Nemesis321 10 Geschrieben 13. Dezember 2007 Melden Teilen Geschrieben 13. Dezember 2007 hi, folgende Situation: W2k3 Server mit 2 NIC's: 192.168.1.1 (LAN), 192.168.1.3 (ans DSL-Modem angeschlossen) installierte Dienste: IIS, AD, DNS, DHCP, RAS mit VPN und NAT. 1. Wählt sich nun ein VPN-Client ein (Rechte über Ras-Richtlinie gesteuert), kriegt er vom DHCP eine IP im Bereich 192.168.3.100 - 192.168.3.108 (Die 109 hat sich der Server als interne Schnittstelle genommen, scheinbar so definiert). Es sollen nur die Rechner aus dem LAN ins Internet kommen (funktioniert), aber nicht die VPN-Clients. Dies wollte ich mit IP-Filtern verhindern und zwar so: Ausgehende Filter der DSL-Verbindung: Alle Pakete übertragen außer den unten aufgelisteten... Quell-Netz: 192.168.3.0 // 255.255.255.0 Rest beliebig und leer. Der VPN-Client kommt jedoch trotzdem ins Internet. Hab ich nen Logik- / Denkfehler ? oder funktionieren die IP-Filter anders. 2. Die VPN-Verbindung (übers LAN getestet), funktioniert jedes mal nach ein paar Minuten nicht mehr. Die 2 Bildschirme in der Taskleiste sind noch da, aber ich kann nichts mehr pingen / surfen .. es blinkt nur noch das linke Licht. Wisst ihr woran das liegen könnte ? 3. In zukunft möchte ich noch eine WLAN-Karte einrichten. Netzwerk 192.168.5.0. Auch hier sollen die Adressen über DHCP vergeben werden. Was hat das mit dieser Schnittstelle "Intern" auf sich. Ich habe in anderen Beiträgen die Links zu Microsoft gelesen, konnte es aber nicht ganz nachvollziehen. In diesem Fall müsste die Interne Schnitstelle dann die Netze 192.168.3.109 und 192.168.5.109 gleichzeitig managen, geht das so ? 4. Was sollte eigentlich bei RAS --> Allgemein --> NAT / Basisfirewall im rechten Fenster stehen ? Bei mir steht da nur die DSL-Verbindung, die NAT machen soll. Ist das korrekt ? 5. Bei statische Routen habe ich 0.0.0.0 für die DSL-Verbindung eingetragen. Warum muss man das eigentlich machen ? Hab ich nicht ganz verstanden. Hoffe ihr könnt mich ein bischen aufklären. Danke ! Zitieren Link zu diesem Kommentar
killtux 11 Geschrieben 14. Dezember 2007 Melden Teilen Geschrieben 14. Dezember 2007 Gehen die VPN Clients über einen Proxy ins Internet? Wenn ja, dann bringt dir diese richtlinie nämlich nichts. Anders: Wäres es möglich dass du in deiner Firewall die VPN Client IP Adressen ausgehend einfach sperrst? Zitieren Link zu diesem Kommentar
Nemesis321 10 Geschrieben 14. Dezember 2007 Autor Melden Teilen Geschrieben 14. Dezember 2007 Von meinem XP-Laptop gehe ich normalerweise ganz normal übers LAN ins Internet. D.h ich habe den Server 192.168.1.1 als Gateway eingetragen. Nehme ich jetzt das Gateway raus, und wähle mich per VPN ein, komme ich quasi über VPN ins Internet. Das heißt doch, nicht nur die LAN-Anfragen, sondern auch die VPN-Anfragen ins Internet werden vom NAT übersetzt. Und genau hier liegt das Problem: Die VPN-Clients sollen keinen Zugriff aufs Internet haben, die LAN-Clients aber schon. Die Internetverbindung läuft über Arcor DSL. Das DSL-Modem ist direkt an der Netzwerkkarte (192.168.3.1 (hatte mich oben vertippt)) angeschlossen. Im RAS habe ich dazu eine Verbindung für wählen bei Bedarf (persistent) hergestellt. Zu Anders: Genau das ist mein Ziel. Dazu wollte ich bei Eigenschaften -> ArcorDSL -> Ausgehende Filter alle Pakete mit dem Quell-Netzwerk 192.168.3.0 / 255.255.255.0 aussperren. Die Regel hat aber keine Wirkung. Ich komme übers Notebook, per VPN eingewählt, mit der ip-Adresse 192.168.3.102 z.B trotzdem ins Internet. Mir scheint es, dass das Quellnetzwerk der Pakete, die über die eine andere Schnittstelle im RAS (sei es VPN oder LAN), verändert werden, und es somit nichts bringt wenn ich den entsprechenden Quellbereich ausschließe. Schließe ich nämlich alle Pakete aus, kommt auch keiner ins Internet. Ich frage mich dann nur, inwiefern die Quelladressen geändert werden, und worauf. Ich werde jetzt mal einen Sniffer installieren.. mal sehen ob das hilft. Echt komisch diese Paketfilter. Dachte die funktionieren wie IP-Tables unter Linux. Zitieren Link zu diesem Kommentar
Nemesis321 10 Geschrieben 16. Dezember 2007 Autor Melden Teilen Geschrieben 16. Dezember 2007 hi, bin jetzt auf isa 2006 umgestiegen (alles funktioniert perfekt), da die Paketfilter nicht funktionierten. Leider weist der DHCP den VPN-Clients keine IP's zu. Es werden nicht mal die Leases reserviert. Vermutlich weil ich den ISA Array Server installiert habe ? Ich mache das nun mit nem statischen Pool. Dann hätte ich noch 2 Fragen zu Firewall regeln allgemein: angenommen ich erstelle eine Regel von Localhost -> Extern http zulassen. Dann funktioniert erstmal nur der Internetzugang vom Server. Jetzt möchte ich auch den WebServer von Extern erreichen. Da im Protokoll http "Ausgehende" Verbindungen auf Port 80 definiert werden, habe die obige Regel folgendermaßen ergänzt: Localhost, Extern -> Localhost, Extern http zulassen. Sozusagen eine bidirektionale Regel. 1. Wann braucht man dann "Eingehende" Verbindungen ? Kann man die obige Regel "Localhost -> Extern http zulassen" auch mit eingehender HTTP Verbindung definieren, also ohne sie (bidirektional) zu ergänzen ? (Beispiel wäre schön) 2. wann setzt man z.B das Protokoll FTP und wann FTP Server ein ? denn um von den Clients auf den FTP server zuzugreifen, reicht das normale FTP Protokoll aus. wozu dann FTP Server ? Ich hoffe ihr wisst was ich meine.. Vielen Dank Zitieren Link zu diesem Kommentar
killtux 11 Geschrieben 17. Dezember 2007 Melden Teilen Geschrieben 17. Dezember 2007 Zu 1 das glaube ich nennt man bei ISA eine "Serverfreigabe" (ggf. heißt es so ähnlich) Damit werden Externe Ports, nach Intern weitergeleitet. Zu 2 Bei FtP, muss man aufpassen, denn es muss das Kontrollhäcken bei "schreiben" bei der vordefinierten FTP freigabe aktiviert werden. Ansonsten können clients nur ftp lesen und nicht uploaden. Leider kann ich es dir nicht genau erklären, weil ich den ISA 06 nur in der Theorie kenne. Es weißt doch wer hier bestimmt besser? cya Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.