ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher
VPN mit PPTP
VPN mit PPTP
VPN Site to Site
VPN Quarantäne
VPN-Client Win98
VPN-Client PocketPC
VPN-Client WinXP
VPN Quarantäne Suite
VPN mit Sonicwall
VPN Site to Site mit Zertifikaten

 

L2TP Site to Site VPN mit Zertifikaten


Die Informationen in diesem Artikel beziehen sich auf:

  • Microsoft ISA Server  2004
  • Microsoft Windows Server 2003

 

Sehr viele Firmen haben neben ihrem Hauptsitz noch kleinere Zweigstellen die auf Daten im Hauptsitz zugreifen müssen. Bislang wurde dies meistens über eine teure Standleitung zwischen den Standorten realisiert. ISA Server 2004 unterstützt die Verbindung von Standorten untereinander über sogenannte Virtuelle private Netzwerke. Dabei wird die Verbindung über das Internet aufgebaut und die monatlichen kosten für die Standleitung können eingespart werden. Zudem ist eine VPN-Verbindung über das Internet meistens breitbandiger als eine Standleitung zwischen den beiden Standorten.

Für die Standortverbindungen über VPN unterstützt ISA Server 2004 die Protokolle PPTP, L2TP/IPSec und IPSec, wobei letzteres für Verbindungen mit Firewallprodukten von Drittherstellern gedacht ist. Wie sieht es bei den Protokollen mit der Sicherheit der Daten aus, immerhin werden diese über das Internet transportiert?

Das Protokoll PPTP ist einfach einzurichten und funktioniert meistens problemlos, gilt aber als nicht so sicher wie L2TP/IPSec und IPSec, aufgrund dessen, dass die Verschlüsselung bei PPTP nur so gut ist, wie das Kennwort des Benutzers und aufgrund der fehlenden gegenseitigen Authentifizierung der Kommunikationspartner. Bei L2TP/IPSec ist es möglich die Kommunikationspartner gegenseitig anhand eines Preshared Keys zu authentifizieren, dadurch kann sichergestellt werden, dass es sich hierbei auch wirklich um den VPN-Server bzw. Client handelt. Die Verschlüsselung wird anhand dieses Keys generiert, was darauf schließen lässt, dass dieser Key sehr komplex und lang sein sollte. Problem bei der Verwendung von Preshared Key ist, dass ISA Server 2004 einen Preshared Key für alle VPN-Verbindungen verwendet, somit muss bei einer Änderung der Preshared Key an jedem Client und Server geändert werden, was aus Sicherheitsgründen regelmäßig vorgenommen werden sollte. In größeren Umgebungen ist dies fast unmöglich und er Einsatz von Zertifikaten unabdingbar.

In dieser Anleitung erfahren Sie, wie Sie ISA Server 2004 für eine L2TP/IPSec Standortverbindung mit Zertifikatsauthentifizierung konfigurieren müssen.

In folgender Abbildung sehen Sie den Netzwerkaufbau der Beispielfirma.



Es existieren die Standorte München und Berlin zwischen denen eine Standortverbindung aufgebaut werden soll. Der Standort Berlin soll Zugriff auf die Ressourcen des Standorts München bekommen.
Für den Aufbau der Standortverbindung sind Zertifikate notwendig. Diese erhalten Sie entweder von einem kommerziellen Anbieter, wie z.B. Verisign oder TC Trustcenter, oder Sie können sich hierfür eine eigene Zertifizierungsstelle installieren. In dieser Anleitung existiert in der DMZ des Standorts München bereits eine allein stehende Zertifizierungsstelle, die hierfür verwendet wird.

1. Vertrauen der Zertifizierungsstelle

Zunächst ist es wichtig, dass beide ISA Server 2004 der Zertifizierungsstelle vertrauen, ansonsten würde keine Verbindung zustande kommen. Hierzu müssen Sie das Zertifizierungsstellenzertifikat herunterladen und in den Speicher der Vertrauenswürdigen Zertifizierungsstellen des Computerkontos importieren.

