Discussion:
TMG 2010 L2TP VPN Verbindungen durch Clients
(zu alt für eine Antwort)
Uwe
2010-01-20 08:07:01 UTC
Permalink
Hallo,

wir haben unseren ISA2006 durch den TMG 2010 abgelöst.

Diverse Client PCs müssen eine L2TP VPN Verbindung zu Fremdsystemen
herstellen. Die Clients laufen mittlerweile über eine Firewall Richtlinie,
die den gesamten ausgehenden Datenverkehr zulässt. Leider ist es nicht mehr
möglich, über den TMG die L2TP VPN Verbindung herzustellen. Bei der
Protokollierung bekomme ich immer dise Einträge:

Initiierte Verbindung TMGSRV 20.01.2010 09:00:33
Protokolltyp: Firewalldienst
Status: Der Vorgang wurde erfolgreich beendet.
Regel: Client --> Extern
Quelle: Intern (xx.xx.xx.xx:500)
Ziel: Extern (xxx.xx.xx.xx:500)
Protokoll: IKE-Client

Initiierte Verbindung TMGSRV 20.01.2010 09:00:33
Protokolltyp: Firewalldienst
Status: Der Vorgang wurde erfolgreich beendet.
Regel: Client --> Extern
Quelle: Intern (xx.xx.xx.xx:4500)
Ziel: Extern (xx.xx.xx.xx:4500)
Protokoll: IPsec-NAT-T-Client

Ich habe die Einstellungen mit dem ISA2006 verglichen, kann aber nicht mehr
finden. Hat jemand noch einen Tip?

Danke und Gruß

Uwe B.
Uwe
2010-01-20 08:26:02 UTC
Permalink
Problem behoben. Ich habe das VPN generell aktiviert und dann kamen die
Clients auch raus.
unknown
2010-01-20 08:49:36 UTC
Permalink
hai uwe,
Post by Uwe
Problem behoben. Ich habe das VPN generell aktiviert und dann kamen die
Clients auch raus.
ah prima. grundsätzlich stellt sich aber wirklich die frage, ob das so
erwünscht ist. welcher traffic durch diese verbindungen läuft läßt sich nur
noch an den endgeräten kontrollieren. oder sind diese in einem speziellen
netzwerksegment geparkt (stichwort gäste-netz)?!
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Uwe
2010-02-09 07:43:01 UTC
Permalink
Hallo,

ich muss das Problem noch einmal aufgreifen.

Wegen Service bei Kunden müssen unsere Client PCs VPN Verbindungen (PPTP
oder L2TP) direkt zu Kundennetzwerken herstellen können. Allerdings läuft das
nun doch noch nicht so einwandfrei.

Nur wenn ich im TMG bei "Eigenschaften von VPN-Clients" bei "Protokolle" die
Häckchen bei PPTP und/oder L2TP setze und die Konfiguration übernehme, können
die Clients VPN Verbindungen auswärts herstellen. Nehme ich die Häckchen
wieder raus (inkl. Konfigurationsübernahme) funktionieren diese ausgehenden
Verbindungen solange, bis ich den TMG Server neu starte. Nach dem Server
Neustart muss ich die Häckchen wieder einmal setzen, damit die Clients wieder
VPN Verbindungen auswärts erstellen können.

Ich verstehe nicht so ganz, was die Konfiguration der "Eigenschaften von
VPN-Clients" mit den ausgehenden Verbindungen zu tuen haben. Eigendlich will
ich diese Optionen nicht aktivieren.

Hat jemand noch ein Tip?

Danke und gruß

Uwe B.
Thomas K.H. Bittner
2010-02-15 20:13:17 UTC
Permalink
Verstehe ich Dich richtig, Du willst nur ausgehend VPN passthrough zu lassen
und sonst keinen Clients die Einwahl per VPN zulassen?

Gruß,
Tom
Post by Uwe
Hallo,
ich muss das Problem noch einmal aufgreifen.
Wegen Service bei Kunden müssen unsere Client PCs VPN Verbindungen (PPTP
oder L2TP) direkt zu Kundennetzwerken herstellen können. Allerdings läuft das
nun doch noch nicht so einwandfrei.
Nur wenn ich im TMG bei "Eigenschaften von VPN-Clients" bei "Protokolle" die
Häckchen bei PPTP und/oder L2TP setze und die Konfiguration übernehme, können
die Clients VPN Verbindungen auswärts herstellen. Nehme ich die Häckchen
wieder raus (inkl. Konfigurationsübernahme) funktionieren diese ausgehenden
Verbindungen solange, bis ich den TMG Server neu starte. Nach dem Server
Neustart muss ich die Häckchen wieder einmal setzen, damit die Clients wieder
VPN Verbindungen auswärts erstellen können.
Ich verstehe nicht so ganz, was die Konfiguration der "Eigenschaften von
VPN-Clients" mit den ausgehenden Verbindungen zu tuen haben. Eigendlich will
ich diese Optionen nicht aktivieren.
Hat jemand noch ein Tip?
Danke und gruß
Uwe B.
Uwe
2010-02-18 07:10:01 UTC
Permalink
Genau, es sollen nur ausgehende VPN Verbindungen erlaubt werden. Dabei konnte
ich feststellen, das es egal ist, welche Art von Verbindung (PPTP oder L2TP).
Nach jedem Serverneustart muss ich bei der eingehen VPN Konfiguration die
Häckchen für die Protokolle einmal setzen und Übernehemen, erst dann sind
ausgehende VPN Verbindungen möglich. Danach kann ich die Häckchen wieder
entfernen und VPN ausgehend funktioniert wieder bis zum nächsten
Serverneustart.

