9
Fritz Fernzugriff durch ISA-Server 2004
Hallo zusammen,
ich bin neu hier im Forum.
Das Problem, welches sich mir hier bietet, kann ich nicht so recht nachvollziehen und denke, dass ich hier ein schnelleres Ergebnis erziele als durch eigene Basteleien.
Wie im Titel zu erkennen haben wir eine ISA 2004 Firewall im Einsatz auf einem Windows Server 2003.
Ich versuche nun, von unserm Netz über "Fritz Fernzugriff" eine VPN-Verbindung zu einem Kunden aufzubauen.
Der VPN-Tunnel steht und baut sich einwandfrei auf und ab. Jedoch kann ich keinen Rechner durch den VPN-Tunnel anpingen, noch eine RDP-Sitzung aufbauen.
Die RDP-Sitzung funktioniert auch nicht, wenn ich in der Firewallregel den Gesamten ausgehenden und eingehenden Traffic zulasse.
Das Clientsystem ist Windows XP x86 mit allen Updates, die lokale Firewall ist aus und außer dem ISA haben wir keine Firewall im Einsatz. Virensacanner gibt es auch keine.
Wenn ich das System jedoch an eine andere Internetverbindung anschließe, ohne ISA, funktioniert alles einwandfrei.
Ich kann also ausschließen, dass die Config-Datei der Fritzbox beschädigt ist.
Im Log vom ISA gibt es auch nix auffälliges.
Kennt jemand die Problematik und kann mir weiterhelfen?
Gruß
Robert
ich bin neu hier im Forum.
Das Problem, welches sich mir hier bietet, kann ich nicht so recht nachvollziehen und denke, dass ich hier ein schnelleres Ergebnis erziele als durch eigene Basteleien.
Wie im Titel zu erkennen haben wir eine ISA 2004 Firewall im Einsatz auf einem Windows Server 2003.
Ich versuche nun, von unserm Netz über "Fritz Fernzugriff" eine VPN-Verbindung zu einem Kunden aufzubauen.
Der VPN-Tunnel steht und baut sich einwandfrei auf und ab. Jedoch kann ich keinen Rechner durch den VPN-Tunnel anpingen, noch eine RDP-Sitzung aufbauen.
Die RDP-Sitzung funktioniert auch nicht, wenn ich in der Firewallregel den Gesamten ausgehenden und eingehenden Traffic zulasse.
Das Clientsystem ist Windows XP x86 mit allen Updates, die lokale Firewall ist aus und außer dem ISA haben wir keine Firewall im Einsatz. Virensacanner gibt es auch keine.
Wenn ich das System jedoch an eine andere Internetverbindung anschließe, ohne ISA, funktioniert alles einwandfrei.
Ich kann also ausschließen, dass die Config-Datei der Fritzbox beschädigt ist.
Im Log vom ISA gibt es auch nix auffälliges.
Kennt jemand die Problematik und kann mir weiterhelfen?
Gruß
Robert
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 168672
Url: https://administrator.de/forum/fritz-fernzugriff-durch-isa-server-2004-168672.html
Ausgedruckt am: 23.05.2025 um 22:05 Uhr
9 Kommentare
Neuester Kommentar
Wenn du wirklich ganz sicher bist das der VPN Tunnel (AVM nutzt dazu das IPsec Protokoll mit ESP und UDP 500 was normalerweise in jedem NAT Router hängenbleibt ohne NAT Traversal) sauber zustande kommt dann ist es wie immer ein Routing Problem !
Das LAN Interface deines VPN Servers (vermutlich die Fritzbox) MUSS aber in jedem Falle immer pingbar sein !! Ist es das nicht, kommt erst gar keine VPN Verbindung zustande obwohl du das behauptest.
Diese Testwergebnisse fehlen komplett von dir
Kommt sie zustande ist das dann ein Problem der lokalen Firewall der angebpingten Geräte. Dort ist dann ICMP (Auf Echo Pakete antowrten) nicht erlaubt oder für das VPN IP Netzwerk nicht freigegeben so das die lokale Firewall das blockiert.
2ter Fehler kann sein das das angepingte Endgerät ein anderes Gateway (IP) als die Fritzbox konfiguriert hat. Damit gibt es dann keine Route ins VPN Netz und die Ping Pakete enden im Nirwana ! Abhilfe schafft dann einen statische Route im Router.
Traceroute und Pathping sind hier wie immer deine Freunde !
Das LAN Interface deines VPN Servers (vermutlich die Fritzbox) MUSS aber in jedem Falle immer pingbar sein !! Ist es das nicht, kommt erst gar keine VPN Verbindung zustande obwohl du das behauptest.
Diese Testwergebnisse fehlen komplett von dir
Kommt sie zustande ist das dann ein Problem der lokalen Firewall der angebpingten Geräte. Dort ist dann ICMP (Auf Echo Pakete antowrten) nicht erlaubt oder für das VPN IP Netzwerk nicht freigegeben so das die lokale Firewall das blockiert.
2ter Fehler kann sein das das angepingte Endgerät ein anderes Gateway (IP) als die Fritzbox konfiguriert hat. Damit gibt es dann keine Route ins VPN Netz und die Ping Pakete enden im Nirwana ! Abhilfe schafft dann einen statische Route im Router.