Hinweis: Der Zugriff auf die Website der Zertifizierungsstelle muss vom ISA Server aus möglich sein. Fügen Sie ggf. die URL den erlauben Websites hinzu.



Öffnen Sie hierzu ein Browserfenster und rufen Sie die URL der Zertifizierungsstelle mit dem Pfad /CertSrv auf. Klicken Sie auf die Auswahl Download eines Zertifizierungsstellenzertifikats, einer Zerifikatkette oder einer Sperrliste.



Laden Sie das Zertifizierungsstellenzertifikat über den Link Download des Zertifizierungsstellenzertifikates herunter und speichern Sie es auf dem Computer oder einem beliebigen Speichermedium ab.

Das eben heruntergeladene Zertifikat muss nun in den Zertifikatsspeicher der Vertrauenswürdigen Stammzertifizierungsstellen des Computers importiert werden. Öffnen Sie hierzu eine neue Verwaltungskonsole über Start -> Ausführen -> MMC. Für die Verwaltung der Zertifikate benötigen Sie den Zertifikatsspeicher des Computers. Drücken Sie hierzu die Tastenkombination STRG + M und fügen Sie über die Schaltfläche Hinzufügen das Zertifikats-Snapin des lokalen Computers hinzu. Nachdem Sie die Snapins hinzugefügt haben, sollte die Verwaltungskonsole wie in folgendem Bild abgebildet aussehen.



Importieren Sie das Zertifizierungsstellenzertifikat indem Sie zunächst zum Zertifikatsspeicher der Vertrauenswürdigen Stammzertifizierungsstellen navigieren und wählen Sie anschließend aus dem Kontextmenu über die rechte Maustaste Alle Tasks -> Importieren aus.



Der Assistent für den Import des Zertifikats wird gestartet.



Wählen Sie den Speicherort des vorhin heruntergeladenen Zertifizierungsstellenzertifikats über die Schaltfläche Durchsuchen aus.



Sie haben die Möglichkeit anzugeben in welchem Zertifikatsspeicher das Zertifikat hinterlegt werden soll. Dadurch, dass die bereits im Zertifikatsspeicher für Vertrauenswürdige Stammzertifizierungsstellen sind wird automatisch dieser Speicherort übernommen.



Beenden Sie den Assistenten über die Schaltfläche Fertigstellen, um den Importvorgang zu starten.

Hinweis: Diese Schritte müssen auf beiden ISA Servern ausgeführt werden, damit diese Zertifikaten der Zertifizierungsstelle vertrauen.
 

2. Ausstellen von IPSec-Zertifikaten

Nachdem Sie das Zertifizierungsstellenzertifikat an beiden Standorten erfolgreich importiert haben benötigen Sie noch Zertifikate auf den ISA Servern, die für die Verschlüsselung verwendet werden. Öffnen Sie hierzu wieder ein Browserfenster auf dem ISA Server und rufen Sie die Website der Zertifizierungsstelle auf.
 

2.1 Ausstellen von IPSec-Zertifikaten für den Standort Berlin



Um ein neues IPSec Zertifikat zu beantragen wählen Sie den Task Ein Zertifikat anfordern aus.



Das IPSec-Zertifikat wird in der Standardauswahl nicht angeboten. Klicken Sie deshalb auf den Link für die erweiterte Zertifikatsanforderung.



Es gibt zwei Möglichkeiten die Zertifikatsanforderung einzureichen. Einmal durch die Eingabe der gesamten Informationen in der Weboberfläche oder durch einreichen einer Datei, die die Zertifikatsinformationen beinhaltet. Klicken Sie auf den Link eine Anforderung an diese Zertifizierungsstelle erstellen und einreichen, um das Zertifikat durch Eingabe der Informationen direkt über die Weboberfläche zu erstellen.



