ISA 2006 Port umleitung

[mseifert1980 10]

Hallo Zusammen,

 

ich stehe jetzt vor einem erneuten Problem

 

Ich möchte Folgendes erreichen.

 

 

Internet-----ISA 2006 ------Intern Server

 

So ist die Constellation .

 

Jetzt will ich den Internen Server veröffentlichen,

Das ist ja an und für sich kein Problem.

jetzt möchte ich aber einen Server der Intern auf Port 1234 hört nach Extern auf port 2345 veröffentlichen.

 

Was habe ich nun gemacht.

 

ich habe eine Protokoll definition erstellt.

Wo Beide Protokolle beinhaltet.

Dann habe ich einen Publishing Regel erstellt (non Webserver).

Quelle External

Ziel Diesen Server

Unter Traffic bin ich auf Ports gegangen und habe gesagt.

Publish on this port instead of default port: 2345

Send requestst to this port on the published Server: 1234

Allow all.

 

Was muss ich denn noch eintragen ?

[grizzly999 11]

Eigentlich nichts.

Oder steckte da noch eine weitere Frage dahinter, oder gar ein Problem? Wenn ja, schildere das doch auch möglichst detailliert.

 

grizzly999

[mseifert1980 10]

Hallo Grizzly,

 

das Problem ist er macht es nicht.

Er meldet mir ständig im Monitoring unidentified IP Traffic.

 

Ich muss folgendes realisieren.

Bin leider gezwungen dazu und komm nicht drum herum.

 

 

Ich habe das Problem das intern derzeit 2 Server vorhanden sind die auf den selben port hören. (zukünftig werden es mehr werden)

Ich hätte ja gesagt ok ich gebe Server 1 intern Port 1234 und Server 2 intern 2345 und veröffentliche beide.

Dies lässt sich nicht konfigurieren, denn die Drittanbiertersoftware die darauf läuft sieht das nicht vor.

 

Wie muss denn die Regel aussehen, damit ich oben genanntes realisieren kann ?

 

Also die publishing rule für Server 1 ist klar.

Das funktioniert derzeit einwandfrei.

Nur die publishing rule für Server 2 bereitet mir kopfzerbrechen.

 

Diese habe ich wie oben beschrieben Konfiguriert.

[Christoph35 10]

ich habe eine Protokoll definition erstellt.

Wo Beide Protokolle beinhaltet.

 

Beide Protokolle brauchen nicht drin zu sein. Nur das, auf das der interne Server hört. Das Veröffentlichen auf einem anderen Port hast Du ja in der Regel konfiguriert.

 

Wie sieht die Protokoll-Definition genau aus?

Wie sieht die Netzwerkregel aus? Ist das noch die Standard-Einstellung (NAT)?

 

Ich würde 2 Regeln erstellen und das Publishing für einen Server auf dem gleich Port wie intern veröffentlichen und bei der 2. Regel den Port wie von dir beschrieben, umleiten.

 

Christoph

[mseifert1980 10]

Hallo christoph,

 

ich habe jetzt 2 Protokolle Definiert.

 

Protokoll 1234 mit 1234 TCP inbound

Protokoll 2345 mit 2345 TCP inbound

 

Dann habe ich folgende Regel definiert:

 

Regel 1

 

From anywhere to 10.0.01 Protokoll 1234 Network External All users .

Eine einfache Non Webserver publishing rule.

 

Regel 2

From anywhere to 10.0.0.2 Protokoll 2345 Network External All users .

Hier habe ich dann im menü traffic unter ports gesagt:

Send requests to this port on the published Server: 1324

 

 

Wenn ich nun das Monitoring laufen lasse sehe ich das Pakete 2345 reinkommen.

Da steht aber:

unidentified Ip Traffic (TCP:2345) Access Denied Default Rule.

[Christoph35 10]

Hallo christoph,

 

ich habe jetzt 2 Protokolle Definiert.

 

Protokoll 1234 mit 1234 TCP inbound

Protokoll 2345 mit 2345 TCP inbound

 

Das 2. kannst Du wieder löschen.

 

Regel 1

 

From anywhere to 10.0.01 Protokoll 1234 Network External All users .

Eine einfache Non Webserver publishing rule.

 

Ok.

 

Regel 2

From anywhere to 10.0.0.2 Protokoll 2345 Network External All users .

Hier habe ich dann im menü traffic unter ports gesagt:

Send requests to this port on the published Server: 1324

 

Falsch, beide interne Server hören doch auf Port 1234, also musst Du auch from anywhere to 10.0.0.2 Protokoll 1234 sagen, und dann im Traffic Dialog auf Port 2345 veröffentlichen.

