VPN-Verbindung über IPSEC zu MS ISA 2004

Robert Gerster · Beitrag von **Robert Gerster** » 26 Dez 2005, 15:50

Hallo.

Versuche seit Tagen eine VPN-Verbindung von einen 1711 zu einem ISA 2004 auf zubauen. Leider erfolglos.

Umgebung: Netz A mit Windows 2000 Clients und 1711 mit fester IP. Netz B mit Windows TS hinter ISA ebenfalls mit fester IP. Es soll möglich sein von den Clients aus Netz A auf die Server in Netz B zu zugreifen.

Momentan mache ich das noch in einer Testumgebung.

Wie gesagt, sind alle meine Versuche und auch was die Hotline beisteuerte, nicht von Erfolg gekrönt. Die Lancom-Hotline sieht sich ausser Stande hier tätig zu werden. Kennen sich mit dem ISA nicht aus. Habe bei MS mal vorsichtig angeklopft. Leider das Gleiche andersherum.

Ich habe keine Idee wo es hängt. Habe x-Konfigurationen durch probiert. Als Fehler kommt immer nur eine Zeitüberschreitung bei Initiator. Was eigentlich bedeutet das der ISA die Anfrage nicht beantwortet.

Hat das schon mal jemand gemacht? Gibt es hierzu einen Workaround?

Danke Robert

eddia · Beitrag von **eddia** » 26 Dez 2005, 20:11

Hallo Robert,

Versuche seit Tagen eine VPN-Verbindung von einen 1711 zu einem ISA 2004 auf zubauen.

Mit IPSec wird das nichts, da der Lancom nur pures IPSec und der ISA nur IPSec über L2TP unterstützt. Da bleibt dann nur PPTP, welches der Lancom aber nur unverschlüsselt bedient.

Es soll möglich sein von den Clients aus Netz A auf die Server in Netz B zu zugreifen.

Zur Not richtest Du an den Clients jeweils eine DFÜ-Verbindung mit L2TP gegen den ISA ein.

Gruß

Mario

Robert Gerster · Beitrag von **Robert Gerster** » 27 Dez 2005, 01:33

Hallo Mario.

Danke für die Info. Hätte ich nur mal vorher gefragt. Wundert mich aber schon das soetwas die Hotline nicht weiss.

Gruss Robert

eddia · Beitrag von **eddia** » 27 Dez 2005, 17:06

Hallo Robert,

Wundert mich aber schon das soetwas die Hotline nicht weiss.

MS ist in diesem Bereich nicht das Mass aller Dinge, sondern eher unter 'sonstige' einzustufen. Aber offenbar denkt MS da ganz anders und meint, jedem seinen proprietären Sch*** aufzwingen zu müssen.

Gruß

Mario

Robert Gerster · Beitrag von **Robert Gerster** » 27 Dez 2005, 17:22

Nun der ISA ist sicher kein Scheiss, aber hier treffen wohl zwei Weltanschauungen aufeinander. Und auch wenn Du meinst das MS nicht das Mass der Dinge ist, könnte man doch erwarten das dies bei einer Hotline bekannt ist. Somit hätten die sich selbst und auch mir viel Arbeit sparen können.

omd · Beitrag von **omd** » 27 Dez 2005, 17:48

eddia hat geschrieben:MS ist in diesem Bereich nicht das Mass aller Dinge, sondern eher unter 'sonstige' einzustufen. Aber offenbar denkt MS da ganz anders und meint, jedem seinen proprietären Sch*** aufzwingen zu müssen.

Was ist an L2TP/IPSec proprietär?

Gruß,
omd

backslash · Beitrag von **backslash** » 27 Dez 2005, 18:19

Hi omd

Was ist an L2TP/IPSec proprietär?

Die Art und Weise, wie MS es einsetzt. Wenn man es einfach nur per Wizard einrichtet, dann erzwingt MS, daß über dem IPSec noch ein L2TP gemacht wird - nur damit drüber noch IPX und NetBEUI gemacht werden können. Das ist vollkommen unnötig.

Man sollte auch den ISA dazu bringen können, das ganze OHNE L2TP hinzukriegen. Aber es ist sicherlich nicht die Aufgabe des LANCOM-Supports das einzurichten - dafür ist MS zuständig. Und wenn die sich auf den Standpunkt stellen, daß es ausser MS nichts gibt, dann ist diese Lösung nur als proprietär zu bezeichnen.

Gruß
Backslash

eddia · Beitrag von **eddia** » 27 Dez 2005, 19:28

Hallo Robert,

Nun der ISA ist sicher kein Scheiss, aber hier treffen wohl zwei Weltanschauungen aufeinander.

zum einen wollte ich den ISA nicht schlechtmachen, zum anderen auch kein MS-Bashing betreiben.

Es ist nur die Art und Weise, wie MS mit gewohnter Überheblichkeit versucht, L2TP als Quasi-Standard zu etablieren. Nach der Devise: "Wir sind MS und machen L2TP - also richtet euch danach". Dabei ist L2TP ausserhalb von MS überhaupt nicht angesagt, da es ja eine pure IPSec-Implementation gibt. Und genau mit diesem puren IPSec wirst Du mit allen anderen Herstellern dieser Welt auch eine Verbindung mit einem Lancom einrichten können.

Beschwere Dich also bei MS, dass sie so ignorant sind.

Gruß

Mario

Aragorn · Beitrag von **Aragorn** » 28 Dez 2005, 23:59

Hallo Robert,

ich habe gerade etwas in der Microsoft Knowledgebase gestörbert.

http://www.microsoft.com/germany/techne ... 00631.mspx

Nach diesem Dokument ist es durchaus möglich eine reine IPSec Verbindung auf einem ISA 2004 einzurichten.

Gruss
Markus