Füllen Sie die Eingabefelder mit den benötigten Informationen aus und wählen Sie als Zertifikatsvorlage IPSec-Zertifikat aus.



Setzen Sie den Haken bei der Option Zertifikat im lokalen Zeritifkatsspeicher aufbewahren, damit das Zertifikat im Zertifikatsspeicher des Computers hinterlegt wird. Klicken Sie nach Eingabe der Informationen auf die Schaltfläche Einsenden.



Abhängig von der Zertifizierungsstelle wird das Zertifikat sofort ausgestellt oder muss erst durch einen Administrator beglaubigt werden. Diese Zertifizierungsstelle wurde so konfiguriert, dass die Zertifikate sofort ausgestellt werden können. Klicken Sie zum Installieren des Zertifikats auf den Link Dieses Zertifikat installieren.



Der erfolgreiche Import des Zertifikats wird auf der Website bestätigt.

Nachdem Sie das Zertifikat für den Standort Berlin ausgestellt und installiert haben, müssen Sie diese Schritte für den Standort München Wiederholen. Melden Sie sich hierzu am ISA Server an und öffnen Sie ein Browserfenster und rufen wiederum die URL der Zertifikatsdienste auf.
 

2.1 Ausstellen von IPSec-Zertifikaten für den Standort München

Die Schritte für die Erstellung des Zertifikats unterscheiden sich nicht von denen für den Standort Berlin. Deshalb werden in dieser Anleitung hier nur auf die wichtigen Schritte eingegangen.



Füllen Sie die Eingabefelder mit den benötigten Informationen aus und wählen Sie als Zertifikatsvorlage IPSec-Zertifikat aus.



Setzen Sie den Haken bei der Option Zertifikat im lokalen Zeritifkatsspeicher aufbewahren, damit das Zertifikat im Zertifikatsspeicher des Computers hinterlegt wird. Klicken Sie nach Eingabe der Informationen auf die Schaltfläche Einsenden.

 

3. Erstellen der VPN-Standortverbindung

Nachdem Sie auch dieses Zertifikat erfolgreich ausgestellt und importiert haben müssen Sie die beiden ISA Server für die Standortverbindung konfigurieren. Zunächst wird auf beiden ISA Servern ein Benutzerkonto mit Einwahlberechtigungen benötigt. Öffnen Sie hierzu die Benutzerverwaltung über Arbeitsplatz -> Verwalten und erstellen Sie unter Lokale Benutzer und Gruppen -> Benutzer ein neues Benutzerkonto mit folgenden Einstellungen:

3.1 Erstellen eines Benutzerkontos für die Einwahl am Standort Berlin



Tragen Sie als Benutzername VPN_Munich ein und vergeben Sie ein sicheres Kennwort. Deaktivieren Sie die Möglichkeit der Kennwortänderung durch den Benutzer. Wichtig ist auch, dass Sie das Kennwort nicht ablaufen lassen ansonsten wird je nach Einstellung die Einwahl irgendwann mal nicht mehr funktionieren. Trotzdem sollte das Kennwort in regelmäßigen Abständen aus Sicherheitsgründen geändert werden. Klicken Sie zum Abschluss auf die Schaltfläche Erstellen und öffnen Sie anschließend die Eigenschaften des eben erstellten Benutzers.



Damit dieser Benutzer so wenig Rechte wie möglich hat entfernen Sie ihn aus der Gruppe der Benutzer und fügen Sie ihn in die Gruppe der Gäste hinzu.



Um diesen Benutzer die Einwahl zu erlauben müssen Sie unter der Registerkarte Einwählen die RAS-Berechtigungen auf Zugriff gestatten ändern.
Das Anlegen des Benutzers am Standort Berlin ist somit abgeschlossen und es muss ein weiterer Benutzer am Standort München für die Einwahl konfiguriert werden.
 

