Standortverbindung Site to Site VPN zwischen ISA und RRAS

21/07/2009 - 15:34 von Markus Schuhmacher | Report spam
Hallo NG,

der Hintergrund meiner Anfrage
http://www.microsoft.com/communitie...fe427feaf6

Wir haben bei einem Kunden eine Zentrale und 3 Außenstellen. Eine der
Außenstellen sollen über einen RRAS Server an die Zentrale angebunden werden,
da es mit dem Netgear Router dort Probleme mit der Performance gibt (siehe
obenm; link). Dies klappt leider nicht, auf Grund des allgemeinen Fehlers:
"keine Richtlinie konfiguriert". - Vermutlich hapert es an Phase II

Folgende Konfiguration:
Zentrale mit 2 Adressbereichen (ISA der Zentrale als Router der 2
Netzwerke). 10.10.10.0 /24 und 192.168.1.0 /24. In der Außenstelle haben wir
einen IP-Bereich 10.10.40.0 /24.

Im ISA Server gibt es dabei an scheint nicht viel zu beachten, da ich dort
nur den Assistenten für die Standortverbindung durchgehe und das Netzwerk
einrichte. Ich habe auch das erstellte Netzwerk der Route und der
Sicherheitsrichtlinien hinzugefügt.
Eine IPSec Verbindung habe ich bei Windows mit Boardmitteln noch nie
gemacht, hatte mir daher von www.vpnc.org eine Anleitung runtergeladen, wie
man 2 RRAS mit einander verbindet.
Wie genau muss ich diese Verbindung erstellen?
Ich habe die Filterlisten laut Anleitung erstellt und in den Tunneloptionen
die externe IP der Zentrale eingegeben. Die Verschlüsselungsmethode stimmen
auch überein.
Also, es gibt eine Sicherheitsregel. Dieser habe ich eine Filteraktion
hinzugefügt mit Perfoect Forward Secrecy (PFS); Sicherheit aushandeln 3DES,
SHA1.
Bei den Tunneleinstellungen steht die externe IP der Zentrale drinnen. Bei
"Authentifizierungsmethoden" steht der vorinstallierte Schlüssel drinnen.
Nun gibt es noch eine IP-Filterliste (ich vermute hier den Fehler). Daher
ersteinmal die Frage, was für IP Adressen muss ich wie dort eintragen. In der
Anleitung haben die dort nur einen Eintrag gemacht, das Netz der Zweigstelle
als Quellnetzwerk und das Netz der Zentrale als Zielnetzwerk. Wenn ich mir
aber den Sicherheitsmonitor des ISA Servers anschaue gibt es dort zu jeden
Netzwerk quasie zwei Eintràge; einmal als Quelle das eigene Netz und einmal
als Ziel das eigene Netz.
Ich habe aber allerdings schon alles ausprobiert und sehe, dass das so
erstmal keinen Sinn macht. Daher möchte ich wissen, was ich jetzt genau in
die IP-Filterliste eintragen muss.

Das "oakley.log" schreibt: (hoffe der Ausschnitt ist korrekt gewàhlt):

