ISA2006: RDP wird weg gefiltert bei Routing

13/04/2008 - 12:44 von Heiko Bernd | Report spam
Hallo NG,

habe da ein seltsames Problem.
Habe eine 2. DSL Leitung für VPN Site2Site Verbindungen in Betrieb genommen.
Bisher war mein ISA2006 Std., LAN IP 10.10.0.1/16, der zentrale VPN Tunnel
Endpunkt (192.168.32.2) mit vorgeschaltetem Hardware Router (VPN
Passthrough). Nun habe ich einen Mischbetrieb. Dazu habe ich einen weiteren
Hardware Router im Einsatz von Lancom Business R800+, LAN IP 10.10.0.4/16.
Ein entfernter Standort baut nun zum 2. Hardware Router seinen VPN Tunnel
auf anstatt bisher zum ISA. Am ISA habe ich diesen entfernten VPN Standort
deaktiviert und den IP Adressbereich (10.11.0.0/16) dem LAN Adapter
zugewiesen und über "Route add 10.11.0.0 mask 255.255.0.0 10.10.0.4 -p" am
ISA das Routing zu dem neuen Hardware Router eingeschaltet. Jetzt
funktioniert das auch ganz wunderbar vom entfernten Standort mit z.B. Ping,
aber nicht mit RDP??? Wie kann das jetzt sein?

Ein logging am ISA bringt nichts. Ich vermute er protokolliert gar nichts,
was nur über seinen LAN Adapter abgewickelt wird. Der betreffende Terminal
Server hat die IP 10.10.10.8/16. Diese làsst sich von diesem entfernten
Standort anpingen. RDP geht nicht, erst wenn ich am TerminalServer manuell
die Route setze mit "Route add 10.11.0.0 mask 255.255.0.0 10.10.0.4 -p" geht
plötzlich RDP. Darum vermute ich, dass der ISA etwas weg filtert? Ich kann
es aber nicht protokollieren und wüsste jetzt auch nicht, was ich extra für
eine Zugriffsregel erstellen sollte??

Jemand eine Idee?

Hintergrund: Ich möchte gerne die Ursache kennen und wissen, ob nicht noch
mehr Protokolle weggefiltert werden. Es gibt ja z.B. auch Netzwerkteilnehmer
wie Drucker, da kann man nur ein Standard Gateway eintragen und nicht
manuelle Routen setzen.

Danke, Heiko
 

Lesen sie die antworten

#1 Christian Gröbner [MVP]
13/04/2008 - 14:22 | Warnen spam
Hallo Heiko,

das ist ein Problem der Statefull Inspektion. Dein Client fragt zuerst
direkt den Terminalserver über den VPN-Tunnel. Dieser möchte dann Antworten
und leitet dies an sein Default-Gateway (ISA) weiter, dieser hat aber keine
Ahnung von der zuvor stattgefundenen Kommunikation und behandelt diese
Pakete als falsch. Wenn es sich nur um den Zugriff auf den Terimalserver
handelt, dann würde ich auf diesem eine statische Route eintragen und gut
ist.

Gruß

Christian

Christian Gröbner
MVP Forefront
Hilfe & Infos rund um den ISA Server: http://www.msisafaq.de !!!!

NEU !!! Das Handbuch zum ISA 2006 - http://www.msisafaq.de/buch/

"Heiko Bernd" schrieb im Newsbeitrag
news:
Hallo NG,

habe da ein seltsames Problem.
Habe eine 2. DSL Leitung für VPN Site2Site Verbindungen in Betrieb
genommen. Bisher war mein ISA2006 Std., LAN IP 10.10.0.1/16, der zentrale
VPN Tunnel Endpunkt (192.168.32.2) mit vorgeschaltetem Hardware Router
(VPN Passthrough). Nun habe ich einen Mischbetrieb. Dazu habe ich einen
weiteren Hardware Router im Einsatz von Lancom Business R800+, LAN IP
10.10.0.4/16. Ein entfernter Standort baut nun zum 2. Hardware Router
seinen VPN Tunnel auf anstatt bisher zum ISA. Am ISA habe ich diesen
entfernten VPN Standort deaktiviert und den IP Adressbereich
(10.11.0.0/16) dem LAN Adapter zugewiesen und über "Route add 10.11.0.0
mask 255.255.0.0 10.10.0.4 -p" am ISA das Routing zu dem neuen Hardware
Router eingeschaltet. Jetzt funktioniert das auch ganz wunderbar vom
entfernten Standort mit z.B. Ping, aber nicht mit RDP??? Wie kann das
jetzt sein?

Ein logging am ISA bringt nichts. Ich vermute er protokolliert gar nichts,
was nur über seinen LAN Adapter abgewickelt wird. Der betreffende Terminal
Server hat die IP 10.10.10.8/16. Diese làsst sich von diesem entfernten
Standort anpingen. RDP geht nicht, erst wenn ich am TerminalServer manuell
die Route setze mit "Route add 10.11.0.0 mask 255.255.0.0 10.10.0.4 -p"
geht plötzlich RDP. Darum vermute ich, dass der ISA etwas weg filtert? Ich
kann es aber nicht protokollieren und wüsste jetzt auch nicht, was ich
extra für eine Zugriffsregel erstellen sollte??

Jemand eine Idee?

Hintergrund: Ich möchte gerne die Ursache kennen und wissen, ob nicht noch
mehr Protokolle weggefiltert werden. Es gibt ja z.B. auch
Netzwerkteilnehmer wie Drucker, da kann man nur ein Standard Gateway
eintragen und nicht manuelle Routen setzen.

Danke, Heiko

Ähnliche fragen