Auch im BPA kann ich keine hinweise zu diesen etwas merkwürdigen verhalten
finden.

Gruß

Uwe
Thomas K.H. Bittner
2010-02-18 17:16:34 UTC
Permalink
Hallo Uwe,

Du musst natürlich die relevanten ausgehenden Protokolle für VPN auch
entsprechend Deiner Regel(n) für ausgehenden Verkehr hinzufügen.

Gruß, Tom
Post by Uwe
Genau, es sollen nur ausgehende VPN Verbindungen erlaubt werden. Dabei konnte
ich feststellen, das es egal ist, welche Art von Verbindung (PPTP oder L2TP).
Nach jedem Serverneustart muss ich bei der eingehen VPN Konfiguration die
Häckchen für die Protokolle einmal setzen und Übernehemen, erst dann sind
ausgehende VPN Verbindungen möglich. Danach kann ich die Häckchen wieder
entfernen und VPN ausgehend funktioniert wieder bis zum nächsten
Serverneustart.
Auch im BPA kann ich keine hinweise zu diesen etwas merkwürdigen verhalten
finden.
Gruß
Uwe
Jens Baier
2010-01-20 08:37:12 UTC
Permalink
Hi,
Post by Uwe
wir haben unseren ISA2006 durch den TMG 2010 abgelöst.
gut!
Post by Uwe
Diverse Client PCs müssen eine L2TP VPN Verbindung zu Fremdsystemen
herstellen. Die Clients laufen mittlerweile über eine Firewall Richtlinie,
die den gesamten ausgehenden Datenverkehr zulässt. Leider ist es nicht mehr
möglich, über den TMG die L2TP VPN Verbindung herzustellen. Bei der
puuh, uebel. Zum einen diese Firewallrichtlinie und dann Client aus dem
internen Netz eine VPN Verbindung durch die Firewall aufbauen zu lassen.
Damit wird die Sicherheit der Firewall komplett untergraben. IMHO solltest
Du Dir da nochmal Gedanken machen und das Konzept ueberarbeiten.
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Jens Klein
2010-01-22 22:29:18 UTC
Permalink
Hallo Jens,
Post by Jens Baier
Post by Uwe
Diverse Client PCs müssen eine L2TP VPN Verbindung zu Fremdsystemen
herstellen.
puuh, uebel. Zum einen diese Firewallrichtlinie und dann Client aus dem
internen Netz eine VPN Verbindung durch die Firewall aufbauen zu lassen.
Damit wird die Sicherheit der Firewall komplett untergraben. IMHO solltest
Du Dir da nochmal Gedanken machen und das Konzept ueberarbeiten.
??
Was wäre Dein Vorschlag, wenn Du aus Deinem Office auf Kunden per L2TP
zugreifen musst?
Welche Alternative gibt es den?

Oder habe ich da etwas falsch verstanden?

Grüße, Jens Klein
Jens Baier
2010-01-23 12:43:21 UTC
Permalink
Hi,
Post by Jens Klein
Was wäre Dein Vorschlag, wenn Du aus Deinem Office auf Kunden per L2TP
zugreifen musst?
Welche Alternative gibt es den?
nen dedizierter PC fuer VPN Einwahl oder nen VPN Server / Client in die DMZ
stellen
Post by Jens Klein
Oder habe ich da etwas falsch verstanden?
ne schon richtig!
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Jens Klein
2010-01-24 00:27:47 UTC
Permalink
Hallo Jens,
Post by Jens Baier
Post by Jens Klein
Was wäre Dein Vorschlag, wenn Du aus Deinem Office auf Kunden per L2TP
zugreifen musst?
Welche Alternative gibt es den?
nen dedizierter PC fuer VPN Einwahl oder nen VPN Server / Client in die
DMZ stellen
vielleicht stehe ich ja auf der Leitung, aber welchen Mehrwert bietet mir
dieser Ansatz?

Oder auch: Was spricht den konkret gegen die Verwendung des eigenen interne
PCs?

(Vielleicht fehlt mir ja einfach Dein Gedankengang)

Grüße, Jens Klein
Lesen Sie weiter auf narkive:
Loading...