Discussion:
TMG VPN Benutzer-Authentifizierung
(zu alt für eine Antwort)
Thomas
2010-03-12 12:11:22 UTC
Permalink
Hallo,

ich habe kürzlich bei TMG folgende Problematik, bzw. folgenden Fehler
festgestellt:

Wir haben einen VPN-Clientzugriff per PPTP eingerichtet.
Die Konfiguration wurde gemäß der Anleitung für ISA 2006 durchgeführt, da
für TMG noch kein Handbuch verfügbar ist. Aber im Bereich VPN hat sich ja
scheinbar auch nich viel verändert.
Unter "Remotezugriffskonfiguration" wurde ausschließlich das externe
Netzwerk ausgewählt, so dass eben VPN Verbindungen nur aus dem Externen Netz
aufgebaut werden können.
Außerdem habe ich in AD eine Benutzergruppe "VPN-Benutzer" angelegt. Diese
Benutzergruppe ist unter "Windows-Benutzer angeben" hinterlegt.

Ich habe nun kürzlich folgende Problematik festgestellt:
- Es können VPN Verbindungen aus dem Internen Netzwerk aufgebaut werden,
obwohl gemäß Konfiguration nur Verbindungen aus dem Externen Netz zugelassen
werden

- Domänenbenutzer, die der Benutzergruppe "VPN-Benutzer" nicht angehören,
können eine VPN Verbindung herstellen (natürlich nur, sofern Zugriff
gestatten im AD konfiguriert ist)

Wir haben vor TMG bereits einen ISA Server 2006 eingesetzt. Damals hat die
VPN Authentifizierun einwandfrei funktioniert.

Ich hoffe Ihr könnt mir helfen.

Vielen Dank.

Grüße

Thomas
Jens Baier
2010-03-12 12:48:20 UTC
Permalink
Hi,
Post by Thomas
- Es können VPN Verbindungen aus dem Internen Netzwerk aufgebaut werden,
obwohl gemäß Konfiguration nur Verbindungen aus dem Externen Netz zugelassen
werden
hast Du eine Firewall / Systemrichtlinie ertstellt, welche PPTP von INTERN
nach Extern erlaubt?
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Thomas
2010-03-12 17:02:01 UTC
Permalink
Hi,

ja eine Firewall Richtlinie für PPTP von Intern nach Extern ist aktiv.

Gruß

Thomas
Post by Jens Baier
Hi,
Post by Thomas
- Es können VPN Verbindungen aus dem Internen Netzwerk aufgebaut werden,
obwohl gemäß Konfiguration nur Verbindungen aus dem Externen Netz zugelassen
werden
hast Du eine Firewall / Systemrichtlinie ertstellt, welche PPTP von INTERN
nach Extern erlaubt?
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
.
unknown
2010-03-12 18:17:35 UTC
Permalink
hi thomas,
Post by Thomas
ja eine Firewall Richtlinie für PPTP von Intern nach Extern ist aktiv.
ja dann klappts auch mitm nachbarn - äh mit den internen clients.
deaktivier die regel mal spaßeshalber und probiers dann nochmal.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Jens Baier
2010-03-12 18:22:48 UTC
Permalink
Hi,
Post by Thomas
ja eine Firewall Richtlinie für PPTP von Intern nach Extern ist aktiv.
da hast Du dann ja die Ursache :-)
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Thomas
2010-03-15 08:43:01 UTC
Permalink
Hi,

vielen Dank, wäre das erste Problem gelöst ;-)

Nun stellt sich noch die Frage, woran es liegen kann, dass mit Domänen
Usern, die der Benutergruppe "VPN-Benutzer" (die zum Herstellen einer VPN
Verbindung berechtigt) nicht angehören, eine VPN Verbindung aufgebaut werden
kann.
Habt Ihr da vielleicht eine Idee?

