4
TMG 2010 - Asymmetrisches Routing
Hallo zusammen,
ich betreibe einen TMG 2010 als zentrales Gateway im Netz an Standort A (192.168.2.x). Jetzt möchte ich Standort B (192.168.3.x) anschließen, dort hängt aber eine Linux-Box. Aus diesem Grund wurde als VPN-Lösung OpenVPN gewählt. Der OpenVPN-Server hängt an Standort A.
Routen sind im Moment so:
192.168.3.0/24 -> vpn -> 192.168.2.0/24
192.168.2.0/24 -> tmg -> vpn -> 192.168.3.0/24
Wie man sieht, wunderschönes asymmetrisches routing. Für stateless-foo (genaugenommen, ICMP) funktioniert das auch wunderbar; für stateful Zeugs aber nicht. TMG droppt mir die Pakete mit folgendem Fehler:
" Ein Nicht-SYN-Paket wurde verworfen, weil es von einer Quelle gesendet wurde, die über keine vorhandene Verbindung mit dem Forefront TMG-Computer verfügt. "
Soweit so klar - wie bringe ich dem TMG bei, dass diese Route in Ordnung geht? Geht das überhaupt?
Grüße
Delirium
ich betreibe einen TMG 2010 als zentrales Gateway im Netz an Standort A (192.168.2.x). Jetzt möchte ich Standort B (192.168.3.x) anschließen, dort hängt aber eine Linux-Box. Aus diesem Grund wurde als VPN-Lösung OpenVPN gewählt. Der OpenVPN-Server hängt an Standort A.
Routen sind im Moment so:
192.168.3.0/24 -> vpn -> 192.168.2.0/24
192.168.2.0/24 -> tmg -> vpn -> 192.168.3.0/24
Wie man sieht, wunderschönes asymmetrisches routing. Für stateless-foo (genaugenommen, ICMP) funktioniert das auch wunderbar; für stateful Zeugs aber nicht. TMG droppt mir die Pakete mit folgendem Fehler:
" Ein Nicht-SYN-Paket wurde verworfen, weil es von einer Quelle gesendet wurde, die über keine vorhandene Verbindung mit dem Forefront TMG-Computer verfügt. "
Soweit so klar - wie bringe ich dem TMG bei, dass diese Route in Ordnung geht? Geht das überhaupt?
Grüße
Delirium
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 279056
Url: https://administrator.de/contentid/279056
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
4 Kommentare
Neuester Kommentar
Moin,
Gruß,
Dani
Wie man sieht, wunderschönes asymmetrisches routing.
Wie geht das denn? Der VPN-Tunnel wird doch direkt vom TMG aufgebaut oder gibt es noch eine Blackbox?Gruß,
Dani
1
Hi,
Der OpenVPN-Host sitzt hinter dem TMG. Das sind zwei verschiedene Server.
Habe das ganze mittlerweile anders gelöst: neue Karte in den TMG gesteckt, eine Linux-VM in anderem Subnetz hochgezogen, jetzt gehen die Routen schön symmetrisch über den TMG und damit ist alles gut.
Ursprüngliche Fragestellung (asymmetrisches Routing mit TMG) steht aber immer noch.
Grüße,
Delirium
Der OpenVPN-Host sitzt hinter dem TMG. Das sind zwei verschiedene Server.
Habe das ganze mittlerweile anders gelöst: neue Karte in den TMG gesteckt, eine Linux-VM in anderem Subnetz hochgezogen, jetzt gehen die Routen schön symmetrisch über den TMG und damit ist alles gut.
Ursprüngliche Fragestellung (asymmetrisches Routing mit TMG) steht aber immer noch.
Grüße,
Delirium
Der OpenVPN-Host sitzt hinter dem TMG. Das sind zwei verschiedene Server.
Ok, aber wenn der OpenVPN-Host den Tunnel aufbaut, sollte TMG außer dem Tunnel, keinerlei Datenverkehr sonst sehen.Ursprüngliche Fragestellung (asymmetrisches Routing mit TMG) steht aber immer noch.
Die Reaktion des TMG ist auch gut so. Bei Firewalls würde es heißen Routing oder Interface mismatch. Das ist auch gut so...Gruß,
Dani
Ok, aber wenn der OpenVPN-Host den Tunnel aufbaut, sollte TMG außer dem Tunnel, keinerlei Datenverkehr sonst sehen.
Naja, schon, ich will nicht auf allen Clients die statischen Routen ins andere Subnetz eintragen. Dafür hat man ja eine zentrale Gateway (in dem Fall: der TMG)Die Reaktion des TMG ist auch gut so. Bei Firewalls würde es heißen Routing oder Interface mismatch. Das ist auch gut
so...
Mir ist schon klar, wofür dieser Schutz dient. Die Frage ist: kann ich ihn für bestimmte Routen ausschalten? Für diese eine Route steht er nämlich nur im Weg. Das Problem haben alle stateful Firewalls; im Normalfall kann man das aber (für bestimmte Routen) abschalten. Kann ich das beim TMG auch? Wenn ja, wie?so...