3.2 Erstellen eines Benutzerkontos für die Einwahl am Standort München

Öffnen Sie wieder zum Anlegen eines Benutzers die Verwaltungskonsole über Arbeitsplatz -> Verwalten und erstellen Sie einen neuen lokalen Benutzer über Lokale Benutzer und Gruppen -> Benutzer mit folgenden Einstellungen:



Als Benutzername tragen Sie VPN_Berlin und vergeben Sie ein sicheres Kennwort. Wie am Standort Berlin deaktivieren Sie die Optionen für den Kennwortablauf und die Änderung des Kennworts. Klicken Sie abschließend auf die Schaltfläche Erstellen und öffnen Sie die Eigenschaften des Benutzers.



Um diesen Benutzer wieder nur minimale Rechte auf dem Server zu geben entfernen Sie ihn aus der Gruppe der Benutzer und fügen ihn in die Gruppe der Gäste hinzu.



Vergeben Sie dem Benutzer wieder Einwahlrechte unter der Registerkarte Einwählen indem Sie die Option Zugriff gestatten unter den RAS-Berechtigungen auswählen. Nachdem Sie an beiden Standorten einen Benutzer für die Einwahl erstellt haben müssen Sie im ISA Server die VPN-Standortverbindung konfigurieren.

4. Konfiguration der VPN-Standortverbindung

Damit beide Standorte miteinander kommunizieren können, müssen Sie das entfernte Netzwerk durch ein Remotestandortnetzwerk im ISA Server konfigurieren. Öffnen Sie hierzu die Verwaltungskonsole des ISA Server 2004 und navigieren Sie zum Knoten Virtuelle Private Netzwerke (VPN) und wechseln Sie zur Registerkarte Remotestandorte.

4.1 Konfiguration der VPN-Standortverbindung am Standort Berlin



Blenden Sie den Aufgabenbereich ein und erstellen Sie einen neuen Remotestandort über die Aufgabe Remotestandortnetzwerk hinzufügen.



Es öffnet sich der Assistent für die Remotestandortkofniguration. Zunächst erfordert der Assistent die Eingabe des Namens für den Remotestandort. Hier müssen Sie darauf achten, dass der Name gleich dem Benutzernamen ist, den Sie auf dem Remotestandort erstellt haben. ISA Server bzw. Routing und RAS erkennt anhand des Benutzernamens, dass es sich um eine Standortverbindung handelt. In diesem Assistenten wird später durch einen Hinweis erneut darauf hingewiesen.



Wählen Sie das Protokoll L2TP/IPSec als Tunnelprotokoll für die Standortverbindung aus.



Zur Sicherheit werden Sie darauf hingewiesen, dass der Name des lokalen Remotestandortnetzwerks mit dem Benutzernamen des Benutzerkontos für die Einwahl auf dem Remoteserver übereinstimmen muss.



Tragen Sie den FQDN oder die IP-Adresse des ISA Servers des Standorts München ein, unter der dieser aus dem Internet erreichbar ist.



Aktivieren Sie die Option, dass dieser ISA Server eine Verbindung zum Remotestandort aufbauen darf und tragen Sie die benötigten Informationen ein. Als Benutzernamen verwenden Sie den Benutzernamen des Benutzerkontos, das auf dem entfernten ISA Server dafür eingerichtet wurde. Die Anmeldedomäne entspricht dem Netbios-Namen des entfernten ISA Servers, da es sich um einen lokalen Benutzer handelt. Tagen Sie abschließend das Kennwort des Benutzers ein.



In diesem Schritt erfordert der Assistent die Angabe, über die gegenseitige Authentifizierung. Standardeinstellung ist, dass Zertifikate verwendet werden. Sie haben auf beiden ISA Servern jeweils ein IPSec-Zertifikat installiert, das für diese Zwecke verwendet werden soll.



Damit der ISA Server weis, wann er die VPN-Standortverbindung aufbauen muss, müssen Sie angeben, welche IP-Adressbereiche am Remotestandort verwendet werden. Fügen Sie diese über die Schaltfläche Hinzufügen hinzu.

