Hallo Gemeinde,
leider schaffe ich es nicht, eine IPsec Site-to-Site verbindung zwischen einem Lancom-Router (1611+) und einem ISA-Server 2006 einzurichten.
Ich habe auf beiden Seiten mit dem Assistent eine Verbindung angelegt, leider kommt jedoch keine Verbindung zustande. Der LANmonitor zeigt den Fehler "Dynamic VPN - Zeitüberschreitung während Signalisierung oder Authentifizierung (Initiator) [0x1105]".
Der ISA-Server bekommt nur Pakete auf dem Port 87 geliefert mit denen er nichts anfangen kann (Nicht identifizierter IP-Datenverkehr (:87)).
Zum einen bin ich mir ziemlich sicher, dass die eingerichtete Verschlüsselung noch nicht gleich auf beiden Seiten ist, leider ist die Konfig im Lankom aber an der stelle so verschachtelt aufgebaut, dass ich überhaupt nicht mehr weiß was ich wo eintragen muss... Der ISA gibt sauber vor was er benötigt:
IKE-Phase I-Parameter:
Modus: Hauptmodus
Verschlüsselung: 3DES
Integrität: SHA1
Diffie-Hellman-Gruppe: Gruppe 2 (1024 Bit)
Authentifizierungsmethode: Vorinstallierter Schlüssel (xxxxxxxxxxxxxx)
Sicherheitsassoziationsgültigkeitsdauer: 28800 Sekunden
IKE-Phase II-Parameter:
Modus: ESP-Tunnelmodus
Verschlüsselung: 3DES
Integrität: SHA1
Perfect Forward Secrecy: EIN
Diffie-Hellman-Gruppe: Gruppe 2 (1024 Bit)
Zeit für die neue Schlüsselerstellung: EIN
Sicherheitsassoziationsgültigkeitsdauer: 3600 Sekunden
Das ist aber sicher nur ein sekundäres Problem, da er ja noch nicht einmal so weit kommt. Ich hoffe ihr könnt mir helfen!
Danke! Grüße Fisi06
S2S zwischen Lancom 1611+ und ISA 2006
Moderator: Lancom-Systems Moderatoren
Hi,
Nach der Erinnerung:
- Mit einem 2004er ISA geht es nicht
- Mit einem 2006er nie probiert, würde aber vermuten ist wie beim 2004er
- Mit einem TMG 2010 kann ich es nächste Woche mal prüfen
Gruß
COMCARGRU
Nach der Erinnerung:
- Mit einem 2004er ISA geht es nicht
- Mit einem 2006er nie probiert, würde aber vermuten ist wie beim 2004er
- Mit einem TMG 2010 kann ich es nächste Woche mal prüfen
Der ISA Server war übrigens nie dafür bekannt, besonders korrekt zu arbeiten...Der ISA gibt sauber vor was er benötigt
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Doch, das sollte gehen (m. Lancom-FW 7.70, auch frühere sollten gehen, 7.80 macht aber evtl. Stress) - zumindest, wenn Lancom und ISA direkt am Internet hängen und beide fixe ext. IPs haben.- Mit einem 2004er ISA geht es nicht
Man muss aber darauf achten, dass wirklich alle Proposals übereinstimmen (evtl. im Lancom alles mal manuell anlegen) und (ganz wichtig!) dass sich der Lancom mit Identität "IP-Adresse" (Lanconfig: VPN > IKE-Auth. > IKE-Schlüssel...) beim ISA meldet (kann im ISA nicht deaktiviert oder auf einen anderen Identitätstyp geändert werden, sehr nervig), die diejenige IP-Adresse sein muss, die dem ISA als entferntes Gateway angegeben wurde. Der Lancom selbst braucht aber keine Identität zu prüfen.
Die dem ISA genannte Gateway-Adresse des Lancoms muss auch die tatsächliche ext. IP des Lancom sein und umgekehrt; wenn da aus Sicht des ISA etwas scheinbar nicht zusammenpasst, kommt kein Tunnel zustande (bzw. werden die Pakete nicht in das ISA-Intranet geroutet). Das bedeutet also, dass zwischen Lancom und ISA keine Maskierung passieren, also kein weiterer (NAT-) Router sein darf.
Falls z.B. zwischen ISA und Internet noch ein NAT-Router hängt (sicher kein seltenes ISA-Szenario
), muss der Lancom den Tunnel mit diesem Router aufbauen (am Besten natürlich auch ein Lancom) und es müssen Routing-/Netzwerkbeziehungen zw. Lancom-Intranet und ISA-Intranet eingerichtet werden. Geht aber auch:http://www2.lancom.de/kb.nsf/1275/232DB ... enDocument
http://blogs.technet.com/asksbs/archive ... unnel.aspx
Wichtig ist dann, geeignete Firewall-Regeln für den Traffic zwischen den Intranets, aber auch vom entfernten Router zum ISA anzulegen.
Habe ich auch nicht probiert, dürfte aber tatsächlich nicht (viel) anders sein.- Mit einem 2006er nie probiert, würde aber vermuten ist wie beim 2004er
Gruß,
Heiko
Hallo fisi06,
kannst Du den ISA Server nicht zum aufbauenden machen und dan am Lancom Tracen , da siehst Du dann genau was Phase ist und passt den Lancom dann Stück für Stück an.
Im LAN-Monitor , rechte Mause / Trace - VPN-Satus
es ist alles Interessant was ab dem ersten Error steht, das bitte Posten
LANCOM zu ISA hatte ich noch nicht kann Dir also nur auf Lancom Seite helfen , denke aber das mit dem Trace es gehen sollte.
kannst Du den ISA Server nicht zum aufbauenden machen und dan am Lancom Tracen , da siehst Du dann genau was Phase ist und passt den Lancom dann Stück für Stück an.
Im LAN-Monitor , rechte Mause / Trace - VPN-Satus
es ist alles Interessant was ab dem ersten Error steht, das bitte Posten
LANCOM zu ISA hatte ich noch nicht kann Dir also nur auf Lancom Seite helfen , denke aber das mit dem Trace es gehen sollte.