ASC IKE-Fehler

Verwendet RemoteAccess eventuell auch 443 ?

Gregor Kemter

Remote Access SSL ist aus - kann ich das denn für IPSec einstellen?
Ich vermute, dass alle Anfragen auf die externe IP jetzt an den Exchange-Server gehen?!Muss ich evtl. eine SNAT Rule für IPsec erstellen?

Ich bin schon ein bisschen weiter:
Habe eine weitere DNAT Regel erstellt:
Network Security - Nat - DNAT/SNAT: 
Traffic selcttor: Any --> IPSec - IKE-> External (Address)
Destination Translation: Internal (Adress) -> IPSec IKE
Packetfilter: Any -> IPSek - IKE  -> External (Address)

Trotzdem bekomme ich im PacketFilter Log: 
14:55:47 Default DROP UDP Client-IP : 500 
 → Externe_IP : 500 
 len=300 ttl=128 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:1a:8c:17:47:70

Remote Access SSL ist aus - kann ich das denn für IPSec einstellen?
Ich vermute, dass alle Anfragen auf die externe IP jetzt an den Exchange-Server gehen?!Muss ich evtl. eine SNAT Rule für IPsec erstellen?

Ich dachte du benutzt den SSL VPN Client, der kollidiert gerne mit https.
Ipsec hat nix mit https zu tun, und sollte auch mit owa gehen.
Für ipsec brauchst auch keine snat/dnat Regeln, da der Endpoint auf dem Wan-Interface liegt.

Ich denke du hast beim einrichten von OWA, aus versehen was anderes verfummelt [:)]

Gregor Kemter

Das mit dem IPSEC habe ich nicht verstanden.
Aber wenn ich Dein erstes Posting lese, fällt mir eines auf:
Du NATest sowohl den Port als auch die IP.
In der PacketFilter-Regel beziehst Du Dich aber auf die externe Exchange_IP.
Da NATing vor den PF-Regeln kommt, müsste es nach meiner Meinung so aussehen:
>> Packetfilter: Any HTTPS -> Exchange 

Ich denke du hast beim einrichten von OWA, aus versehen was anderes verfummelt [:)]

Gregor Kemter

Das könnte wohl sein... läuft aber [;)]

Das mit dem IPSEC habe ich nicht verstanden.
Aber wenn ich Dein erstes Posting lese, fällt mir eines auf:
Du NATest sowohl den Port als auch die IP.
In der PacketFilter-Regel beziehst Du Dich aber auf die externe Exchange_IP.
Da NATing vor den PF-Regeln kommt, müsste es nach meiner Meinung so aussehen:
>> Packetfilter: Any HTTPS -> Exchange 

Das habe ich jetzt mal versucht - owa läuft weiterhin - Remote mit IPSec weiterhin nicht...

Ah, jetzt sehe ich das Kürzel 'ASC' und verstehe Dein erstes Posting... sorry war ein bissel müde heute Nacht ;-)
Wie ist denn Dein IPSEC Tunnel definiert ? Sprich: Welches Remote-Netzwerk sehen denn die Clients ?
Welche IP sprechen denn die ASC-User an, die externe oder die interne ? Eigentlich wohl eher die interne, dann passt nämlich auch wieder die Regel (für beide Fälle).
Karsten

Die Frage "Welches Remote-Netzwerk sehen denn die Clients?" verstehe ich nicht ganz?! Der User ist für "Use static remote access IP" 10.242.4.1 konfiguriert.
Im ASC ist die externe IP angegeben.

OK, das war missverständlich.
Der User hat eine Adresse aus dem Bereich 10.242.4.0/24
Im Profil des ASC gibt es einen Menüpunkt, der lautet \VPN IP-Netze.
Dort steht das Netzwerk drin, daß der User erreichen soll/darf/kann.
Diese hast Du ja auch so in der ASG in der IPSec-Konfig definiert.
Nun meine Frage: Ist in diesem Netzwerk auch Dein Exchange-Server ?

Ich hätte vermutet, daß
- externe User ohne ASC die öffentliche-Exchange-IP nehmen
- externe ASC User die interne-Exchange-IP nehmen (die innerhalb des Ihnen zugänglichen Netzwerkes liegt).

Dann würde für erstere das NATing greifen und für alle beide die PacketFilter-Regel gelten.

War es jetzt verständlicher ?
Gruss, Karsten