Konfiguration Routing zw. Standorten, VPN+Forefront TMG

Hallo,

ich habe vor, zwei Standorte wie in angehängter Zeichnung zu verbinden.
Im Standort 1, in dem sich sämtliche Server befinden, steht auch ein Forefront Threat Management Gateway (ISA Server), der die Fritz!Box mit dem internen Netzwerk verbindet.

Ich stehe leider mit dem Thema Routing vollkommen auf Kriegsfuß, deshalb meine erste Frage:
Wie ist das Routing einzustellen, daß die Clients im Standort 2 den Forefront Server erreichen können. Bevor ich mich mit dessen Konfiguration auseinandersetze, muß ich ihn erstmal von Standort 2 erreichen können.

Aus Standort 1 sind beide Netzwerkkarten anpingbar. Diese Funktion habe ich zu Diagnosezwecken schon freigeschaltet.

Ich bin für jede Hilfe dankbar.

Florian

Hallo FBrenner,

AVM schreibt dazu folgendes ;

Vorbereitungen
Installieren Sie auf beiden FRITZ!Box-Geräten die aktuelle Firmware aus unserem Downloadbereich.
Rufen Sie im Internetbrowser das VPN-Service Portal auf und laden Sie aus dem Abschnitt "Aktuelle Downloads" das Programm "FRITZ!Box-Fernzugang einrichten" herunter.


IP-Konfiguration anpassen
Richten Sie in beiden FRITZ!Box-Geräten unterschiedliche IP-Netzwerke ein:
Rufen Sie die Benutzeroberfläche der FRITZ!Box auf.
Klicken Sie auf "Einstellungen".
"Erweiterte Einstellungen" > "System" > "Ansicht"
Aktivieren Sie die Option "Expertenansicht aktivieren" und klicken Sie auf "Übernehmen".
"Netzwerkeinstellungen" > "IP-Adressen"
oder (wenn "Netzwerkeinstellungen" nicht verfügbar)
"Netzwerk" > "IP-Einstellungen " > "IP-Adressen"
Aktivieren Sie die Option "Alle Computer befinden sich im selben Netzwerk".
ACHTUNG:
Für VPN-Verbindungen zwischen zwei FRITZ!Box-Netzwerken darf keine FRITZ!Box eine IP-Adresse aus dem IP-Netzwerk 192.168.178.0 verwenden (z.B. 192.168.178.1).
Tragen Sie im Eingabefeld "IP-Adresse" eine IP-Adresse aus einem anderen Netzwerk ein.
Tragen Sie im Eingabefeld "Subnetzmaske" die zum IP-Netzwerk gehörende Subnetzmaske ein.
Beispiel:
Weisen Sie der einen FRITZ!Box (1) die IP-Adresse 192.168.10.1 und die Subnetzmaske 255.255.255.0, der anderen FRITZ!Box (2) 192.168.11.1 und 255.255.255.0 zu.
Beenden Sie die IP-Konfiguration durch klicken der Schaltfläche "Übernehmen".


Dynamic DNS-Domainnamen einrichten
Richten Sie in beiden FRITZ!Box-Geräten jeweils unterschiedliche Dynamic DNS-Domainnamen ein:
Rufen Sie die Benutzeroberfläche der FRITZ!Box auf.
Klicken Sie auf "Einstellungen".
"Erweiterte Einstellungen" > "Internet" > "Freigaben" > "Dynamic DNS" > "Hilfe"
Richten Sie einen Dynamic DNS-Domainnamen wie in der Hilfe beschrieben ein.
Beispiel:
Richten Sie in der einen FRITZ!Box (1) den Dynamic DNS-Domainnamen vpn1.dyndns.org, in der anderen FRITZ!Box (2) vpn2.dyndns.org ein.
Klicken Sie auf "Übernehmen".