7-18: 15:24:14:260:694 Queuing work item, packetsize 300
7-18: 15:24:14:260:fdc
7-18: 15:24:14:260:fdc Receive: (get) SA = 0x062f9358 from
EXTERN_ZENTRALE.500
7-18: 15:24:14:260:fdc ISAKMP Header: (V1.0), len = 300
7-18: 15:24:14:260:fdc I-COOKIE cc39dbc1016b1933
7-18: 15:24:14:260:fdc R-COOKIE 9a37a5cbc12e9285
7-18: 15:24:14:260:fdc exchange: Oakley Quick Mode
7-18: 15:24:14:260:fdc flags: 1 ( encrypted )
7-18: 15:24:14:260:fdc next payload: HASH
7-18: 15:24:14:260:fdc message ID: 2fe42a2c
7-18: 15:24:14:260:fdc Quick mode limit reached: sabf9358
7-18: 15:24:14:260:fdc CheckQMLimit stat cbad02a6
7-18: 15:24:14:260:fdc Created new conn entry 6399490
7-18: 15:24:14:260:fdc Centry 06399490
7-18: 15:24:14:260:fdc processing HASH (QM)
7-18: 15:24:14:260:fdc Verify QM Hash mess ID = 741008431
7-18: 15:24:14:260:fdc ClearFragList
7-18: 15:24:14:260:fdc processing payload KE
7-18: 15:24:14:260:fdc Quick Mode KE processed; Saved KE data
7-18: 15:24:14:260:fdc processing payload NONCE
7-18: 15:24:14:260:fdc processing payload ID
7-18: 15:24:14:260:fdc processing payload ID
7-18: 15:24:14:260:fdc processing payload SA
7-18: 15:24:14:260:fdc Negotiated Proxy ID: Src 192.168.1.0.0 Dst
10.10.40.0.0
7-18: 15:24:14:260:fdc Src id for subnet. Mask 255.255.255.0
7-18: 15:24:14:260:fdc Dst id for subnet. Mask 255.255.255.0
7-18: 15:24:14:260:fdc Checking Proposal 1: Proto= ESP(3), num trans=1 Next=0
7-18: 15:24:14:260:fdc Checking Transform # 1: ID=Dreifach-DES CBC(3)
7-18: 15:24:14:260:fdc SA life type in seconds
7-18: 15:24:14:260:fdc SA life duration 00000e10
7-18: 15:24:14:260:fdc tunnel mode is Tunnelmodus(1)
7-18: 15:24:14:260:fdc HMAC algorithm is SHA(2)
7-18: 15:24:14:260:fdc group description for PFS is 2
7-18: 15:24:14:260:fdc Finding Responder Policy for SRC2.168.1.0.0000
DST.10.40.0.0000, SRCMask%5.255.255.0, DSTMask%5.255.255.0, Prot=0
InTunnelEndpt fe20e51 OutTunnelEndpt d2963dd5
7-18: 15:24:14:260:fdc Failed to get TunnelPolicy 13015
7-18: 15:24:14:260:fdc Responder failed to match filter(Phase II) 13015
7-18: 15:24:14:260:fdc Datenschutzmodus (Schnellmodus)
7-18: 15:24:14:260:fdc Quell-IP-Adresse 10.10.40.0 Quell-IP-Adressmaske
255.255.255.0 Ziel-IP-Adresse 192.168.1.0 Ziel-IP-Adressmaske 255.255.255.0
Protokoll 0 Quellport 0 Zielport 0 Lokale IKE-Adresse IP_ZWEIGSTELLE
Peer-IKE-Adresse IP_ZENTRALE IKE-Quellport 500 IKE-Zielport 500 Private
Peeradresse
7-18: 15:24:14:260:fdc Kennung des vorinstallierten Schlssels.
Peer-IP-Adresse: IP_ZENTRALE
7-18: 15:24:14:260:fdc Benutzer
7-18: 15:24:14:260:fdc Keine Richtlinie konfiguriert.
7-18: 15:24:14:260:fdc Als drittes verarbeitete Nutzlast (ID) Antwort.
Wartezeit 0 0x0 0x0
7-18: 15:24:14:260:fdc isadb_set_status sa:062F9358 centry:06399490 status
3601
7-18: 15:24:14:260:fdc ProcessFailure: sa:062F9358 centry:06399490
status:3601
7-18: 15:24:14:260:fdc constructing ISAKMP Header
7-18: 15:24:14:260:fdc constructing HASH (null)
7-18: 15:24:14:260:fdc constructing NOTIFY 18
7-18: 15:24:14:260:fdc constructing HASH (Notify/Delete)
7-18: 15:24:14:260:fdc Construct ND hash message len = 20 pcklenr
hashlen
7-18: 15:24:14:260:fdc send_request SA 062F9358 centry 06399490 RetryType 1
Context 00000000
7-18: 15:24:14:260:fdc
7-18: 15:24:14:260:fdc Sending: SA = 0x062F9358 to IP_ZENTRALE:Type 1.500
7-18: 15:24:14:260:fdc ISAKMP Header: (V1.0), len = 76
7-18: 15:24:14:260:fdc I-COOKIE cc39dbc1016b1933
7-18: 15:24:14:260:fdc R-COOKIE 9a37a5cbc12e9285
7-18: 15:24:14:260:fdc exchange: ISAKMP Informational Exchange
7-18: 15:24:14:260:fdc flags: 1 ( encrypted )
7-18: 15:24:14:260:fdc next payload: HASH
7-18: 15:24:14:260:fdc message ID: 6b2f8f72
7-18: 15:24:14:260:fdc Ports S:f401 D:f401
7-18: 15:24:14:260:fdc Worker exiting
 

Lesen sie die antworten

#1 Christian Gröbner [MVP]
22/07/2009 - 09:48 | Warnen spam
Hallo Markus,

ich würde dir vorschlagen, den Tunnel erstmal mit PPTP aufzubauen und
schauen, ob das dann geht. Wenn der Tunnel mit PPTP funktioniert musst du
eigentlich nur auf L2TP umschalten und den PSK angeben bzw. die Zertifikate.