Traceroute und Pathping sind hier wie immer deine Freunde !
Funktionsweise an extra Netzzugang ohne ISA:
- Pingtest auf Gateway einwandfrei (keine hohen Antwortzeiten)
- VPN-Verbindung kommt zu Stande
- Pingtest auf Netzwerkgeräte im Netz des Kunden funktioniert einwandfrei (ICMP-Pakete werden nicht geblockt und ICMP-Request ist auch an)
- RDP-Sitzung funktioniert
Funktionsweise am ISA:
- Pingtest auf Gateway einwandfrei (keine hohen Antwortzeiten)
- VPN-Verbindung kommt zu Stande
- Pingtest auf Netzwerkgeräte im Netz des Kunden funktioniert nicht!
- RDP-Sitzung funktioniert nicht!
Es muss also definitiv an unserem ISA liegen.
Aber wo, wenn ich ja schon alles zulasse?
- Pingtest auf Gateway einwandfrei (keine hohen Antwortzeiten)
- VPN-Verbindung kommt zu Stande
- Pingtest auf Netzwerkgeräte im Netz des Kunden funktioniert einwandfrei (ICMP-Pakete werden nicht geblockt und ICMP-Request ist auch an)
- RDP-Sitzung funktioniert
Funktionsweise am ISA:
- Pingtest auf Gateway einwandfrei (keine hohen Antwortzeiten)
- VPN-Verbindung kommt zu Stande
- Pingtest auf Netzwerkgeräte im Netz des Kunden funktioniert nicht!
- RDP-Sitzung funktioniert nicht!
Es muss also definitiv an unserem ISA liegen.
Aber wo, wenn ich ja schon alles zulasse?
Aber wo, wenn ich ja schon alles zulasse?
Guck dir das Überwachungsprotokoll an, wenn du die Verbindung aufbaust.
Wahrscheinlich hast du vergessen ein Netzwerk oder Mapping zu definieren o.Ä.
Hallo,
Verwendest du auf deinen Client den MS Firewallclient? Wenn ja, schalte den mal aus und teste dann.
Gruß,
Peter
Verwendest du auf deinen Client den MS Firewallclient? Wenn ja, schalte den mal aus und teste dann.
Gruß,
Peter
Den MS Firewallclient nutzen wir nicht.
Das Mapping und die Netzwerkschnittstellen stimmen auch.
Der VPN-Tunnel steht ja einwandfrei, nur eben die RDP-Sitzung möchte nicht.
Auffällig ist, dass die route zu einem Rechner beim Kunden am Netz am ISA vorbei direkt durch den VPN-Tunnel geht, hinter dem ISA jedoch ins WAN geroutet wird.
Hilft das weiter?
Das Mapping und die Netzwerkschnittstellen stimmen auch.
Der VPN-Tunnel steht ja einwandfrei, nur eben die RDP-Sitzung möchte nicht.
Auffällig ist, dass die route zu einem Rechner beim Kunden am Netz am ISA vorbei direkt durch den VPN-Tunnel geht, hinter dem ISA jedoch ins WAN geroutet wird.
Hilft das weiter?
Nimm dir doch einen Sniffer wie den Wireshark und verfolge den Weg der Pakete ! Dann ist dir doch im Handumdrehen klar WO es kneift.
De facto ist es einer der Firewall Einstellungen. Da hast du schlicht und einfach was vergessen !!
Überwachungsprotokoll, Traceroute und/oder Pathping sind deine Freunde !
De facto ist es einer der Firewall Einstellungen. Da hast du schlicht und einfach was vergessen !!
Überwachungsprotokoll, Traceroute und/oder Pathping sind deine Freunde !
Laut Pathping sucht er den anzupingenden Rechner über das Loopbackdevice statt über den VPN-Tunnel, wenn ich über den ISA gehe.
Den grund kann ich mir nicht herleiten.
Ich blocke ja absolut garnix in meiner Regel und die Route passe ich auch nicht an.
Sobald ich eine RDP Sitzung aufbauen möchte wählt er auch die Schnittstelle die ins WAN zeigt statt der VPN-Verbindung.
Den grund kann ich mir nicht herleiten.
Ich blocke ja absolut garnix in meiner Regel und die Route passe ich auch nicht an.
Sobald ich eine RDP Sitzung aufbauen möchte wählt er auch die Schnittstelle die ins WAN zeigt statt der VPN-Verbindung.
Dann mal mit route -print die Routing Tabelle ansehen...da läuft dann was ziemlich schief oder hat einer was ziemlich verbogen an dem Rechner. Normal ist das wenigstens nicht.
Den Grund dafür können wir von remote hier natürlich auch nicht herleiten ?!
Den Grund dafür können wir von remote hier natürlich auch nicht herleiten ?!
Ich habe das Routing mal nachvollzogen und ein neues Routing für den Client im ISA eingetragen. Dennoch kann ich keine Änderung verbuchen!
Resultat:
Routing Passt
Protokolle und Ports sind freigegeben
Lokale Firewalls sind alle aus
Resultat:
Routing Passt
Protokolle und Ports sind freigegeben
Lokale Firewalls sind alle aus
