Hr_Rossi 10 Geschrieben 7. Januar 2008 Melden Teilen Geschrieben 7. Januar 2008 Hallo Boardianer :) Habe hier ein Problem wo ich mit meinem Latein am Ende bin. Folgendes Szenario: W2k3 mit SP1 und ISA 2006. Externe NIC mit 7 öffentliche IPS konfiguriert. Interne NIC im 192.168.10.0/24 Segment Im internen Netzwerk am Server hab ich auch das 192.168.1.0/24 hinzugefügt welches über den 192.168.10.136 (W2K prof rechner mit aktiv. routing) erreichbar ist. route ist permanent eingetragen im 1.0er netz befindet sich ein linux rechner mit der ip 192.168.1.100 dieser ist zu pingen und über ssh aus dem 192.168.10.0er netz erreichbar. was nicht klappt: wenn ich nun eine serververöffentlichung machen will für den ssh server ( 192.168.1.100) ist dieser von extern nicht zu erreichen. wie gesagt routing zwischen 10.0er und 1.0er netz funktioniert.... er sollte ein stinknormale portweiterleitung machen nur in ein anderes subnet eben :confused: sprich von extern zu 192.168.1.100 auf port 22 (SSH) hat wer eine idee warum das nicht funkt ??? lg & alles gute im neuen jahr rossi Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 7. Januar 2008 Melden Teilen Geschrieben 7. Januar 2008 Mit der korrekten Publishing Rule sollte es funktionieren. Wie sieht denn die Rule genau aus? Vor allem, was sagt denn das Realtime Monitoring beim Verbindungsversuch? Grtz grizzly999 Zitieren Link zu diesem Kommentar
TheDonMiguel 11 Geschrieben 7. Januar 2008 Melden Teilen Geschrieben 7. Januar 2008 Ist die Route für 192.168.1.0/24 am ISA Server auch hinzugefügt? Configuring ISA Server Interface Settings., Punkt 6 Grüsse Miguel Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 7. Januar 2008 Autor Melden Teilen Geschrieben 7. Januar 2008 hi ! @don jo das routing funktioniert ich kann mich auch vom isa aus wenn ich den traffic erlaube mich per ssh verbinden.... es ist auch ds 1.0er netz im internen bereich des isa eingetragen.... @grizzly: das funktionieren muss denk ich mir auch...... ich habe einmal eine serververöffentichungsregen probiert und einmal eine normale zugriffsregel.... beides ohne erfolg... das realtime monitoring sagt mir folgendes: Ursprüngliches Client-IP Client-Agent Authentifizierter Client Dienst Servername Verweisender Server Zielhostname Transport MIME-Typ Objektquelle Quellproxy Zielproxy Bidirektional Clienthostname Filterinformationen Netzwerkschnittstelle Raw-IP-Header Raw-Nutzlast GMT-Protokollzeit Quellport Verarbeitungszeit Bytes gesendet Bytes empfangen Ergebniscode HTTP-Statuscode Cacheinformationen Fehlerinformationen Protokolldatensatztyp Authentifizierungsserver Protokollierungszeit Ziel-IP Zielport Protokoll Aktion Regel Client-IP Clientbenutzername Quellnetzwerk Zielnetzwerk HTTP-Methode URL 64.192.196.40 AT01ISA - TCP - Nein - 07.01.2008 10:16:35 41754 60859 60 0 0xc0040038 FWX_E_TCP_NO_SERVER_REPLY 0x0 0x0 Firewall - 07.01.2008 11:16:35 192.168.1.100 22 ssh eingehend Getrennte Verbindung ordi ssh 64.192.196.40 Extern Intern - - 64.192.196.40 AT01ISA - TCP - Nein - 07.01.2008 10:15:34 41754 0 0 0 0x0 ERROR_SUCCESS 0x0 0x0 Firewall - 07.01.2008 11:15:34 192.168.1.100 22 ssh eingehend Initiierte Verbindung ordi ssh 64.192.196.40 Extern Intern - - die fehlernumme 0xc0040038 bedeutet das vom server keien syn/ack pakete gesendet oder empfangen werden.... und die rule im xml format ist leider zu lange u sie zu posten.... lg rossi Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 7. Januar 2008 Melden Teilen Geschrieben 7. Januar 2008 Dann schreib die Rule doch einfach so hin. Sind ja nicht viele Einträge. Insbesondere interessant: NAT oder Route als Netzwerkregel? Ist intern der ISA, der Absender oder der Client mit der externen IP? Schon mal auf dem Linux (oder ISA INside) mit einem Sniffer mitgetract? grizzly999 Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 8. Januar 2008 Autor Melden Teilen Geschrieben 8. Januar 2008 aaalsoo.. die rule: (veröffentlichungsregel für Nicht-Webserverprotokolle) Allgemein --> Aktivieren (angehakt) Aktion --> Zulassen Datenverkehr --> ssh eingehend (tcp 22 & udp se&em), über den protokoll def. standardport veröffentlich... anforderungen an den standardport des veröffentlichten servers senden....datenverkehr von allen zugelassenen quellports zulassen... Von --> Beliebig Bis --> 192.168.1.100 (ssh server) ursprung der anforderung scheint der ursprüngliche client zu sein netzwerke --> extern und eine öffentliche ip zeitplan .... immer zwischen extern und intern netzwerkverhältniss NAT.... jede ander portweiterleitung oder veröffentlichung im 10.0er netz funktioniert.... danke! lg rossi Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 8. Januar 2008 Melden Teilen Geschrieben 8. Januar 2008 Und der Linux kennt die Rückroute ins Internet über den ISA? grizzly999 Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 8. Januar 2008 Autor Melden Teilen Geschrieben 8. Januar 2008 hi grizzly, das ist mir auch gerade eingefallen.... (selbe gedanke) :rolleyes: am linuxrechenr ist nur eine route ins 10.0er netz eingetragen... und der default gateway zeigt wo anders hin... das ist sicher der grund.... aber wenn ich am isa einstelle das die anforderung vom isa kommt ... sollte es dann klappen....?? lg rossi Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 8. Januar 2008 Melden Teilen Geschrieben 8. Januar 2008 Dann sollte es gehen, den ISA inside kann der Linux ja erreichen .... :) grizzly999 Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 8. Januar 2008 Autor Melden Teilen Geschrieben 8. Januar 2008 ok funkt ! super ! danke lg rossi Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.