Hinweis: Fügen Sie Netzwerke immer durch Angabe der Netzwerkadresse und der Broadcastadresse hinzu, ansonsten erhalten Sie eine Fehlermeldung im Ereignisprotokoll, dass ISA Server Probleme mit der Routingkonfiguration hat.



Die Konfiguration durch den Assistenten ist nun abgeschlossen. Sie bekommen eine Zusammenfassung der Konfiguration angezeigt, die Sie für Dokumentationszwecke sichern sollten.

4.2 Konfiguration der VPN-Standortverbindung am Standort München

Für die Einwahl des Standorts Berlin muss am ISA Server in München das Remotenetzwerk bekannt gemacht werden. Öffnen Sie hierzu die Verwaltungskonsole des ISA Servers und navigieren Sie zum Knoten Virtuelle Private Netzwerke (VPN) und wechseln Sie zur Registerkarte Remotestandorte. Starten Sie aus dem Aufgabenbereich den Assistenten für die Remotestandortkonfiguration über die Aufgabe Remotestandortnetzwerk hinzufügen.



Tragen Sie im Assistenten den Namen für das Remotestandortnetzwerk ein. Dieser muss ebenfalls mit dem dafür angelegten Benutzerkonto für die Einwahl auf dem entfernten ISA Server übereinstimmen.



Wählen Sie auch hier das Protokoll L2TP/IPSec als Tunnelprotokoll für die Standortverbindung aus.



Zur Sicherheit werden Sie darauf hingewiesen, dass der Name des lokalen Remotestandortnetzwerks mit dem Benutzernamen des Benutzerkontos für die Einwahl auf dem Remoteserver übereinstimmen muss.



Geben Sie den FQDN oder die IP-Adresse des ISA Servers des Standorts Berlin an, unter der dieser aus dem Internet erreichbar ist.



Aktivieren Sie auch hier die Option, dass dieser ISA Server eine Verbindung mit dem entfernten ISA Server aufbauen darf, ansonsten könne sich hier nur der Remotestandort einwählen. Als Benutzernamen tragen Sie den Benutzernamen des dafür erstellten Benutzerkontos auf dem entfernten ISA Server ein. Die Domäne entspricht dem Netbios-Namen des entfernten ISA Servers, da es sich um einen lokalen Benutzer handelt. Tragen Sie abschließend noch das Kennwort des Benutzers ein.



Der ISA Server am Standort Berlin wurde für die Authentifzierung durch Zertifikate konfiguriert. Belassen Sie die Einstellungen auf dem Standard, da die Authentifizierung mit Zertifikaten standardmäßig verwendet wird.



Fügen Sie die IP-Adressbereiche des Standorts Berlin über die Schaltfläche Hinzufügen hinzu. Beachten Sie auch hier, dass Sie Netzwerke immer komplett angeben müssen.



Abschließend bekommen Sie die Konfiguration für die Remotestandortverbindung in einer Zusammenfassung angezeigt. Der Assistent für die Remotestandortverbindung ist hiermit beendet.

Die Konfiguration der Remotestandortverbindungen ist somit abgeschlossen und Sie müssen konfigurieren in welcher Netzwerkbeziehung das lokale Netzwerk und der Remotestandort stehen sollen.
 

5. Konfiguration Netzwerkbeziehungen

Die Konfiguration der Netzwerkbeziehung zwischen dem internen Netzwerk und dem Remotestandort wird sehr oft vergessen. Dies hat zur Folge, dass kein Datenverkehr zwischen den beiden Netzwerken stattfinden kann. Erstellen Sie eine neue Netzwerkkonfiguration, indem Sie in der Verwaltungskonsole des ISA Servers zum Knoten Konfiguration -> Netzwerke wechseln und über das Kontextmenu Neu -> Netzwerkbeziehung eine neue Netzwerkbeziehung erstellen.
 

