Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Site2Site-VPN mit TMG und Draytek Vigor 2910

Frage Netzwerke Router & Routing

Mitglied: soulseeker

soulseeker (Level 1) - Jetzt verbinden

18.07.2013 um 12:41 Uhr, 2485 Aufrufe, 8 Kommentare, 1 Danke

Hallo zusammen,

ich habe eine Frage zum Site2Site-VPN mit dem o.g. Firewall-Router vs. TMG:

Wir haben folgendes Szenario:

Standort1:
TMG mit öffentlicher IP-Adresse, konfiguriertes Site2Site-Netzwerk zu Standort2 mit der dortigen öffentlichen IP und dem internen Netzwerk-Range, Phase1 3DES, SHA1, G2 mit PSK
Der TMG hat eine Netzwerkkarte, die direkt im WAN hängt.

Standort2:
Vigor2910, Lan2Lan-Profil Dial out mit den gleichen Site2Site-Settings wie an der TMG. Der Vigor hängt als exposed host hinter einer Fritzbox mit gebridgtem Port und hat eine öffentliche IP-Adresse, die auch erreichbar ist.
Im Wesentlichen habe ich mich an diese Anleitung gehalten:
http://theangryangel.co.uk/blog/ms-isa-server-2004-to-draytek-vigor-280 ...

Sobald ich diese Konfiguration aktiviere, sehe ich unter „Connection management“, wie sich scheinbar der TMG am Vigor einwählt. Im Connection management taucht ein "Dynamic client" auf mit der Remote-IP 188.x.x.x und dem Virtual Network 188.x.x.x (das ist die WAN-Seite des Zielnetzes)

Allerdings komme ich nur von der TMG-Seite zur Draytek-Seite, von der Draytek-Seite komme ich nicht zum TMG - das Netz wird nicht geroutet. Was mich sehr wundert ist der „Dynamic client“ – eigentlich würde ich erwarten, dass dort „VPN MS“ steht. Aber irgendwie „dialt“ der Draytek den TMG nicht an, bzw. nicht mehr.

Ich hatte nur ein einziges mal die Situation, da hatte ich den "Dynamic client-Tunnel" und auch einen weiteren Tunnel mit dem von mir am Draytek vergebenen Profilnamen. Da stand dann als Remote-IP 188.x.x.x und als Virtual Network 192.x.x.x - also das Source-Net. Damit hat das Routing funktioniert, aber nachdem ich eine Routing-Option verstellt und wieder hergestellt hatte, klappte das einfach nicht mehr. Diesen Zustand kann ich trotz gleicher Einstellungen nicht mehr erreichen. Ich hab das Lan2Lan-Profil auch schonmal komplett gelöscht, keine Chance. Korrekt erscheint mir das aber trotzdem nicht zu sein, denn warum bilden sich überhaupt zwei Tunnel?

Ich weiß, dass das Draytek-Modell schon etwas älter ist und damit vermutlich out of support, aber site2Site sollte das Gerät ja trotzdem können. Die neueste Firmware ist übrigens bereits installiert. Der Draytek-Support meinte dazu "der TMG wählt sich offenbar als VPN Client ein und übermittelt dem Vigor lediglich die öffentliche IP-Adresse und nicht das lokale Subnetz, weshalb ein Routing nicht möglich ist. Bitte überprüfen Sie die Konfiguration des TMGs."

Da gibt es aber nach meiner Meinung nichts zu überprüfen, die Phasen-Settings sind 100% identisch und die Netzwerk/Firewall-Regeln werden ja automatisch erstellt.

Wäre super, wenn da jemand einen goldenen Tipp für mich hätte

VG

Marcel
Mitglied: Dobby
18.07.2013 um 12:52 Uhr
Hallo,

- Das Routing ist am Draytek Router ja ganz offensichtlich vorhanden, aber hast Du das Routing denn auch am TMG aktiviert?
- Müssen am TMG eventuell Routen hinterlegt werden das man vom Draytek irgend wo hinkommt im TMG Netzwerk?

Der Draytek-Support meinte dazu "der TMG wählt sich offenbar als VPN Client ein und übermittelt dem Vigor lediglich die öffentliche IP-Adresse und nicht das lokale Subnetz, weshalb ein Routing nicht möglich ist. Bitte überprüfen Sie die Konfiguration des TMGs."
Hast Du denn einmal versucht den Prozess (VPN) seitens des Draytek anzustoßen oder aufzubauen?

Bei dem Klient to Site VPN ist ja auf dem Klienten auch das Routing in der Regel aus kommt es eventuell daher?

Gruß
Dobby
Bitte warten ..
Mitglied: soulseeker
18.07.2013 um 13:29 Uhr
Hi,

das Routing aktiviert sich am TMG in der zum Site2Site-Netzwerk passenden Netzwerkregel automatisch, hab ich gerade nochmal geprüft. Auch die entsprechenden Regeln werden automatisch generiert (Netz Entfernt nach intern und umgekehrt z.B.).