 

Von aussen muss dann für Server 1 auf ISA-Server:1234 zugegriffen werden, für Server 2 von aussen auf ISA-Server:2345.

 

Christoph

[mseifert1980 10]

Hallo Christoph.

 

ich habe jetzt das 2345 Protokoll geloescht.

 

ich habe folgende Regel definiert.

 

Action Allow

Protokolle: 1234

From/Listener: External

To 10.0.0.2

Unter Ports habe ich gewaehlt:

publish on this Port 2345

 

Die andere Regel habe ich nicht angefasst.

 

Ich habe mein Testgeraet genommen und eine Verbindung initiiert.

 

Unter Monitorung werden folgende Pakete mitgeloggt:

 

Destination: offizielle IP Adresse des ISA Servers

Destination Port: 2345

Protocol: Unidetified IP Traffic (TCP:2345)

Action: Denied connection

Rule: Default Rule

Client IP: offizielle IP Adresse des Geraetes

Source Network: External

Destination Network: localhost

Source port: wechselt staendig 1047,1044,1039

 

 

Sorry wegen den umlauten.

Es ist ein englischer Server.

[Christoph35 10]

Das ist schon mal nicht normal:

Destination: offizielle IP Adresse des ISA Servers

 

Da sollte als Destination die Adresse des internen Servers eingetragen sein.

 

Hat dieses Testgerät eine IP Adresse, die der ISA Server dem externen Netz zuordnet?

 

Wie ist die Definition der Netzwerkregeln? Ist das noch die Standard-NAT-relationship zwischen externem und internem Netz?

 

 

Christoph

[mseifert1980 10]

Hallo christoph

 

Das Gerät hat derzeit die Ip 80.187.9.110

eine offizielle Ip Adresse.

Unser ISA Server hat eine Feste IP vom Provider:

86.248.25.112

 

Der Isa hat die interne IP 10.0.0.253

 

als Gateway ist an diesen beiden Servern 10.0.0.253 eingetragen.

 

Was ich allerdings gerade festgestellt habe , vom

 

Server 1 kann ich ins internet pingen (z.b: 'web.de' )

Vom Server 2 allerdings nicht obwohl er im gleichen netz hängt.

Ich habe eine Access rule

From internal to External all outbound allowed.

 

Beide sind vom ISA Server erreichbar.

Also vom ISA kann ich auf beide IP Adressen pingen.

 

Was verstehst du unter Definition Netzwerkregeln ?

Ich habe eine Server publishing rule erstellt (none Webserver).

Eine Serververöffentlichungsregeln.

 

Wegen den Nat Realtionship kann ich dir gar nicht genau sagen. Das Problem ist mein Vorgänger hat den ISA eingerichtet und das irgendwie sehr konfus.

Als ich den Server übernommen habe, habe ich das Regelwerk von 27 auf 5 runtergeschraubt und es funktioniert immer noch alles.

Da waren Webserver veröffentlicht usw. die es gar nicht mehr gibt.

 

Ich kann es gar nicht mit gewissheit sagen, ob er da (Nat Relationship)nicht auch irgendwas eingestellt hat.

 

Ich habe in der Registry Netzwerkkarten gefunden mit IP Adress Konfigurationen die schon gar nicht mehr eingebaut waren.

Er bringt Routing fehler im Eventlog usw.

 

Ich glaube ich mache den ISA Server jetzt mal richtig platt und konfiguriere ihn komplett neu.

Evtl. hat sich damit dann auch mein VPN Problem mit den Zertifikaten gelöst.

 

Ich habe eine Nat Network rule DMZ gefunden, wo der Server 1 drin steht.

Aber nicht der Server 2.

Da steht>

 

Relation NAT

Source Network: Server 1

Destination Network: External

 

 

 

Diese Ratte jetzt wo ich den Server 2 hinzugefuegt habe geht alles einwandfrei.

 

Danke fuer deine muehe.

[Christoph35 10]

Ja, das wird oft übersehen, dass die Network-Rules auch passen müssen.

 

Die Regeln der Firewall-Policy können perfekt aufgesetzt sein, aber wenn die Netzwerkregeln nicht stimmen, wird es nicht funktionieren.

 

Hier mal was zum Nachlesen:

Creating Networks with ISA 2004 (Part 1)

 

Ist für ISA 2004 geschrieben, aber das gilt genauso für ISA 2006.

 

Christoph