ISA 2004 + remote site via routers - Netwerken

zaterdag 8 december 2007 23:58

Acties:

Verwijderd

Topicstarter

Hoi,

Ik zit met de volgende situatie waar ik op dit moment niet uitkom,

Situatieschets
Twee isa 2004 SP3 servers onder w2k3 met daarachter een router welke een IPSEC verbinding met elkaar hebben. Ik kan vanaf beide ISA servers de routers pingen, waaruit blijkt dat de routers ondeling wel verbinding met elkaar hebben en elkaar kunnen vinden. Het hierachter liggende netwerk kunnen ze dus alleen niet vinden.

Wat heb ik gedaan om dit te wel voor elkaar te krijgen?
Nu heb ik op beide routers een static route toegevoegd naar de interne netwerken achter beide isa servers, en ook network objects toegevoegd en via network rules een routing toegevoegd. Daarnaast via de firewall policies toestemming gegeven voor verkeer over deze verbinding.

Ik kan alleen het interne netwerk aan een van beider zijden van de routers niet bereiken. Ligt dit probleem bij de routers, of is dit een ISA instelling?

Het gebruikte type router is Draytek Vigor 2900 met de laatste firmware, als alternatief kan ik deze ook inzetten om en ze aan het interne netwerk hangen, dit is alleen een minder veilige en ook niet controleerbare oplossing denk ik.

Waarom niet ISA2004 in een remote site configuratie?
Hier is bewust niet voor gekozen, de VPN via de routers lijkt vooralsnog stabieler.

Ik hoop dat jullie hier voldoende aan hebben, als dit niet zo is, dan hoor ik dit natuurlijk graag!

Groet,

Xander

zondag 9 december 2007 09:23

Acties:

Predator

Suffers from split brain

Geef eens de routetabellen van de ISA's en de vigor's.

Everybody lies | BFD rocks ! | PC-specs

zondag 9 december 2007 11:00

Acties:

TG

en wat geeft de monitoring van ISA aan?

maandag 10 december 2007 17:27

Acties:

Postmen

Heb je hiervoor een nieuw netwerk aangemaakt? Probeer het eens met een Computer Set. Dit omdat ISA in elk netwerk ook een eigen interface moet hebben. De bestaande network rules moet je dan natuurlijk wel aanpassen naar de nieuwe Computer Set!

[ Voor 23% gewijzigd door Postmen op 10-12-2007 17:28 ]

vrijdag 14 december 2007 10:57

Acties:

Postmen

Laat even weten of het gelukt is. Ben erg benieuwd!

vrijdag 14 december 2007 22:05

Acties:

Verwijderd

Ik heb nooit slechte ervaringen gehad met ISA naar ISA. Vertrouw het eerlijk gezegd meer dan Draytek naar Draytek

. Maar soms moet je roeien met de riemen die je hebt, dus hier wat tips:

De beide ISA Servers moeten van het bestaan van het remote netwerk afweten. De vraag is in dit geval of de Drayteks ook de toegang tot het internet verschaffen (m.a.w. zijn de Drayteks de default gateways?) In dat geval is het niet nodig om een route naar de remote netwerken toe te voegen, omdat die er al is (0.0.0.0/0.0.0.0).

Zo niet, dan moet je op de ISA Servers dus een route toevoegen. Stel dat het IP-adres van het remote netwerk 192.168.0.0/24 is en het IP-adres van de Draytek aan de kant van het niet-remote netwerk is 192.168.1.1, dan maak je de volgende route aan op de ISA Server: route add 192.168.0.0 mask 255.255.255.0 192.168.1.1. Het aanmaken van een route relation en een network in ISA Server is dus niet genoeg!

Waar je ook naar moet kijken is hoe de Drayteks omgaan met packets met een source IP dat niet in het interne netwerk van de Draytek thuishoort. Bij een Cisco-router bijvoorbeeld is het nodig om het interne segment (dus aan de binnenkant van de ISA-server) toe te voegen aan de ACE op basis waarvan de Cisco-router de packets over de tunnel stuurt.