Remote Desktop via VPN door ISA

Hoi mensen!

Ik zit met een probleem, en ik kom zelf er niet meer uit. Via de search vind ik niets wat in de richting komt, en via google heb ik al veel dingen gevonden, maar helaas nog niet de oplossing.

We zitten met 2 kantoren. Kantoor 1 is het hoofdkantoor. Beide bedrijven zitten op een apart domein.

Bedrijf 1 heeft enkele servers, maar om het kort te houden, gaat het om 1 van die servers, namelijk de Terminal Service Server. Hier draait Windows 2003 Server op. De verbinding is natuurlijk beveiligd door een Firewall.

Bedrijf 2 heeft een server. Hier staat Windows 2000 Small Bussiness Server op geinstalleerd.

Dit is een beetje de situatie. Ze liggen ver van elkaar verwijderd. Nu zijn er mensen die vanuit bedrijf 2 moeten kunnen werken op de server van Bedrijf 1. Dit kan natuurlijk makkelijk door een VPN op te bouwen tussen de 2 bedrijven. Daarvoor is de Firewall bij bedrijf 1 al geconfigureerd. Het is op verschillende plaatsen getest, van thuis uit, en vanuit andere bedrijven, maar nog niet door een ISA server. En bij bedrijf 2, waar ze dus W2K SBS hebben, draait ook een ISA server 2000.

Vervolgens gingen we configureren, de juisten poorten open zetten en regels aanmaken. De VPN kon 1 minuut later al opgebouwd worden, dit was niet zo moeilijk. Hierna wilde we Remote Desktop Connection (De nieuwe TS) starten, om zodoende verbinding te maken met de server van bedrijf 1. Echter lukte dit niet. Na wat zoeken op internet bleek dat er wat poorten open gezet moesten worden, wat ik persoonlijk raar vind, want ik dacht dat als je een VPN opgezet had, het verkeer ook door die tunnel liep. Maargoed, het komt blijkbaarniet door de ISA server heen, want als we er een telefoonlijntje inpluggen en daarmee verbinding maken,lukt het meteen.

Zelfs pingen vanuit beide kanten lukt niet, als de VPN is opgebouwd.

Het komt dus zeer waarschijnlijk door de ISA server, want in alle andere gevallen lukt het werken via VPN en Remote desktop connection wel goed.

We maken via Remote Desktop connection natuurlijk verbinding via het IP adres, dus dat is het natuurlijk niet ;-) (logisch zonder de juiste DNS)

We hebben een regel aangemaakt waardoor hij al het IP traffic doorlaat, maar schijnbaar is er iets anders. IIG poort 3389 en 4125 zijn opengezet in beide richtingen.

Heeft iemand misschien een Idee??
Gr. RaptoriuS

EVen korte reactie op bovenstaande 2 antwoorden:

Het betrefd 1(!) ISA server op bedrijf 2. Op bedrijf 1, de hoofdverstiging, maken we geen gebruik van ISA. Want daar hebben we een hardware matige firewall, die ook de VPN regelt.

Het pingen doen we natuurlijk naar het interne ip adres (het externe IP adres bestaat niet bij deze servers) We volgen de zelfde stappen die we thuis, andere bedrijven, via telefoonlijn.. noem maar op, dezelfde stappen doen we nu ook. JE zet een VPN op, en dan maak je via het INTERNE ip adres verbinding. dit werkt overal, behalve hier. alleen de VPN gebruikt natuurlijk het externe IP adres van de Firewall voor de VPN te openen en op te bouwen.

Routering staat hier toch totaal los van??
Je zet een VPN op vanuit bedrijf 2(door de isa server), hierdoor krijg je een INTERN IP adres van bedrijf 1, en daarna kun je via Remote Desktop het netwerk van bedrijf 1 op...

Of wat bedoel je met routering?? Ik neem aan dat als je een ip adres toegewezen krijgt van bedrijf 1, dat je dan gewoon (zoals overal werkt) verbinding kan maken met de servers. Echter dit werkt dus niet

[ Voor 6% gewijzigd door Verwijderd op 25-05-2004 13:29 ]

CyberJ schreef op 25 mei 2004 @ 13:36:


LOL, je begrijpt toch wel dat hij een soort NAT routertje zal bedoelen

Om precies te zijn... Een Cisco Pix uit de 500 serie..