Viele Grüße

Thomas
Post by Jens Baier
Hi,
Post by Thomas
- Es können VPN Verbindungen aus dem Internen Netzwerk aufgebaut werden,
obwohl gemäß Konfiguration nur Verbindungen aus dem Externen Netz zugelassen
werden
hast Du eine Firewall / Systemrichtlinie ertstellt, welche PPTP von INTERN
nach Extern erlaubt?
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
.
Jens Baier
2010-03-15 08:53:55 UTC
Permalink
Hi,
Post by Thomas
Nun stellt sich noch die Frage, woran es liegen kann, dass mit Domänen
Usern, die der Benutergruppe "VPN-Benutzer" (die zum Herstellen einer VPN
Verbindung berechtigt) nicht angehören, eine VPN Verbindung aufgebaut werden
kann.
von INTERN nach EXTERN oder von EXTERN nach INTERN?
Ueberpreuf nochmal Deine Policy und ggfs. auch die System Policy, welche VPN
Client Zugriff erlaubt
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
unknown
2010-03-15 15:56:36 UTC
Permalink
huhu thomas,
Post by Thomas
Nun stellt sich noch die Frage, woran es liegen kann, dass mit Domänen
Usern, die der Benutergruppe "VPN-Benutzer" (die zum Herstellen einer VPN
Verbindung berechtigt) nicht angehören, eine VPN Verbindung aufgebaut werden
kann.
Habt Ihr da vielleicht eine Idee?
ich könnte mir vorstellen, das die user-acc eine einwahlberechtigung haben?
Loading Image...
oder gibt es vlt. eine ras-richtlinie, die dies erlaubt?!
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Thomas
2010-03-16 14:08:01 UTC
Permalink
Hi,

die Einwahl ist außschließlich möglich, wenn die Accounts per AD
einwahlberechtigt sind.
Aber müsste TMG die Verbindung nicht trotzdem zurückweisen, sofern der User
der Benutzergruppe "VPN-Benutzer" nicht hinterlegt ist, die in TMG zur VPN
Verbindung berechtigt?

Vielen Dank.

Thomas
Post by unknown
ich könnte mir vorstellen, das die user-acc eine einwahlberechtigung haben?
http://d.imagehost.org/0011/2010-03-15_165451.jpg
oder gibt es vlt. eine ras-richtlinie, die dies erlaubt?!
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
.
unknown
2010-03-16 14:56:08 UTC
Permalink
huhu thomas,
Post by Thomas
die Einwahl ist außschließlich möglich, wenn die Accounts per AD
einwahlberechtigt sind.
Aber müsste TMG die Verbindung nicht trotzdem zurückweisen, sofern der User
der Benutzergruppe "VPN-Benutzer" nicht hinterlegt ist, die in TMG zur VPN
Verbindung berechtigt?
ich lasse den gruppen-bereich in der vpn-konfig immer leer (und die einwahl
funktioniert) und schränke die berechtigungen auf dem regelwerk des isas und
den jeweiligen einwahlberechtigungen auf ad-ebene ein.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Thomas
2010-03-16 15:39:02 UTC
Permalink
OK, dann werde ich das auch so umsetzen.
Vielen Dank für die Unterstützung.

Grüße

Thomas
Post by unknown
huhu thomas,
Post by Thomas
die Einwahl ist außschließlich möglich, wenn die Accounts per AD
einwahlberechtigt sind.
Aber müsste TMG die Verbindung nicht trotzdem zurückweisen, sofern der User
der Benutzergruppe "VPN-Benutzer" nicht hinterlegt ist, die in TMG zur VPN
Verbindung berechtigt?
ich lasse den gruppen-bereich in der vpn-konfig immer leer (und die einwahl
funktioniert) und schränke die berechtigungen auf dem regelwerk des isas und
den jeweiligen einwahlberechtigungen auf ad-ebene ein.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
.
unknown
2010-03-16 16:07:42 UTC
Permalink
hallo thomas,
Post by Thomas
Vielen Dank für die Unterstützung.
gerne und sorry, das ich zu der option selber nicht viel mehr sagen kann (da
ich sie nie genutzt habe) - vlt. kann ja noch einer der geschätzten
isa/tmg-kollegen was dazu beitragen?!
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Lesen Sie weiter auf narkive:
Loading...