Gruß

Christian


Christian Gröbner
MVP Forefront
Hilfe & Infos rund um den ISA Server: http://www.msisafaq.de !!!!

Das Handbuch zum ISA 2006 - http://www.msisafaq.de/buch/
"Markus Schuhmacher" schrieb
im Newsbeitrag news:
Hallo NG,

der Hintergrund meiner Anfrage:
http://www.microsoft.com/communitie...=1&tid¶ced7f2-78a9-49e4-8776-3afe427feaf6

Wir haben bei einem Kunden eine Zentrale und 3 Außenstellen. Eine der
Außenstellen sollen über einen RRAS Server an die Zentrale angebunden
werden,
da es mit dem Netgear Router dort Probleme mit der Performance gibt (siehe
obenm; link). Dies klappt leider nicht, auf Grund des allgemeinen Fehlers:
"keine Richtlinie konfiguriert". - Vermutlich hapert es an Phase II

Folgende Konfiguration:
Zentrale mit 2 Adressbereichen (ISA der Zentrale als Router der 2
Netzwerke). 10.10.10.0 /24 und 192.168.1.0 /24. In der Außenstelle haben
wir
einen IP-Bereich 10.10.40.0 /24.

Im ISA Server gibt es dabei an scheint nicht viel zu beachten, da ich dort
nur den Assistenten für die Standortverbindung durchgehe und das Netzwerk
einrichte. Ich habe auch das erstellte Netzwerk der Route und der
Sicherheitsrichtlinien hinzugefügt.
Eine IPSec Verbindung habe ich bei Windows mit Boardmitteln noch nie
gemacht, hatte mir daher von www.vpnc.org eine Anleitung runtergeladen,
wie
man 2 RRAS mit einander verbindet.
Wie genau muss ich diese Verbindung erstellen?
Ich habe die Filterlisten laut Anleitung erstellt und in den
Tunneloptionen
die externe IP der Zentrale eingegeben. Die Verschlüsselungsmethode
stimmen
auch überein.
Also, es gibt eine Sicherheitsregel. Dieser habe ich eine Filteraktion
hinzugefügt mit Perfoect Forward Secrecy (PFS); Sicherheit aushandeln
3DES,
SHA1.
Bei den Tunneleinstellungen steht die externe IP der Zentrale drinnen. Bei
"Authentifizierungsmethoden" steht der vorinstallierte Schlüssel drinnen.
Nun gibt es noch eine IP-Filterliste (ich vermute hier den Fehler). Daher
ersteinmal die Frage, was für IP Adressen muss ich wie dort eintragen. In
der
Anleitung haben die dort nur einen Eintrag gemacht, das Netz der
Zweigstelle
als Quellnetzwerk und das Netz der Zentrale als Zielnetzwerk. Wenn ich mir
aber den Sicherheitsmonitor des ISA Servers anschaue gibt es dort zu jeden
Netzwerk quasie zwei Eintràge; einmal als Quelle das eigene Netz und
einmal
als Ziel das eigene Netz.
Ich habe aber allerdings schon alles ausprobiert und sehe, dass das so
erstmal keinen Sinn macht. Daher möchte ich wissen, was ich jetzt genau in
die IP-Filterliste eintragen muss.

Das "oakley.log" schreibt: (hoffe der Ausschnitt ist korrekt gewàhlt):

