Lancom für Anbindung an ISA 2004 konfigurieren

[HowToUse]

Guten Tag Forum,

folgendes Szenario möchten wir gerne umsetzten:

Mehrer Außenstellen sollen per VPN IPSEC mit dem Netz der Zentrale kommunizieren.

In der Art

Netz Außenstelle -> Lancom <-> Internet <-> Lancom <- ISA Netz Zentrale
Soll heisen:
Die Rechner der Außenstelle spricht mit seinem Lancom, der spricht mit dem ISA der Zentrale (VPN IPSEC) und von da aus gehts weiter entweder ins Internet oder ins lokale Netz oder ins entfernet Netz der Außenstelle 2.


Ziel soll sein dass die Außenstellen möglichst nahe an das Netz der Zentrale heranrücken aber auch untereinander kommunizieren können.

In der Zentrale haben wir folgende Konfiguration:

SBS 2003 R2 mit ISA 2004, DHCP, DNS, WINS, Lancom 1611+ , DSL feste IP

Ports die am Lancom weitergeleitet werden :
25,51,80,443,50,520,1723,4500, -> Server ISA
3389 -> extra Server (steht nicht im Netz des ISA aber im Netz des LAncom der Zentrale)

Konfiguration IPSEC des ISA wurde wie hier beschrieben ausgeführt:
http://www.msisafaq.de/Anleitungen/2004 ... allPSK.htm

Lancom Zentrale Routeneinträge: nur Standard
Clients in der Zentrale haben ständige Routeneinträge in Richtung Außenstellennetz
Server hat keine ständige Route(n) eingetragen


Die Außenstellen haben folgende Konfiguration:

XP SP 3, ISA CLIENT
keine ständige Route(n) eingetragen

Lancom 1821+, DSL feste IP.
DHCP für Aussenstellennetz.

Firewallregel VPN_IN=

Verbindung alle aus Netz: 10.0.0.0 254.0.0.0
An folgende Stationen: alle im Netz
Allle Dienste Protokolle usw erlauben.


Routereinträge:

IP ISA Interne NIC -> VPN Verbindung
10.0.0.0 255.255.255.0

IP ISA Externe NC -> VPN Verbindung
192.168.1.2 255.255.255.0

Keine Defaultroute?????


Was alles geht :

Konfiguration der VPN Strecke – Verbindung zur Zentrale steht stabil.
Zugriff auf Internet über Proxy der Zentrale.
Pingen des Servers, Client’s und Drucker in der Zentrale von Außenstelle
Pingen der Clients, Router und Drucker an den Außenstellen aus dem Netz der Zentrale
Remoteverbindungen zu allen Rechnern sowohl im Netz der Zentrale wie bei den Außenstellen.
Dateizugriff auf den Server, sychronisieren der Datenbanken und Eigene Dateien.


WAS NICHT GEHT(und mich seit 2 Wochen beschäftigt):

1. Von der Außenstelle kann keine Remotedesktopverbindung zu entfernten Rechnern aufgebaut werden.

2. Onlinebanking funktioniert an den Außenstellen nur wenn eine Verbindung zum Server per
VPN Standardclient per RRAS (MS) aufgebaut wird (die Bankabfragen per https funktionieren nicht).

3. In der Netzwerkumgebung der Außenstellen werden zwar alle Server und Rechner von der Zentrale angezeigt, Zugriff hat man aber nur auf den Server, Die Stationen verweigern eine Verbindung mit dem Hinweis: Kein Rechte (was aber nicht stimmt).
Laufwerke verbinden geht natürlich auch nicht.

4. Im Netz der Zentrale kann man die Außenstellenrechner gar nicht sehen:

5. Der DHCP in der Zentrale fliegt seit der Anbindung der Außenstellen in unregelmäßigen Abständen raus.

Irgendwie glaube ich das das Problem bei den Außenstellen liegt.

Schön wäre wenn der ganze Datenverkehr der Außenstellen nach außerhalb (Internet) über den Server der Zentrale abgewickelt würde.

Kann jemand Helfen und hat Infos zu dem Thema?

[backslash]

Hi HowToUse

1. Von der Außenstelle kann keine Remotedesktopverbindung zu entfernten Rechnern aufgebaut werden.

Prüfe mal, ob die Berechtigungen dafür korrekt sind

2. Onlinebanking funktioniert an den Außenstellen nur wenn eine Verbindung zum Server per
VPN Standardclient per RRAS (MS) aufgebaut wird (die Bankabfragen per https funktionieren nicht).

das kann auch nicht funktionieren, solange die Außenstellen per VPN nur auf das lokale Netz der Zentrale zugreifen dürfen. Hierzu muß in den Außenstellen die Defaultroute auf den VPN-Tunnel gelegt werden und im ISA in der Zentrale eine passende VPN-Regel angelegt werden, die das zuläßt

3. In der Netzwerkumgebung der Außenstellen werden zwar alle Server und Rechner von der Zentrale angezeigt, Zugriff hat man aber nur auf den Server, Die Stationen verweigern eine Verbindung mit dem Hinweis: Kein Rechte (was aber nicht stimmt).
Laufwerke verbinden geht natürlich auch nicht.