Maar dat routeren zal ik eens doorlezen, al klinkt dat nieuw in de oren voor mij :-P

ik zal wat gegevens geven (niet precieze, maar ik vul dan de goede in hier ), misschien dat jullie me erbij kunnen helpen, zo te horen is dat kinderspel voor jullie

Bedrijf 1 Firewall extern ip adres is 80.100.100.100
Bedrijf 1 Windows 2003 intern ip adres 192.168.100.1

Bedrijf 2 windows 2000 sbs server extern ip adres 260.250.128.14
bedrijf 2 intern ip adres workstation 192.168.200.40
Bedrijf 2 ip adres VPN na opbouwen VPN 192.168.111.3

Zo zit het hier in elkaar. Wat moet ik precies routen nu?

Mooie uitleg, ik zei dat dat nieuw in de oren klonk, maar ik weet wel hoe het werkt en wat het inhoud. Echter bedoelde ik dat het nieuw in de oren klonk in combinatie met een VPN.

Een vpn maakt toch een netwerkverbinding tussen 2 plekken, laten we even pc's zeggen, tussen 2 pc's die via het internet elkaar willen benaderen. Je kunt die toch zonder routering gewoon pingen?? Moet ik gaan routeren omdat ik hier op een domein zit of/en achter een ISA server?? Thuis kan ik gewoon (netwerk & router) een vpn maken, en dan kan ik meteen de server op op de zaak, en ook pingen natuurlijk,zonder iets aan de router te doen....

Ik heb dat doorgelezen, en ik snap het wel, alleen loop ik tegen een probleem aan. Als ik een route wil toevoegen, moet ik de destination opgeven. Nou dat is de Firwall van bedrijf 1.
De subnet mask is het bijbehorende subnet van het EXTERNE ipadres van de firewall van bedrijf 1 (toch??)
dan komt het probleem. Nu moet ik de gateway opgeven.

Op het moment dat ik nog GEEN VPN verbinding heb, kan ik het externe firewall ip adres pingen. Ik kan ook het INTERNE ipadres pingen van de router (isa server in dit geval bij bedrijf 2) waar ik direct achter zit bij bedrijf 2. ZODRA ik een VPN opbouw, kan ik geen verbinding meer maken met het netwerk en zodoende ook alle interne ip adressen niet pingen. Dit betekend dus ook dat ik de router niet kan opgeven als ipadres in een ROUTE, want dan bestaat dat adres dus op dat moment niet, want ik kan hem nieteens pingen. Welk adres moet ik in hemelsnaam dan opgeven als gateway????? Wat doe ik fout?

[ Voor 11% gewijzigd door Verwijderd op 25-05-2004 14:30 ]

Verwijderd schreef op 25 mei 2004 @ 17:25:
ik denk dat de ts vanaf zijn client een vpn probeert te maken naar de pix. ipv isa zo in te stellen dat als er verkeer naar het interne segment van de hoofdvestiging moet, de isa server een vpn opzet naar de pix en andersom natuurlijk...

ff schematisch...

client---isa---www---pix---client
-----------------------(vpn)

client
|
isa---www---pix
----------------(vpn)

Precies!

Het probleem is dat als er een VPN opgebouwd word, dat de overige mensen daar last van hebben. Het lukte niet om te zorgen dat er EN een VPN tunnel werd opgebouwd, EN dat het normale internetverkeer goed liep. Daarom probeerde ik om via een VPN client rechtstreeks een VPN op te zetten, op een client PC, wat wel lukte. alleen de routering gaat dus schijnbaar fout.

Als ik zorg dat de client als standaard gateway het ip van de client zelf heeft, zou het dan wel werken???

Het is me duidelijk allemaal!

Ik heb me de laatste tjid hier even niet mee bezig gehouden, maar volgende week wil ik dit voor elkaar krijgen. Alleen is er een probleem. Als standaard gateway zou ik dan dus 192.168.200.0 op moeten geven (in het voorbeeld). Maar door het opbouwen van een VPN krijgt hij dus een IP adres van het netwerk van bedrijf 1, wat een scope is.. dus dit veranderd elke keer, de kans is iig klein dat dit altijd hetzelfde is. Stel dat die scope 192.168.110.(1 tot 20) is.. kan ik dan 192.168.110.0 opgeven als gateway, enzoja, werkt dit?

En volgens mij kan ik 127.0.0.1 niet gebruiken bij een routeringsregel, tenminste, niet als gateway.. of vergis ik mij hierin?

[ Voor 10% gewijzigd door Verwijderd op 17-06-2004 16:21 ]