7-18: 15:24:14:260:694 Queuing work item, packetsize 300
7-18: 15:24:14:260:fdc
7-18: 15:24:14:260:fdc Receive: (get) SA = 0x062f9358 from
EXTERN_ZENTRALE.500
7-18: 15:24:14:260:fdc ISAKMP Header: (V1.0), len = 300
7-18: 15:24:14:260:fdc I-COOKIE cc39dbc1016b1933
7-18: 15:24:14:260:fdc R-COOKIE 9a37a5cbc12e9285
7-18: 15:24:14:260:fdc exchange: Oakley Quick Mode
7-18: 15:24:14:260:fdc flags: 1 ( encrypted )
7-18: 15:24:14:260:fdc next payload: HASH
7-18: 15:24:14:260:fdc message ID: 2fe42a2c
7-18: 15:24:14:260:fdc Quick mode limit reached: sabf9358
7-18: 15:24:14:260:fdc CheckQMLimit stat cbad02a6
7-18: 15:24:14:260:fdc Created new conn entry 6399490
7-18: 15:24:14:260:fdc Centry 06399490
7-18: 15:24:14:260:fdc processing HASH (QM)
7-18: 15:24:14:260:fdc Verify QM Hash mess ID = 741008431
7-18: 15:24:14:260:fdc ClearFragList
7-18: 15:24:14:260:fdc processing payload KE
7-18: 15:24:14:260:fdc Quick Mode KE processed; Saved KE data
7-18: 15:24:14:260:fdc processing payload NONCE
7-18: 15:24:14:260:fdc processing payload ID
7-18: 15:24:14:260:fdc processing payload ID
7-18: 15:24:14:260:fdc processing payload SA
7-18: 15:24:14:260:fdc Negotiated Proxy ID: Src 192.168.1.0.0 Dst
10.10.40.0.0
7-18: 15:24:14:260:fdc Src id for subnet. Mask 255.255.255.0
7-18: 15:24:14:260:fdc Dst id for subnet. Mask 255.255.255.0
7-18: 15:24:14:260:fdc Checking Proposal 1: Proto= ESP(3), num trans=1
Next=0
7-18: 15:24:14:260:fdc Checking Transform # 1: ID=Dreifach-DES CBC(3)
7-18: 15:24:14:260:fdc SA life type in seconds
7-18: 15:24:14:260:fdc SA life duration 00000e10
7-18: 15:24:14:260:fdc tunnel mode is Tunnelmodus(1)
7-18: 15:24:14:260:fdc HMAC algorithm is SHA(2)
7-18: 15:24:14:260:fdc group description for PFS is 2
7-18: 15:24:14:260:fdc Finding Responder Policy for SRC2.168.1.0.0000
DST.10.40.0.0000, SRCMask%5.255.255.0, DSTMask%5.255.255.0, Prot=0
InTunnelEndpt fe20e51 OutTunnelEndpt d2963dd5
7-18: 15:24:14:260:fdc Failed to get TunnelPolicy 13015
7-18: 15:24:14:260:fdc Responder failed to match filter(Phase II) 13015
7-18: 15:24:14:260:fdc Datenschutzmodus (Schnellmodus)
7-18: 15:24:14:260:fdc Quell-IP-Adresse 10.10.40.0 Quell-IP-Adressmaske
255.255.255.0 Ziel-IP-Adresse 192.168.1.0 Ziel-IP-Adressmaske
255.255.255.0
Protokoll 0 Quellport 0 Zielport 0 Lokale IKE-Adresse IP_ZWEIGSTELLE
Peer-IKE-Adresse IP_ZENTRALE IKE-Quellport 500 IKE-Zielport 500 Private
Peeradresse
7-18: 15:24:14:260:fdc Kennung des vorinstallierten Schlssels.
Peer-IP-Adresse: IP_ZENTRALE
7-18: 15:24:14:260:fdc Benutzer
7-18: 15:24:14:260:fdc Keine Richtlinie konfiguriert.
7-18: 15:24:14:260:fdc Als drittes verarbeitete Nutzlast (ID) Antwort.
Wartezeit 0 0x0 0x0
7-18: 15:24:14:260:fdc isadb_set_status sa:062F9358 centry:06399490 status
3601
7-18: 15:24:14:260:fdc ProcessFailure: sa:062F9358 centry:06399490
status:3601
7-18: 15:24:14:260:fdc constructing ISAKMP Header
7-18: 15:24:14:260:fdc constructing HASH (null)
7-18: 15:24:14:260:fdc constructing NOTIFY 18
7-18: 15:24:14:260:fdc constructing HASH (Notify/Delete)
7-18: 15:24:14:260:fdc Construct ND hash message len = 20 pcklenr
hashlen
7-18: 15:24:14:260:fdc send_request SA 062F9358 centry 06399490 RetryType
1
Context 00000000
7-18: 15:24:14:260:fdc
7-18: 15:24:14:260:fdc Sending: SA = 0x062F9358 to IP_ZENTRALE:Type 1.500
7-18: 15:24:14:260:fdc ISAKMP Header: (V1.0), len = 76
7-18: 15:24:14:260:fdc I-COOKIE cc39dbc1016b1933
7-18: 15:24:14:260:fdc R-COOKIE 9a37a5cbc12e9285
7-18: 15:24:14:260:fdc exchange: ISAKMP Informational Exchange
7-18: 15:24:14:260:fdc flags: 1 ( encrypted )
7-18: 15:24:14:260:fdc next payload: HASH
7-18: 15:24:14:260:fdc message ID: 6b2f8f72
7-18: 15:24:14:260:fdc Ports S:f401 D:f401
7-18: 15:24:14:260:fdc Worker exiting

Ähnliche fragen