Outbound PPTP mit TMG 2010

31 01 2013

Hallo zusammen,
wer versucht mittels Microsoft TMG 2010 eine ausgehende, also outbound connection, Verbindung aufzubauen bekommt einen Verbindungsabbruch während der Server die Authentifizierung versucht.
Nach etwas suchen und mit Wireshark debuggen stellte sich das fehlende GRE um die PPP Daten zu tunneln. Dummerweise fehlt beim TMG, zumindest bei meiner Version, das GRE sowohl standalone
als auch im PPTP.Das gute daran ist, es lässt sich manuell anlegen. Im Bild darunter seht Ihr was einzutragen ist.

GRE zum TMG hinzufügen

GRE zum TMG hinzufügen

Desweiterem muss in dieser Regel der Haken bei der Checkbox für PPTP Filter entfernt sein.

Anschließend kann der PPTP Client über den TMG seine Verbindung zum PPTP Server fehlerfrei aufbauen.
Kleine Wirkung mit großer Ursache.

In diesem Sinne… bis demnächst wieder…





Procurve und loop-protection

19 12 2011

Diesen Montag war es zum Ersten Mal soweit. In unserem Netzwerk hatte sich ein Loop gebildet. Anhand des Procurve Managers und des Webinterface direkt am Switch war es deutlich zu erkennen. Alle Balken bis zum Anschlag auf 100% und die Ports meldeten tausende von Drops. Das Problem war dank des Procurve Managers schnell gefunden und der Port ausgeschalten.  Beim Verursacher handelte sich dabei um ein Cisco Telefon mit integrierten Layer-2 Switch. Ein Mitarbeiter hatte es gut gemeint und sowohl ein Kabel für das Telefon als auch im PC Port gesteckt. Nun war er da… der Loop und das Geschrei natürlich groß da nix mehr ging. Eigentlich dachte ich mit der Verwendung von Spanning-Tree wäre ich auf der sicheren Seite. Falsch gedacht, da der Cisco integrierte Telefonswitch die BPDU einfach ignorierte da er selbst kein Spanning-Tree kann, konnte der Procurve Switch den Loop nicht erkennen. Das blöde daran ist, wie lässt sich so etwas in Zukunft verhindern?
HP Procurve hat an dieser Stelle fein mitgedacht und bietet die Möglichkeit die Grenzen des Spanning-Tree aufzuheben. Das Zauberwort hierzu heißt: loop-protection

Der Switch sendet nun an jeden Switchport mit aktiviertem loop-protection ein spezielles Paket. Taucht genau dieses Paket an einem anderen Port wieder auf, so handelt es sich um einen Loop. Der Administrator kann nun im Vorfeld entscheiden was mit diesem Loop-Port passieren soll. Der beste Weg ist den Port dauerhaft auszuschalten. Irgendwann kommt garantiert ein Mitarbeiter und jammert sein Internet funktioniere nicht. Der Befehl hierfür lautet: loop-protect disable-timer 0
Einfaches Prinzip aber eine clevere Lösung.

Im Bild deutlich zu sehen ein Loop wurde entdeckt und die Ports auf down geschaltet.

loop-protection mit HP Procurve

loop-protection mit HP Procurve