Discussion:
Routingproblem mit TMG2010 und Site-to-Site VPN
(zu alt für eine Antwort)
stefan
2010-01-25 13:39:01 UTC
Permalink
Hallo,

der Betrieb eines Site-to-Site IPsec-Tunnels (ISA2004 / Netscreen N5GT) hat
bisher problemlos funktioniert.

Der Tunnelendpunkt am ISA-Server wurde nun auf einen neuen TMG2010 verlegt.
Die Tunnelverbindungen werden einwandfrei aufgebaut und alle lokalen
Subnetze auf beiden Seiten sind erreichbar. Auch das Subnetz mit dem internen
Interface des TMGs.
Das Problem welches bestehen beleibt ist, dass der TMG-Server selbst nicht
durch den Tunnel mit den Subnetzen am Remotestandort kommunizieren kann. Ich
kann so vom Remotestandort aus weder den Webproxy benutzen noch komme ich vom
dort aus ins Internet.
Routingregel und Firewallregeln für den Tunnel wurden, wie bereits erwähnt,
analog zum ISA2004 angelegt.

Für jeden Tipp bin ich dankbar.

Stefan
unknown
2010-01-25 13:56:57 UTC
Permalink
huhu stefan,
Post by stefan
der Betrieb eines Site-to-Site IPsec-Tunnels (ISA2004 / Netscreen N5GT) hat
bisher problemlos funktioniert.
Der Tunnelendpunkt am ISA-Server wurde nun auf einen neuen TMG2010 verlegt.
Die Tunnelverbindungen werden einwandfrei aufgebaut und alle lokalen
Subnetze auf beiden Seiten sind erreichbar. Auch das Subnetz mit dem internen
Interface des TMGs.
Das Problem welches bestehen beleibt ist, dass der TMG-Server selbst nicht
durch den Tunnel mit den Subnetzen am Remotestandort kommunizieren kann.
Ich
kann so vom Remotestandort aus weder den Webproxy benutzen noch komme ich vom
dort aus ins Internet.
Routingregel und Firewallregeln für den Tunnel wurden, wie bereits erwähnt,
analog zum ISA2004 angelegt.
Für jeden Tipp bin ich dankbar.
identisch wie auf deinem isa2004 müsste dies auch funtzen. beim tmg muss dir
irgendwo ein kleiner fehler unterlaufen sein. kannst du denn den
webproxysocket grundsätzlich telnetten aus deinem remotestandort?!
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
stefan
2010-01-25 21:15:01 UTC
Permalink
Hallo Jens,

bisher hatte ich den Webproxy vom Remotestandort am interen Interface des
ISA-Servers angesprochen. Jetzt herrscht hier von der Remotesite aus nur
Funkstille. Der Zugriff aus dem interen LAN oder über ein Client-VPN klappt
dagegen problemlos.

Mein Server ist übrigens ein W2K8R2. Vielleicht noch ein Bug?

Danke,
Stefan
Post by unknown
huhu stefan,
Post by stefan
der Betrieb eines Site-to-Site IPsec-Tunnels (ISA2004 / Netscreen N5GT) hat
bisher problemlos funktioniert.
Der Tunnelendpunkt am ISA-Server wurde nun auf einen neuen TMG2010 verlegt.
Die Tunnelverbindungen werden einwandfrei aufgebaut und alle lokalen
Subnetze auf beiden Seiten sind erreichbar. Auch das Subnetz mit dem internen
Interface des TMGs.
Das Problem welches bestehen beleibt ist, dass der TMG-Server selbst nicht
durch den Tunnel mit den Subnetzen am Remotestandort kommunizieren kann.
Ich
kann so vom Remotestandort aus weder den Webproxy benutzen noch komme ich vom
dort aus ins Internet.
Routingregel und Firewallregeln für den Tunnel wurden, wie bereits erwähnt,
analog zum ISA2004 angelegt.
Für jeden Tipp bin ich dankbar.
identisch wie auf deinem isa2004 müsste dies auch funtzen. beim tmg muss dir
irgendwo ein kleiner fehler unterlaufen sein. kannst du denn den
webproxysocket grundsätzlich telnetten aus deinem remotestandort?!
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
.
Jens Baier
2010-01-25 14:44:43 UTC
Permalink
Hi,
Post by stefan
Das Problem welches bestehen beleibt ist, dass der TMG-Server selbst nicht
durch den Tunnel mit den Subnetzen am Remotestandort kommunizieren kann.
Ich
kann so vom Remotestandort aus weder den Webproxy benutzen noch komme ich vom
dort aus ins Internet.
hast Du die IP des ISA / Netscreen auch mit in die IP konfiguration des Site
to Site Netzwerkes aufgenommen?
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
stefan
2010-01-25 21:15:01 UTC
Permalink
Hallo Jens,

das mit der Aufnahme der externen IPs war in der alten Konfiguration
tatsächlich nicht enthalten. Hatte sie aber (der TMG weist bei der
Einrichtung darauf hin) mit aufgenommen aber nicht weiter verfolgt. Ich nehme
an, das hast Du gemeint.
Tatsächlich sehe ich auf dem Tunnelinterface (durch den Tunnel) des TMGs,
vom Remotestandort aus, einige aktive Ports. RDP und Ping funktionieren -
webproxy und firewall-client aber nicht (wurden aber aktiviert auf dem
VPN-Interface).

Aber eigentlich möchte ich wie früher die Dienste auf dem internen Interface
erreichen.

Danke,
Stefan
Post by Jens Baier
Hi,
Post by stefan
Das Problem welches bestehen beleibt ist, dass der TMG-Server selbst nicht
durch den Tunnel mit den Subnetzen am Remotestandort kommunizieren kann.
Ich
kann so vom Remotestandort aus weder den Webproxy benutzen noch komme ich vom
dort aus ins Internet.
hast Du die IP des ISA / Netscreen auch mit in die IP konfiguration des Site
to Site Netzwerkes aufgenommen?
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
.
Lesen Sie weiter auf narkive:
Loading...