Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 1451 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ISA 2004 to Astaro V6.2 Via IPSec Losing my mind

pforst
Forum Members,
I found some docs on microsoft.com on how to create an IPSEC tunnel between isa 2004 and Astaro v5.  I have Astaro V6 at home and wanted to create a tunnel with it back to my office which runs the ISA 2004.    
I managed to get the tunnel created and the PC's behind the ISA server(at work) can see the PC's I have behind the astaro firewall over the IPSEC tunnel.  However none of the PC's behind the Astaro Firewall can see anything behind the ISA Server.
I can ping the 2 workstations I have behind the Astaro firewall from anything that's behind the ISA 2004.  
I apologize if I came off redundant.  I've been trying different packet rules as well as routes and nothing works.  
Any suggestions would be great. 
Thanks in Advanced
-Paul


This thread was automatically locked due to age.
  • 0
    Can you ping the ISA server?
    If so suspect you need to create a rule on the ISA Server?

    What does a traceroute show?
  • 0 in reply to Simon Shaw
    My network at work is 10.1.0.0/16 and at home it's 172.17.1.0/24
    172.17.1.1 is the Astaro IP at home.

    From work this is the results I get 
    C:\Ping 172.17.1.1

    Pinging 172.17.1.1 with 32 bytes of data:
    Reply from 172.17.1.1: bytes=32 time=14ms TTL=64
    Reply from 172.17.1.1: bytes=32 time=16ms TTL=64
    Reply from 172.17.1.1: bytes=32 time=16ms TTL=64
    Reply from 172.17.1.1: bytes=32 time=16ms TTL=64
    Ping statistics for 172.17.1.1:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 14ms, Maximum = 16ms, Average = 15ms

    Tracing route to 172.17.1.1 over a maximum of 30 hops
      1     2 ms     2 ms     2 ms  10.1.0.8 (Gateway Router)
      2     2 ms     2 ms     2 ms  10.1.0.200 (ISA 2004 Server)
      3     *        *        *     Request timed out.
      4     *        *        *     Request timed out.
      5     *        *        *     Request timed out.
  • 0 in reply to pforst
    Do you have set a Packetfilter on the ISA server like:
    172.17.1.0/24  to 10.1.0.0/16 allow?

    Ping works anyway if ICMP (Ping) Rules are enabled!

    Regards,

    Medic
  • 0 in reply to medic
    I have a rule in the packet filter that says:

    Source..............Service..........Dest
    Internet Network ANY.............ISANET(10.1.0.0/16) 


    The VPN Route shows this:
     172.17.1.0/24      -> 10.1.0.0/16        => tun0x10ec@2X4.X5.198.48
    I wonder if it should show a second route that shows the opposite way?

    I've enclosed some photos of the Rules and a capture of the packet filter log.  I tired to Remote Desktop my work PC from home.  Home being the 172 address and work being the 10.1.5.254 address. 

  • 0 in reply to pforst
    Ok, I made a change to the Packet Filter.


    I can now remote desktop my home PC from work.  I'm still having issues however trying to remote desktop my work PC from home.
    Any suggestions?
    Thanks
    -Paul
  • 0 in reply to pforst
    [:$] 
    Had to create a rule on the ISA Server to allow unsolicited traffic in from the Astaro Network! 

    Thanks for everyones help.
  • 0 in reply to pforst
    Thought it would be a rule on the ISA box.  Glad it's all working now.

    PS: With your filter rules....

    1st Rule is for DNS.  Suggest you remove this rule and use the in-built DNS Proxy. (IE point to the internal ASL interface for DNS, then no rule required).
    2nd Rule is for HTTP.  Suggest you remove and use HTTP proxy on Astaro, more secure, less traffic.
    3rd Rule, Allows any to anywhere.  May want to restrict this to a services group or remove it.
    4th Rule can be handled by ICMP settings on ASL.
    5th rule, prime candidate for inclusion on 3rd rule group.
    6th rule, good.

    Cheers,
    Simon Shaw.
Cookie Information Banner