Ping von ISA Server durch IPSec Tunnel --> IP Sicherheit wird verhandelt

29/10/2009 - 12:15 von Boris Erdmann-Jesnitzer | Report spam
Hallo Zusammen,

wir haben einen SBS 2003 mit installiertem ISA Server 2006. Dieser ISA
Server hat eine funktionierende Standortverbindung über IPSec mit
einer Trid Pary Appliance (Netgear). Zusàtzlich zu der IPSec
Standortverbindung stellen noch Standanlone Clients über LTP2 eine
Verbindung zum ISA her.

Der ISA Server steht im Netz 192.168.2.x
Das Remote Netz hat den bereich 192.168.20.x

Die Verbindung ist eingerichtet, die Netzwerkregeln sind eingestellt
und die Firewall làßt den Traffic auf beiden Seiten durch. Ich kann
eine NAS im Remote Netz von einem Rechner im 192.168.2.x Netz aufrufen
und shares im 19.168.2.x netz vom 192.168.20.x Netz aus. Pings
fuktionieren auch in beide Richtungen. Kurzum: Das ganze funktioniert
recht gut.

Wenn ich jedoch einen Ping vom ISA Server (localhost) in das
Remotenetzwerk abgebe, kommt eine Zeitüberschreitung und danach "IP-
Sicherheit wird verhandelt".

Das Ganze wàre nicht so schlimm, wenn nicht der ISA auch als Proxy für
die Internen Rechner und die Standalone VPN Clients fungieren würde.
So kann ich aber keine Verwaltungsseiten (z.B. vom Router, vom NAS,
Drucker..) aus dem Netz 192.168.2.x ansprechen.

Die Meldung "IP-Sicherhit wird verhandelt" deutet an, dass der ISA
Server versucht einen Tunnel zum Remotestandort aufzubauen. Aber der
Tunnel besteht doch bereits und funktioniert?!

Ins Auge gefasst habe ich ein Routing Problem auf dem ISA Server und /
oder eine lokale Richtlinie...

Hat jemand von Euch schon mal so ein Problem gehabt und einen Tip für
uns?

Boris Erdmann-Jesnitzer

Anbei die Routingtabelle de ISA Servers:

IPv4-Routentabelle
==Schnittstellenliste
0x1 ... MS TCP Loopback interface
0x10002 ...00 53 45 00 00 00 .. WAN (PPP/SLIP) Interface
0x10003 ...00 0a e4 83 8a f8 .. Broadcom NetXtreme Gigabit
Ethernet #2
0x10004 ...00 0a e4 83 8a f9 .. Broadcom NetXtreme Gigabit
Ethernet
=Aktive Routen:
Netzwerkziel Netzwerkmaske Gateway Schnittstelle
Metrik
0.0.0.0 0.0.0.0 212.12.104.1
212.12.104.161 20
77.24.99.224 255.255.255.255 212.12.104.1
212.12.104.161 20
77.25.57.148 255.255.255.255 212.12.104.1
212.12.104.161 20
127.0.0.0 255.0.0.0 127.0.0.1
127.0.0.1 1
192.168.2.0 255.255.255.0 192.168.2.5
192.168.2.5 10
192.168.2.5 255.255.255.255 127.0.0.1
127.0.0.1 10
192.168.2.15 255.255.255.255 192.168.2.24
192.168.2.24 1
192.168.2.21 255.255.255.255 192.168.2.24
192.168.2.24 1
192.168.2.24 255.255.255.255 127.0.0.1
127.0.0.1 50
192.168.2.255 255.255.255.255 192.168.2.5
192.168.2.5 10
212.12.104.0 255.255.255.0 212.12.104.161
212.12.104.161 20
212.12.104.161 255.255.255.255 127.0.0.1
127.0.0.1 20
212.12.104.162 255.255.255.255 127.0.0.1
127.0.0.1 20
212.12.104.163 255.255.255.255 127.0.0.1
127.0.0.1 20
212.12.104.164 255.255.255.255 127.0.0.1
127.0.0.1 20
212.12.104.255 255.255.255.255 212.12.104.161
212.12.104.161 20
224.0.0.0 240.0.0.0 192.168.2.5
192.168.2.5 10
224.0.0.0 240.0.0.0 212.12.104.161
212.12.104.161 20
255.255.255.255 255.255.255.255 192.168.2.5
192.168.2.5 1
255.255.255.255 255.255.255.255 212.12.104.161
212.12.104.161 1
Standardgateway: 212.12.104.1
==St„ndige Routen:
Keine
 

Lesen sie die antworten

#1 Jens Baier
29/10/2009 - 12:41 | Warnen spam
Hi,

Wenn ich jedoch einen Ping vom ISA Server (localhost) in das
Remotenetzwerk abgebe, kommt eine Zeitüberschreitung und danach "IP-
Sicherheit wird verhandelt".



nimm die IP vom ISA mal in die VPN Remote S2S Konfiguration rein

Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/p...Marc.Grote
http://blog.it-training-grote.de

Ähnliche fragen