Das funktioniert nur, wenn du entweder auf allen lokalen Rechnern die Berechtigungen korrekt setzt, oder aber eine Domäne aufziehts. Bei einer Domäne müssen sich die Rechner in der Außenstelle aber auch erst an der Domäne anmelden, damit sie auf Freigaben zugreifen dürfen.

Desweiteren könnte hier auch die Windows-Firewall auf den jeweiligen PCs zuschlagen, wei die Anfrage ja nicht aus dem LAN, sondern einem entfernten Netz kommt. Prüfe daher nochmal alle Berechtigungen und die Firewall-Konfiguration der jeweiligen Rechner

4. Im Netz der Zentrale kann man die Außenstellenrechner gar nicht sehen:

Also, wenn du ein Domänen-Netz hast, dann ist der Domaincontroller für die Netzwerkumgebung zuständig. Hast du keine Domäne, dann hast du ein Problem mit der Netzwerkumgebung. Dann brauchst du auf beiden Seiten je einen WINS-Sever, die sich untereinander agleichen. Aber Vorsicht: Verteilte Arbeitsgruppen sind mit Windows-Bordmitteln prinzipiell nicht möglich, wiel diese auch lokale Masterbrowser haben... (siehe hierzu auch http://www.lancom-forum.de/topic,8171,- ... htbar.html)

Hier würde nur helfen, den VPN-Tunnel nicht auf dem ISA zu terminieren, sondern auf dem LANCOM davor und auf beiden LANCOMs den netBIOS-Proxy zu aktivieren. Damit sind auch verteilte Arbeitsgruppen möglich

5. Der DHCP in der Zentrale fliegt seit der Anbindung der Außenstellen in unregelmäßigen Abständen raus.

Was meinst du damit?

Schön wäre wenn der ganze Datenverkehr der Außenstellen nach außerhalb (Internet) über den Server der Zentrale abgewickelt würde.

siehe Antwort zum Thema Onlinebanking

Gruß
Backslash

[HowToUse]

Vielen Dank für die prompte Hilfe.

das kann auch nicht funktionieren, solange die Außenstellen per VPN nur auf das lokale Netz der Zentrale zugreifen dürfen. Hierzu muß in den Außenstellen die Defaultroute auf den VPN-Tunnel gelegt werden und im ISA in der Zentrale eine passende VPN-Regel angelegt werden, die das zuläßt

Um das Problem eingrenzen zu können und den Router als Fehler auszuschließen die Frage:
wie lege ich die Default Route auf den Tunnel?

Etwa so: 255.255.255.255 0.0.0.0 VPN-SERVER (= Name VPN Verbindung)

z.Zt. sieht die Routingtabelle des Lancom so aus:

10.0.0.0 (=ISA Intern) 255.0.0.0 -> VPN-Server
192.168.1.2 (=ISA extern) 255.255.255.0 -> VPN Server
255.255.255.255 0.0.0.0 -> Internet (= Name Verbindung zu T-com)

[backslash]

Hi HowToUse

Um das Problem eingrenzen zu können und den Router als Fehler auszuschließen die Frage:
wie lege ich die Default Route auf den Tunnel?

Etwa so: 255.255.255.255 0.0.0.0 VPN-SERVER (= Name VPN Verbindung)

Genau. Dann brauchst du natürlich noch eine Route, über die die externe Adresse ISA erreichbar ist (= öffentliche IP des LANCOMs vor dem ISA). Wenn das eine feste IP-Adresse ist, dann reicht es aus, eine Hostroute zum Internetprovider zu legen:

<öffentliche IP> 255.255.255.255 -> Internet.

Wenn es allerdings eine dynamische IP ist, dann mußt du eine weitere Defaultroute zum Internetprovider einrichten, die du mit einem Routing-tag (z.B. 1) versiehst.

255.255.255.255 0.0.0.0 Rtg-Tag 1 -> Internet

Diese Routing-Tag trägst du dann auch in der VPN-Verbindungliste für die VPN-Verbindung ein. Wenn diese IP-Adresse auch noch über DNS aufgelöst wird, dann mußt du für den DNS-Namen einspezielles Forwarding eintragen, durch das dieser Name immer über den Internetprovider aufgelöst wird

Gruß
Backslash