Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 1964 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

entfernter Proxy über IPSEC Site2Site nicht erreichbar

cptkirc
Hallo,
wir haben unsere beiden Standorte per ipsec Site2Site verbunden.
Auf der einen Seite steht ein Forefront TMG 2010 im Netz 192.168.2.0/24 mit der IP .253
Auf der anderen Seite ein ASG im Netz 192.168.0.0/24 mit der IP .253

Aus dem Netz 192.168.0.0 sind alle Hosts im Netz 192.168.2.0 erreichbar bis auf die IP des TMG 192.168.2.253

Aus dem Netz 192.168.2.0 sind sämtliche Hosts im Nachbarnetz erreichbar, auch die 192.168.0.253

An den Firewallregeln sollte es nicht liegen, hier sind keinerlei Fehler ersichtlich. Im Logging ist auch kein blocking zu finden.

Hat jemand von Euch eine Idee dazu?

Viele Grüße,
Christian


This thread was automatically locked due to age.
  • 0
    Guten Morgen,

    Ich vermute das es ein routing Problem sein könnte. Baust du eine Site2Site Verbindung zwischen zwei ASGs auf oder zwischen ASG und Forefront TMG? Welches Gateway haben deine Clients die du erreichst und welches dein TMG?

    MfG Denny
  • 0 in reply to DennyFischer
    Hi,
    ja, sowas in die Richtung vermute ich auch.
    Die Site2Site Verbindung wird zwischen ner´ ASGv7 und Forefront TMG aufgebaut.
    Gateways sind die jew. Firewalls, also auf der einen Seite 2.253, auf der anderen 0.253.

    Habe inzwischen herausgefunden wie man auf der Windows 2008R2 Seite ein detailliertes IPSEC Logging anzeigen kann.
    Sobald traffic vom "ASTARO Standort" auf den TMG Auftrifft erhalte ich im Eventlog des folgende Fehlermeldung: 

    Von IPsec wurde ein eingehendes Klartextpaket verworfen, das geschützt hätte sein sollen. Ist für den Computer eine Richtlinie zum Anfordern von IPsec für ausgehende Daten konfiguriert, ist diese Meldung wahrscheinlich harmlos und war zu erwarten. Die Meldung kann auch darauf zurückzuführen sein, dass die IPsec-Richtlinie des Remotecomputers geändert wurde, ohne diesen Computer zu informieren. Es kann auch auf einen versuchten Spoofingangriff hindeuten.

    Remotenetzwerkadresse: 192.168.0.253
    SPI der eingehenden Sicherheitszuordnung: 0

    Warum sendet die Astaro unverschlüsselt? Oder ist das so in Ordnung und der TMG interpretiert das falsch?

    Viele Grüße,
    Christian
  • 0
    Guten Morgen,

    da bin ich leider etwas überfragt warum solch eine Meldung im Eventlog erscheint. Erreichst du denn dein TMG nun? Wenn nicht wie versuchst du denn dein TMG extern zu erreichen (ping, http etc.)? Muss eventuell jede Kommunikation zum TMG über IPSec laufen (auch durch den Tunnel)? Blockt eventuell dein TMG den Zugriff auf sich selbst von einem anderen Subnetz aus? Kenne mich mit dem TMG nicht wirklich aus. Sorry.

    MfG Denny
  • 0
    Hallo,
    das Problem ist gelöst - Ursache ist der TMG, es muss TMG update 1RU3 + ein nicht dokumentierter netsh Befehl eingespielt werden.
    (Der TMG akzeptiert per default keine Pakete welche vom remotenetz auf das interne Interface gerichtet werden, dies war in den Vorgängerversionen nicht der Fall)
    Viele Grüße,
    Christian