VPN-Konfigurationsdateien erzeugen
Erzeugen Sie mit dem Programm "FRITZ!Box-Fernzugang einrichten" für beide FRITZ!Box-Geräte jeweils eine VPN-Konfigurationsdatei (FRITZBOX.CFG):
Installieren Sie das zuvor heruntergeladene Programm "FRITZ!Box-Fernzugang einrichten" auf einem Computer und führen Sie es aus.
HINWEIS:
Das Programm "FRITZ!Box-Fernzugang einrichten" kann auf jedem Computer mit Windows Vista, XP oder 2000 installiert werden. Für die Erstellung der VPN-Konfigurationsdateien muss dieser Computer nicht mit einer FRITZ!Box verbunden sein.
Klicken Sie auf "Neu".
Markieren Sie die Option "Verbindung zwischen zwei FRITZ!Box-Netzwerken einrichten" und klicken Sie auf "Weiter".
Tragen Sie im Eingabefeld "Dynamic DNS:" den Dynamic DNS-Domainnamen der ersten FRITZ!Box (1) (z.B. vpn1.dyndns.org) ein und klicken Sie auf "Weiter".
Tragen Sie im Eingabefeld "IP-Netzwerk" das IP-Netzwerk der ersten FRITZ!Box (1) ein.
Beispiel:
Wenn Sie der ersten FRITZ!Box (1) die IP-Adresse 192.168.10.1 zugewiesen haben, tragen Sie unter "IP-Netzwerk" 192.168.10.0 ein.
Wählen Sie im Ausklappmenü "Subnetzmaske:" die in der ersten FRITZ!Box (1) eingetragene Subnetzmaske aus.
Beispiel:
Wenn Sie der ersten FRITZ!Box (1) die Subnetzmaske 255.255.255.0 zugewiesen haben, wählen Sie "24 - 255.255.255.0" aus.
Klicken Sie auf "Weiter".
Tragen Sie im Eingabefeld "Dynamic DNS:" den Dynamic DNS-Domainnamen der zweiten FRITZ!Box (2) (z.B. vpn2.dyndns.org) ein und klicken Sie auf "Weiter".
Tragen Sie im Eingabefeld "IP-Netzwerk" das IP-Netzwerk der zweiten FRITZ!Box (2) ein.
Beispiel:
Wenn Sie der zweiten FRITZ!Box (2) die IP-Adresse 192.168.11.1 zugewiesen haben, tragen Sie unter "IP-Netzwerk" 192.168.11.0 ein.
Wählen Sie im Ausklappmenü "Subnetzmaske:" die in der zweiten FRITZ!Box (2) eingetragene Subnetzmaske aus.
Beispiel:
Wenn Sie der zweiten FRITZ!Box (2) die Subnetzmaske 255.255.255.0 zugewiesen haben, wählen Sie "24 - 255.255.255.0" aus.
Klicken Sie auf "Weiter" und dann auf "Fertig stellen".


FRITZ!Box-Geräte für VPN-Verbindung einrichten
Markieren Sie im Programm "FRITZ!Box-Fernzugang einrichten" den ersten Eintrag im Fenster "Vorhandene Konfigurationen:" und klicken Sie auf die Schaltfläche "Explorer"
Es öffnet sich ein Windows-Ordner, dessen Name (z.B. vpn1_dyndns_org) dem Dynamic DNS-Domainnamen einer der beiden FRITZ!Box-Geräte entspricht. Importieren Sie die VPN-Konfigurationsdatei (FRITZBOX.CFG) aus diesem Ordner folgendermaßen in die FRITZ!Box, in der dieser Dynamic DNS-Domainname eingerichtet ist:
Rufen Sie die Benutzeroberfläche der FRITZ!Box auf.
Klicken Sie auf "Einstellungen".
"Erweiterte Einstellungen" > "Internet" > "Freigaben" > "VPN" > "Durchsuchen"
Wählen Sie die FRITZBOX.CFG aus.
Klicken Sie auf "VPN-Einstellungen importieren" und "OK".
Wiederholen Sie die letzten 6 Schritte mit dem zweiten Eintrag im Fenster "Vorhandene Konfigurationen:" für die zweite FRITZ!Box.


