site-Netzwerk passenden Netzwerkregel automatisch, hab ich gerade nochmal geprüft. Auch die entsprechenden Regeln werden automatisch generiert (Netz Entfernt nach intern und umgekehrt z.B.).
Wenn ich im Draytek "dial" wähle, passiert nichts ... wenn ich aber vom TMG einen ping anstoße, dann wählt dieser sich umgehend beim Draytek ein und der (einseitige) Tunnel steht.
Viele Grüße
Marcel
Also der Draytek-Support schreibt jetzt noch folgendes:
wir haben testweise eine VPN-Verbindung von Ihrem Vigor2910 zu unserem Vigor2920 aufgebaut, was problemlos funktioniert hat. Der TMG übermittelt die WAN-IP-Adresse an den Vigor und nicht das lokale Subnetz, was für ein funktionierendes Routing notwendig ist.
Wo hab ich auf der TMG-Seite denn was übersehen? In den Eigenschaften des Netzes steht unter "Adresses" die Range des entfernten Netzes (52.1-52.255), unter Connection im Punkt "Remote Tunnel Endpoint" die WAN-IP des Draytek und unter "Local VPN Gateway IP-Adress" eine der öffentlichen IP-Adresse von der TMG-Seite.
*confused*
wir haben testweise eine VPN-Verbindung von Ihrem Vigor2910 zu unserem Vigor2920 aufgebaut, was problemlos funktioniert hat. Der TMG übermittelt die WAN-IP-Adresse an den Vigor und nicht das lokale Subnetz, was für ein funktionierendes Routing notwendig ist.
Wo hab ich auf der TMG-Seite denn was übersehen? In den Eigenschaften des Netzes steht unter "Adresses" die Range des entfernten Netzes (52.1-52.255), unter Connection im Punkt "Remote Tunnel Endpoint" die WAN-IP des Draytek und unter "Local VPN Gateway IP-Adress" eine der öffentlichen IP-Adresse von der TMG-Seite.
*confused*
Hallo,
Gruß,
Peter
Zitat von @soulseeker:
TMG übermittelt die WAN-IP-Adresse an den Vigor und nicht das lokale Subnetz, was für ein funktionierendes Routing notwendig ist.
Du hast vor deinem TMG noch einen Router mit NAT sitzen. Dein Draytek versucht sich also mit deinen Router an dessen Öffentliche IP zu verbinden und nicht mit den TMG un dessen IP nach aussen. Router IP = Öffentlich, TMG IP im NAT Netz deines Routers und dahinter seine Private IP, dein LAN.TMG übermittelt die WAN-IP-Adresse an den Vigor und nicht das lokale Subnetz, was für ein funktionierendes Routing notwendig ist.
*confused*
Mal dir dein Aufbau mal auf Papier auf und trage überall deine IPs ein. Was kommt dabei heraus?Gruß,
Peter
1Wo hab ich auf der TMG-Seite denn was übersehen?
Musst Du eventuell auf der TMG Seite noch eine Route hinterlegen, damit dieser auch weiß auf welches Netzwerk oder welchen Teil des Netzwerkes seitens des Vigors zugegriffen werden darf?Gruß
Dobby
P.S. Unentschieden 14:47 Uhr
Du hast vor deinem TMG noch einen Router mit NAT sitzen.
Jo wenn dem so ist wie Peter schreibt müsstest Du mit VPN Passrought arbeiten, da würde ich aber lieber eine "echte"Site-2-Site VPN Verbindung aufbauen wollen, also von Router zu Router, am besten gleich mit IPSec.
Gruß
Dobby
Vor dem TMG sitzt kein Router ... eine der Nics hat direkt eine öffentliche IP, wir haben als Inetzugang ein Vodafone-Modem mit mehreren öffentlichen IPs, dahinter ist nur ein Switch und dann kommt der TMG. Also 100% kein Nat. Der TMG hat ja auch einen Netzwerk-troubleshooter da ist der Traffic erlaubt. Scheinbar erhält der Draytek die falschen Parameter für das interne Netz der Gegenseite aber ich verstehe gerade nicht warum. Statt dem internen Netz steht dann dort nochmal die Wan-IP.
Der TMG wählt sich dann wohl als Klient ein (Client2Site) der Draytek Vigor merkt das und man kann eben von dort aus nicht in das Netzwerk des TMGs rein, da wirst Du wohl oder übel noch ein bisschen knobel oder jemand kommt vorbei und
löst den Knoten!
Gruß
Dobby
löst den Knoten!
Gruß
Dobby
