3
ISA 2006 als Client VPN-Server hinter einer Watchguard 550e, IPSec durch Watchguard funktioniert nicht.
Hi Ihr,
folgende Konfiguration:
Firebox 550e als frontend --> ISA 2006
Firebox managed die Branch office connections.
Isa soll die mobile Client anfragen händeln, leider hab ich es bis jetzt noch nicht hinbekommen, laut Watchguard muss ich eine 1to1 NAT eintragen, damit es überhaupt hinhaut, hab diese auch gemappt auf die externe Schnittstelle des ISA's.
Dementsprechend die Firewallpolicies eingerichtet, leider catched mir trotz dieser Einrichtung die Firebox alles an IKE-Traffic und denkt es ist Branch office Traffic.
Anbei hab ich ein Bild mit dem Log+Firewallpolicies hinzugefügt, vielleicht kann mir jemand weiterhelfen, mit PPTP funktioniert es einwandfrei mit Policy.
VPN L2TP/IPSec mit EAP-TLS + Zertverifikation.
Von Intern, kann ich eine L2TP/IPSec connection zum ISA herstellen.
Hoffe mir kann jemand weiterhelfen
.
Grüße DuckY
folgende Konfiguration:
Firebox 550e als frontend --> ISA 2006
Firebox managed die Branch office connections.
Isa soll die mobile Client anfragen händeln, leider hab ich es bis jetzt noch nicht hinbekommen, laut Watchguard muss ich eine 1to1 NAT eintragen, damit es überhaupt hinhaut, hab diese auch gemappt auf die externe Schnittstelle des ISA's.
Dementsprechend die Firewallpolicies eingerichtet, leider catched mir trotz dieser Einrichtung die Firebox alles an IKE-Traffic und denkt es ist Branch office Traffic.
Anbei hab ich ein Bild mit dem Log+Firewallpolicies hinzugefügt, vielleicht kann mir jemand weiterhelfen, mit PPTP funktioniert es einwandfrei mit Policy.
VPN L2TP/IPSec mit EAP-TLS + Zertverifikation.
Von Intern, kann ich eine L2TP/IPSec connection zum ISA herstellen.
Hoffe mir kann jemand weiterhelfen
.Grüße DuckY
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 91224
Url: https://administrator.de/contentid/91224
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
3 Kommentare
Neuester Kommentar
Sodala nun hab ich es geschafft, dass der Traffic am ISA ankommt, mit 1to1 NAT,
Die 1to1 IP, war auch noch bei der Watchguard in Secondary IP für die Externe Schnittstelle eingetragen.
leider macht ISA keine faxen und nimmt diesen Traffic nicht an, erstellt keine Logs oder sonstiges.
Ich sehe nur in der Überwachung dass nun IKE Traffic von diesem Client ankommt, kann es sein dass mein 1to1 NAT Probs bei der Authentifizierung macht?
Grüße
DuckY
Die 1to1 IP, war auch noch bei der Watchguard in Secondary IP für die Externe Schnittstelle eingetragen.
leider macht ISA keine faxen und nimmt diesen Traffic nicht an, erstellt keine Logs oder sonstiges.
Ich sehe nur in der Überwachung dass nun IKE Traffic von diesem Client ankommt, kann es sein dass mein 1to1 NAT Probs bei der Authentifizierung macht?
Grüße
DuckY
Ja, vermutlich ! Eigentlich ist die Einrichtung recht einfach !
Du machst ja vermutlich NAT auf der Firebox. Du musst daher lediglich die eingehenden Ports:
UDP 500 (IKE)
UDP 4500 (NAT Traversal)
ESP (Protokoll Nummer 50)
an die lokale IP Adresse des Servers forwarden (Port Forwarding) Das sollte das Problem sofort lösen.
Technisch noch besser ist es natürlich du terminierst deine VPN Verbindungen gleich auf der Firewall aber vermutlich kostet das wieder bei Watchguard...
Du machst ja vermutlich NAT auf der Firebox. Du musst daher lediglich die eingehenden Ports:
UDP 500 (IKE)
UDP 4500 (NAT Traversal)
ESP (Protokoll Nummer 50)
an die lokale IP Adresse des Servers forwarden (Port Forwarding) Das sollte das Problem sofort lösen.
Technisch noch besser ist es natürlich du terminierst deine VPN Verbindungen gleich auf der Firewall aber vermutlich kostet das wieder bei Watchguard...
Hi,
ja die hab ich alle schon forgewardet..... des Problem war wo anders, der ISA hat nun Traffic und antwortet auch fleissig.
In der Watchguard musste ich eine ganz seltsame Einstellung machen, bei 1to1 NAT muss ich anstatt single-IP --> IP-range einstellen, auch wenn man nur eine IP genattet haben will.
Nun seh ich traffic an firebox & isa.
Mein einziges Problem ist nun noch, wo bzw. wie veränder ich den Mode von Main Mode zu Aggressive Mode?
Und wo veränder ich den Identifier, dass er nicht versucht mit seiner IP sich am client zu verifizieren sondern mim servername oder ka was.
Des weiteren, hat jemand vielleicht nen kostenlosen VPN-Client der mit SecureID geht?
Grüße DuckY
ja die hab ich alle schon forgewardet..... des Problem war wo anders, der ISA hat nun Traffic und antwortet auch fleissig.
In der Watchguard musste ich eine ganz seltsame Einstellung machen, bei 1to1 NAT muss ich anstatt single-IP --> IP-range einstellen, auch wenn man nur eine IP genattet haben will.
Nun seh ich traffic an firebox & isa.
Mein einziges Problem ist nun noch, wo bzw. wie veränder ich den Mode von Main Mode zu Aggressive Mode?
Und wo veränder ich den Identifier, dass er nicht versucht mit seiner IP sich am client zu verifizieren sondern mim servername oder ka was.
Des weiteren, hat jemand vielleicht nen kostenlosen VPN-Client der mit SecureID geht?
Grüße DuckY
