Re: IPSec Site-to-Site Probleme

Tech-Archive recommends: Fix windows errors by optimizing your registry

Hi,

die S2S Verbindungen werden auf der Remote Seite mit versch. Hardware
Firewalllösungen, also nicht ISA, umgesetzt.

da koennte es auch schon dran liegen dass die anderen Firewalls da mitspielen, da der Traffic diese ja durchlaeuft. Evtl. werden dort schon Pruefungen vorgenommen, Einstellungen veraendert. Lassen die anderen Firewalls den VPN Traffic wirklich blind 1.1 durch?

Auf unserer Seite liegt
noch ein DSL Router (SHDSL) CISCO Soho 78 dazwischen, der laut Provider
den Traffic komplett durchroutet auf den ISA.

logge Dich vom Router mal ein und setze ein Ping auf das Gegenstueck ein. Geht zwar am VPN vorbei, aber nur mal so zum testen OK um zu sehen wo was geht / nicht geht

Ich habe mal einen normalen Dauerping gestartet und festgestellt, dass
regelmäßig alle 4:05 bis 4:40 Minuten Timeouts kommen, wobei die
Timeouts so ca. für 1:10 bis 1:30 Minuten andauern.

Also, liegt es wohl an der Leitung bzw. unserem Router, nicht am ISA?

Denke schon, wenn der Test am Tunnel vorbei gemacht wurde. Ich wuerde mal Verbindungstests von SOHO78 zu Hardware Firewall durchfuehren
Du sprichst von mehreren Hardware Firewallloesungen. Sind vor dem Remote ISA noch weitere Firewalls oder nur eine?
Du wirst nicht drum rum kommen Dich Schritt fuer Schritt ran zu testen. Fang mit Verbindungstests von aussen nach innen (also erst zwischen den beiden Endgeraeten quasi im Internet), dann immer mehr nach Innen gehen.
Ohne Koordination / Kooperation mit den anderen Firewalljungs wird das schwer

Sollte ich unseren DSL Provider mal ansprechen, doch was soll ich sagen
bzw. checken lassen?

der DSL Provider koennte zumindest mal einen Leitungstest durchfuehren und Dir das Log schicken um zu sagen ob die Leitung sauber steht. Ich vermute aber eher die Kombination DEIN ISA --- Dein SOHO78 --- INTERNET --- HARDWARE FIREWALL KUNDE --- ISA KUNDE, wobei ich wie gesagt beide ISA ausschliessen wuerde, da beide Endpunkte vom gleichen Hersteller kommen und am kompatibelsten sein sollten.
Schade, der Cisco kann kein Site to Site VPN wenn ich mich nicht irre, sonst koenntest Du S2S mal mit cisco - Hardware Firewall oder ISA testen. Das waere auch noch ne Idee. S2S VPN mit Deinem ISA und Hardware Firewall auf der Gegenseite um einen Hop weniger als Fehlerquelle zu haben.

Gruss jens
www.nt-faq.de

.

Relevant Pages

  • Re: Travelling laptops over VPN
    ... so I may have to ask another tech at Cisco. ... I use the Cisco VPN client to connect to the VPN, ... VPN Dialup connection. ... with if I don't have a properly established firewall. ...
    (microsoft.public.windowsxp.work_remotely)
  • Re: Travelling laptops over VPN
    ... so I may have to ask another tech at Cisco. ... I use the Cisco VPN client to connect to the VPN, ... VPN Dialup connection. ... with if I don't have a properly established firewall. ...
    (microsoft.public.windowsxp.security_admin)
  • Re: Is this ISA server setup right or wrong?
    ... > pix 501 and a vpn between the sites. ... > to implement an ISA server behind the pix firewall at the ... The remote VPN subnets (private IP ...
    (microsoft.public.isa)
  • Re: Umstellung von Edgefirewall zu Backfirewall mit WLAN
    ... Die lasse ich auch nur mit VPN rein. ... Beim Speedport gibt s die Einstellmöglichkeit für VPN Passthrough, ... (doppelte Firewall, doppelte Sicherheit?) ... Den VPN Zugang wuerde ich auch am ISA machen lassen und nicht am Speedport. ...
    (microsoft.public.de.german.isaserver)
  • Re: PPTP Server publishing in ISA 2004 doesnt work?
    ... But the ISA 2004 firewall allows you very fine, ... what resources the user can access once the VPN connection is established. ... Tom and Deb Shinder's Configuring ISA Server 2004 ...
    (microsoft.public.isa)