5.1 Konfiguration Netzwerkbeziehungen am Standort Berlin



Vergeben Sie einen Namen für die Netzwerkbeziehung.



Fügen Sie das Netzwerk über die Schaltfläche Hinzufügen hinzu von dem der Datenverkehr ausgeht.



Geben Sie das Netzwerk über die Schaltfläche Hinzufügen an, in das der Datenverkehr gesendet wird.



Als Netzwerkverhältnis stehen die Verhältnisse Route und NAT zur Auswahl. Bei Route werden die Pakete mit der Original-IP-Adresse des Senders in das Remotenetzwerk weitergeleitet. Bei NAT wird das Paket manipuliert, indem die IP-Adresse des Senders durch die IP-Adresse des ISA Servers ausgetauscht wird. Wählen Sie eine Netzwerkbeziehung aus.



Abschließende wird Ihnen die Konfiguration der Netzwerkbeziehung in einer Zusammenfassung angezeigt.

Damit der Datenverkehr zwischen den Standorten übertragen werden kann, müssen Sie am Standort München ebenfalls eine Netzwerkbeziehung erstellen.

5.2 Konfiguration Netzwerkbeziehungen am Standort München

Erstellen Sie eine neue Netzwerkkonfiguration am Standort München, indem Sie in der Verwaltungskonsole des ISA Servers zum Knoten Konfiguration -> Netzwerke wechseln und über das Kontextmenu Neu -> Netzwerkbeziehung eine neue Netzwerkbeziehung erstellen.



Vergeben Sie einen Namen für die Netzwerkbeziehung.



Fügen Sie das Netzwerk über die Schaltfläche Hinzufügen hinzu, von dem der Datenverkehr ausgeht.



Wählen Sie das Netzwerk über die Schaltfläche Hinzufügen aus, in das der Datenverkehr gesendet werden soll.



Am Standort Berlin wurde als Netzwerkbeziehung Route gewählt, wählen Sie deshalb hier auch als Netzwerkbeziehung Route aus.



Der Assistent für die Netzwerkbeziehung ist somit beendet. Die Einstellungen der Netzwerkbeziehungen werden in einer Zusammenfassung angezeigt.

Neu im ISA Server 2004 ist, dass der Datenverkehr auf die benötigten Protokolle eingeschränkt werden kann. Im ISA Server 2000 wurde hier immer der gesamte Datenverkehr durchgelassen. Die Verbindung zwischen den beiden Standorten würde sich zwar aufbauen lassen, jedoch würde kein Datenverkehr übertragen werden können, da dies erst durch Zugriffsregeln erlaubt werden muss. Hierfür muss jeweils an beiden Standorten eine Firewallrichtlinie erstellt werden, die den Zugriff erlaubt.
 

6.1 Erstellen einer Firewallrichtlinie am Standort Berlin

Erstellen Sie eine neue Zugriffsregel in der Verwaltungskonsole des ISA Servers 2004 über das Kontextmenu Neu -> Zugriffsregel aus den Knoten Firewallrichtlinien.


Vergeben Sie einen Namen für die Zugriffsregel.



Wählen Sie als Aktion für die Zugriffsregel Zulassen aus, um Datenverkehr zwischen den Standorten zu ermöglichen.



Fügen Sie über die Schaltfläche Hinzufügen die benötigten Protokolle hinzu. In dieser Anleitung wird zur Vereinfachung der gesamte Datenverkehr zugelassen.



Geben Sie das Netzwerk über die Schaltfläche Hinzufügen an, von dem aus der Datenverkehr gesendet werden soll.



Als Ziel müssen Sie das Netzwerkobjet des Remotestandorts München über die Schaltfläche Hinzufügen auswählen.