Hinweise zu VPN im Betrieb
In der Windows-Netzwerkumgebung werden keine Arbeitsgruppencomputer und Netzwerkfreigaben aus dem entfernten FRITZ!Box-Netzwerk angezeigt:
So greifen Sie über eine VPN-Verbindung auf Dateifreigaben im entfernten Netzwerk zu

Die VPN-Verbindung zwischen den beiden FRITZ!Box-Geräten wird automatisch hergestellt, wenn aus dem Netzwerk der einen FRITZ!Box eine Anfrage an ein Netzwerkgerät im Netzwerk der anderen FRITZ!Box gestellt wird.
Beispiel:
Im Netzwerk der einen FRITZ!Box (1) wird von einem Computer mit der IP-Adresse 192.168.10.20 auf die Netzwerkfreigabe des Computers 192.168.11.20 im Netzwerk der anderen FRITZ!Box (2) zugegriffen.

Der Status der VPN-Verbindung wird in der Benutzeroberfläche beider FRITZ!Box-Geräte jeweils unter "Übersicht" im Abschnitt "VPN-Verbindung" angezeigt.

In beide FRITZ!Box-Geräte können Sie zusätzliche VPN-Konfigurationen importieren, um weitere Netzwerke anzubinden oder einzelnen Computern den VPN-Zugriff mit dem Programm FRITZ!Fernzugang zu ermöglichen.

HINWEIS:
Sie können beliebig viele VPN-Konfigurationen in die FRITZ!Box importieren. AVM supportet bis zu acht gleichzeitige VPN-Verbindungen zu Netzwerken und/oder einzelnen Computern.

Damit sollten die beiden Standorte erstmal erreichbar sein. Somit kann dann der ISA konfiguriert werden.

Hallo Systemkiller,

danke für die Antwort. Die VPN-Verbindung steht aber schon Sorry, hätte ich evtl schreiben sollen. Die 'externe' IP des TMG sollte doch jetzt also ohne zusätzliche Konfiguration erreichbar sein?! Das Problem scheint doch noch an irgendwelchen Einstellungen im TMG zu liegen. Wenn ich einem Server eine 192.168.1.x Adresse gebe, läßt er sich von Standort 2 anpingen, nur der TMG nicht.

Was mir aber wichtiger ist: Wie erreiche ich, daß die Fritz!Box im Standort 2 Anfragen an die Server über die VPN-Verbindung routet und nicht ins Internet?

Hast Du dem ISA denn erlaubt auf Ping anforderungen zu antworten ??

Ja, das macht er.

Theoretisch müsste folgendes reichen:

Trage am Standort 2 in der Fritzbox eine statische Route ein. Zielnetz ist 192.168.1.0/24, next Hop ist die Tunnel IP der Fritzbox an Standort 1.

Um dann noch die Server im "10er" Netz zu erreichen musst du am Standort 1 eine weitere statische Route eintragen. Zielnetz 192.168.10.0/24, next Hop 192.168.1.253.

Wichtig: Der Rückweg muss auch funktionieren!!! Du musst also für den Rückweg ähnliche Routen eintragen.

Alternativ kannst du auch mal schauen, ob deine Fritzbox als Routingprotokoll RIP spricht. Dann kannst du dir das statische Geraffel sparen.

Beim Routing musst du dir immer die folgende Frage stellen: Kennt das Gerät, bei dem mein IP Paket liegt, den Weg zum Ziel? Und wenn nicht, wo muss ich hinzeigen, damit es einen Schritt weiter kommt. Und immer auch an den Rückweg denken!!!

Hallo DonConto,

vielen Dank für die Tips. Sollte aber am SO 2 das Zielnetz nicht das .10er sein? Geräte im .1er Netz sind bei bestehender VPN-Verbindung standardmäßig sowieso pingbar. Es sollen ja nur Zieladressen im .10er Netz über die VPN-Verbindung geroutet werden.

Gruß,
Florian

Wie sindn die Tunneladressen?

Ich versuche bei der Problemlösung immer aus der Clientsicht zu agieren. Am einfachsten wäre es, wenn du mal einen Trace von einem Client in das 10er Netz machst. Dann siehst du ja, wie weit du kommst und wo eine Route fehlt. Hilft auch viel besser bei der Fehlerbehebung.

Aber stimmt, eine Route in das 10er Netz fehlt auch noch am SO 2. Next Hop wäre wohl der Forefront mit seiner .1.253 sofern du die erreichen kannst.

Btw, statisches Routing ist bei sowenigen Netzen schon käse