delirium
Goto Top

TMG 2010 - Asymmetrisches Routing

Hallo zusammen,

ich betreibe einen TMG 2010 als zentrales Gateway im Netz an Standort A (192.168.2.x). Jetzt möchte ich Standort B (192.168.3.x) anschließen, dort hängt aber eine Linux-Box. Aus diesem Grund wurde als VPN-Lösung OpenVPN gewählt. Der OpenVPN-Server hängt an Standort A.

Routen sind im Moment so:

192.168.3.0/24 -> vpn -> 192.168.2.0/24
192.168.2.0/24 -> tmg -> vpn -> 192.168.3.0/24

Wie man sieht, wunderschönes asymmetrisches routing. Für stateless-foo (genaugenommen, ICMP) funktioniert das auch wunderbar; für stateful Zeugs aber nicht. TMG droppt mir die Pakete mit folgendem Fehler:
" Ein Nicht-SYN-Paket wurde verworfen, weil es von einer Quelle gesendet wurde, die über keine vorhandene Verbindung mit dem Forefront TMG-Computer verfügt. "

Soweit so klar - wie bringe ich dem TMG bei, dass diese Route in Ordnung geht? Geht das überhaupt?

Grüße
Delirium

Content-ID: 279056

Url: https://administrator.de/contentid/279056

Ausgedruckt am: 22.11.2024 um 15:11 Uhr

Dani
Dani 03.08.2015 aktualisiert um 16:15:49 Uhr
Goto Top
Moin,
Wie man sieht, wunderschönes asymmetrisches routing.
Wie geht das denn? Der VPN-Tunnel wird doch direkt vom TMG aufgebaut oder gibt es noch eine Blackbox?


Gruß,
Dani
delirium
delirium 03.08.2015 aktualisiert um 16:16:36 Uhr
Goto Top
Hi,

Der OpenVPN-Host sitzt hinter dem TMG. Das sind zwei verschiedene Server.

Habe das ganze mittlerweile anders gelöst: neue Karte in den TMG gesteckt, eine Linux-VM in anderem Subnetz hochgezogen, jetzt gehen die Routen schön symmetrisch über den TMG und damit ist alles gut.

Ursprüngliche Fragestellung (asymmetrisches Routing mit TMG) steht aber immer noch.

Grüße,
Delirium
Dani
Dani 03.08.2015 um 18:55:03 Uhr
Goto Top
Der OpenVPN-Host sitzt hinter dem TMG. Das sind zwei verschiedene Server.
Ok, aber wenn der OpenVPN-Host den Tunnel aufbaut, sollte TMG außer dem Tunnel, keinerlei Datenverkehr sonst sehen.

Ursprüngliche Fragestellung (asymmetrisches Routing mit TMG) steht aber immer noch.
Die Reaktion des TMG ist auch gut so. Bei Firewalls würde es heißen Routing oder Interface mismatch. Das ist auch gut so...


Gruß,
Dani
delirium
delirium 04.08.2015 um 11:33:35 Uhr
Goto Top
Ok, aber wenn der OpenVPN-Host den Tunnel aufbaut, sollte TMG außer dem Tunnel, keinerlei Datenverkehr sonst sehen.
Naja, schon, ich will nicht auf allen Clients die statischen Routen ins andere Subnetz eintragen. Dafür hat man ja eine zentrale Gateway (in dem Fall: der TMG)

Die Reaktion des TMG ist auch gut so. Bei Firewalls würde es heißen Routing oder Interface mismatch. Das ist auch gut
so...
Mir ist schon klar, wofür dieser Schutz dient. Die Frage ist: kann ich ihn für bestimmte Routen ausschalten? Für diese eine Route steht er nämlich nur im Weg. Das Problem haben alle stateful Firewalls; im Normalfall kann man das aber (für bestimmte Routen) abschalten. Kann ich das beim TMG auch? Wenn ja, wie?