Wenn Sie den Datenverkehr auf Benutzerebene Einschränken möchten, dann können Sie in diesem Schritt angeben, für welche Benutzer diese Regel gelten soll. Beachten Sie, dass hierfür der Firewallclient auf den Rechnern benötigt wird um Benutzerauthentifizierung für Protokolle, wie z.B. RDP, zu ermöglichen.



Die Erstellung der Regel ist abgeschlossen und Sie bekommen eine kurze Zusammenfassung angezeigt.



Die Regel für den Standortzugriff sollte wie im obigen Bild zu sehen aussehen.

Durch die eben erstellte Zugriffsregel ist es möglich Datenverkehr von Berlin zum Remotestandort München zu senden. Jedoch würde der Datenverkehr immer noch verweigert werden, da am Standort München noch keine Zugriffsregel existiert, die Datenverkehr vom Remotestandort Berlin in das lokale Netzwerk erlaubt. Hierzu müssen Sie am Standort München eine Regel erstellen, die den Zugriff erlaubt.
 

6.2 Erstellung einer Firewallrichtlinie am Standort München

Erstellen Sie eine neue Zugriffsregel in der Verwaltungskonsole des ISA Servers 2004 über das Kontextmenu Neu -> Zugriffsregel aus den Knoten Firewallrichtlinien.


Vergeben Sie einen Namen für die Zugriffsregel.



Wählen Sie als Aktion für die Zugriffsregel Zulassen aus, um Datenverkehr von Berlin aus zu erlauben.



Fügen Sie über die Schaltfläche Hinzufügen die Protokolle hinzu, die Sie in der Zugriffsregel am Standort Berlin erlaubt haben. In dieser Anleitung wird zur Vereinfachung der gesamte Datenverkehr zugelassen.



Geben Sie als Quellnetzewrk den Remotestandort Berlin über die Schaltfläche Hinzufügen an.



Fügen Sie als Zielnetzwerk das Netzwerk Intern über die Schaltfläche Hinzufügen hinzu.



Möchten Sie den Datenverkehr nur für bestimmte Benutzer ermöglichen, können Sie diese hier angeben. Dazu müssen allerdings beiden Standorte in gleichen Active Directory vorhanden sein, um hier die Remotebenutzer zu authentifzieren. Sollten an den Standorten zwei getrennte Active Directorys vorhanden sein, kann hier nicht nach Benutzer gefiltert werden. Die Authentifizierung muss dann am Remotestandort geschehen und hier keine Benutzerauthentifizierung gefordert werden.



Abschließend bekommen Sie die Konfiguration der Zugriffsregel in einer Zusammenfassung angezeigt.



Die Zugriffsregel für den Zugriff des Remotestandorts Berlin sollte wie oben abgebildet aussehen.

Durch die Erstellung der beiden Zugriffsregeln ist es Möglich Datenverkehr vom Standort Berlin nach München zu senden. Sollten Sie Datenverkehr zwischen München und Berlin benötigen, müssen Sie weitere Zugriffsregeln erstellen, die den Datenverkehr zwischen München und Berlin erlauben. Diese müssen analog dieser Anleitung mit getauschten Quell- und Zielnetzwerken konfiguriert werden.
 

7. Abschließender Test

Nachdem beide ISA Server für den Aufbau einer Remotestandortverbindung konfiguriert wurden sollten Sie überprüfen, ob die Verbindung wirklich funktioniert. In dieser Anleitung testen wir die Funktionalität anhand eines Pings in den Remotestandort.



Zu beobachten ist, dass die erste Pinganfrage nicht erfolgreich war. Dies liegt daran, dass die VPN-Verbindung erst aufgebaut werden muss, was abhängig von der Internetanbindung kürzer oder länger dauern kann. Sie müssen also eine gewisse Zeit warten, bis die Sicherheitsaushandlungen zwischen den beiden ISA Servern abgeschlossen ist, bevor Sie Daten an das Remotenetzwerk übermitteln können.
 

Stand: Friday, 28. August 2009/CG.


Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2011. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Monday, 18. March 2013 / Dieter Rauscher