Wenn ich im Draytek "dial" wähle, passiert nichts ... wenn ich aber vom TMG einen ping anstoße, dann wählt dieser sich umgehend beim Draytek ein und der (einseitige) Tunnel steht.

Viele Grüße

Marcel
Bitte warten ..
Mitglied: soulseeker
18.07.2013 um 14:17 Uhr
Also der Draytek-Support schreibt jetzt noch folgendes:
wir haben testweise eine VPN-Verbindung von Ihrem Vigor2910 zu unserem Vigor2920 aufgebaut, was problemlos funktioniert hat. Der TMG übermittelt die WAN-IP-Adresse an den Vigor und nicht das lokale Subnetz, was für ein funktionierendes Routing notwendig ist.
Wo hab ich auf der TMG-Seite denn was übersehen? In den Eigenschaften des Netzes steht unter "Adresses" die Range des entfernten Netzes (52.1-52.255), unter Connection im Punkt "Remote Tunnel Endpoint" die WAN-IP des Draytek und unter "Local VPN Gateway IP-Adress" eine der öffentlichen IP-Adresse von der TMG-Seite.

*confused*
Bitte warten ..
Mitglied: Pjordorf
18.07.2013 um 14:47 Uhr
Hallo,

Zitat von soulseeker:
TMG übermittelt die WAN-IP-Adresse an den Vigor und nicht das lokale Subnetz, was für ein funktionierendes Routing notwendig ist.
Du hast vor deinem TMG noch einen Router mit NAT sitzen. Dein Draytek versucht sich also mit deinen Router an dessen Öffentliche IP zu verbinden und nicht mit den TMG un dessen IP nach aussen. Router IP = Öffentlich, TMG IP im NAT Netz deines Routers und dahinter seine Private IP, dein LAN.

*confused*
Mal dir dein Aufbau mal auf Papier auf und trage überall deine IPs ein. Was kommt dabei heraus?

Gruß,
Peter
Bitte warten ..
Mitglied: Dobby
18.07.2013, aktualisiert um 14:48 Uhr
Wo hab ich auf der TMG-Seite denn was übersehen?
Musst Du eventuell auf der TMG Seite noch eine Route hinterlegen, damit dieser auch weiß auf welches Netzwerk oder welchen Teil des Netzwerkes seitens des Vigors zugegriffen werden darf?

Gruß
Dobby

P.S. Unentschieden 14:47 Uhr
Bitte warten ..
Mitglied: Dobby
18.07.2013 um 14:50 Uhr
Du hast vor deinem TMG noch einen Router mit NAT sitzen.
Jo wenn dem so ist wie Peter schreibt müsstest Du mit VPN Passrought arbeiten, da würde ich aber lieber eine "echte"
Site-2-Site VPN Verbindung aufbauen wollen, also von Router zu Router, am besten gleich mit IPSec.

Gruß
Dobby
Bitte warten ..
Mitglied: soulseeker
18.07.2013, aktualisiert um 19:22 Uhr
Vor dem TMG sitzt kein Router ... eine der Nics hat direkt eine öffentliche IP, wir haben als Inetzugang ein Vodafone-Modem mit mehreren öffentlichen IPs, dahinter ist nur ein Switch und dann kommt der TMG. Also 100% kein Nat. Der TMG hat ja auch einen Netzwerk-troubleshooter da ist der Traffic erlaubt. Scheinbar erhält der Draytek die falschen Parameter für das interne Netz der Gegenseite aber ich verstehe gerade nicht warum. Statt dem internen Netz steht dann dort nochmal die Wan-IP.
Bitte warten ..
Mitglied: Dobby
18.07.2013 um 19:35 Uhr
Der TMG wählt sich dann wohl als Klient ein (Client2Site) der Draytek Vigor merkt das und man kann eben von dort aus nicht in das Netzwerk des TMGs rein, da wirst Du wohl oder übel noch ein bisschen knobel oder jemand kommt vorbei und
löst den Knoten!

Gruß
Dobby
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Router & Routing
gelöst Kein Zugriff auf Draytek Vigor 3200 Weboberfläche (16)

Frage von halington zum Thema Router & Routing ...

Router & Routing
gelöst FritzBox 7490 und Draytek Vigor 130 - geht das ? (1)

Frage von hyperpac zum Thema Router & Routing ...

LAN, WAN, Wireless
VPN: Client - Draytek und kein Zugriff auf lokale Ressourcen

Frage von MichaelOr zum Thema LAN, WAN, Wireless ...

Router & Routing
VPN Fritzbox mit Draytek LAN-to-LAN (1)

Frage von macjolo zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...