Markus Butz 10 Geschrieben 20. August 2008 Melden Teilen Geschrieben 20. August 2008 Hallo zusammen, es wäre SEHR nett, wenn mir als ISA unter SBS2003-Anfänger hier jemand helfen könnte... verstehe hier etwas absolut nicht! Ich habe hier einen ISA-Server übernommen mit LAN: 10.193.224.0/24 Server: 10.193.224.100 WAN: 192.168.0.0/24 Server: 192.168.0.1 Router/GW: 192.168.0.250 Folgende Netze sind im ISA konfiguriert: Extern Intern 10.193.224.0-10.193.224.255 Webproxy auf Port 8080 Problemnetz 172.20.128.0-172.20.128.255 10.178.254.0-10.178.254.255 Jetzt rufe ich im Browser mit aktiviertem Proxy auf: https://172.20.128.12 Ich bekomme Verweigerte Verbindung SRVFLD1 20.08.2008 19:58:39 Protokollierungstyp: Firewalldienst Status: Ein Paket wurde verworfen, weil die IP-Zieladresse nicht erreichbar ist. Regel: Quelle: Lokaler Host ( 10.193.224.100:46888) Ziel: Problemnetz ( 172.20.128.12:443) Protokoll: HTTPS Benutzer: OK - nicht erreichbar. Jetzt rufe ich im Browser mit aktiviertem Proxy auf: https://10.178.254.36 Ich bekomme Verweigerte Verbindung SRVFLD1 20.08.2008 20:00:13 Protokollierungstyp: Firewalldienst Status: Ein Paket wurde verworfen, weil die IP-Zieladresse nicht erreichbar ist. Regel: Quelle: Lokaler Host ( 192.168.0.1:46920) Ziel: Problemnetz ( 10.178.254.36:443) Protokoll: HTTPS Benutzer: WARUM ist die Quell IP jeweils UNTERSCHIEDLICH? Ist im ISA doch im selben Netz eingetragen? Und konfigurieren kann ich das ja nicht weiter. Ein im INTERNEN Netz hängender Router (10.193.224.1) kann mit 192.168... als Source-IP doch nichts anfangen. Warum ist das unterschiedlich? Und: Woher weiß denn der ISA eigentlich überhaupt, WOHIN er Pakete für das "Problemnetz" routen soll? Ich kann nirgends die IP für einen weiteren Router angeben? Das wäre doch das einfachste? Danke für ein paar Tips an einen ISA-Anfänger! Markus Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 22. August 2008 Melden Teilen Geschrieben 22. August 2008 Das hier sollte doch genug sagen: weil die IP-Zieladresse nicht erreichbar ist Es ist keine Route ins 10.178.254.0/24 Netz definiert. Sonst würde er nicht versuchen, dieses Netz über das Default Gateway zu erreichen. Gib also den Befehl route add -p 10.178.254.0 mask 255.255.255.0 <ip des routers im internen Netz> ein. Für das 172er Netz ist aber schon solch eine Route definiert, die das interne Interface benutzt. Du müsstest im ISA Server und Monitoring/Alerts auch entsprechende Warnmeldungen haben. Christoph Zitieren Link zu diesem Kommentar
Markus Butz 10 Geschrieben 27. August 2008 Autor Melden Teilen Geschrieben 27. August 2008 Hallo Christoph, danke schonmal bis hierhin! Das hier sollte doch genug sagen: weil die IP-Zieladresse nicht erreichbar ist Es ist keine Route ins 10.178.254.0/24 Netz definiert. Sonst würde er nicht versuchen, dieses Netz über das Default Gateway zu erreichen. Ja, du hast natürlich Recht. Hatte vor lauter ISA wohl nicht bedacht, dass es auch noch die Routen gibt. Habe jetzt also die Route ergänzt: route -p add 10.178.254.0 mask 255.255.255.0 10.193.224.1 1 ist der Router, der sowohl antwortet und auch in das besagte Netz routen kann. Ich kann das ja testen, in dem ich mal an einem normalen PC das GW auf diesen Router setze. Läuft einwandfrei. JETZT ist bei einem Ping in der ISA-Protokollierung die Quelle auch in der Tat die Adresse aus dem lokalen 10er Netz: Verweigerte Verbindung SRVFLD1 27.08.2008 14:26:21 Protokollierungstyp: Firewalldienst Status: Ein Paket wurde verworfen, weil die IP-Zieladresse nicht erreichbar ist. Regel: Quelle: Lokaler Host ( 10.193.224.100:8) Ziel: Problemnetz ( 10.178.254.36:0) Protokoll: Ping Benutzer: Dennoch die selbe Meldung. Warum meint er, das Netz sei nicht erreichbar? Der Router unter der 10.193.224.1 kann es definitiv erreichen. Gibt er es nicht an die 1? Verstehe das nicht. Danke für einen weiteren Tipp! Ein verzweifelter Markus... Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 27. August 2008 Melden Teilen Geschrieben 27. August 2008 Ich verstehe den Netzwerkaufbau nicht ganz. Wo genau befinden sich die "Problemnetze"? grizzly999 Zitieren Link zu diesem Kommentar
Markus Butz 10 Geschrieben 27. August 2008 Autor Melden Teilen Geschrieben 27. August 2008 Hey grizzly999, die Problemnetze hängen hinter dem Router mit der IP 10.193.224.1. Was genau kann ich dir noch sagen/erklären? Tue alles, was du möchtest... :-) Danke! Markus Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 27. August 2008 Melden Teilen Geschrieben 27. August 2008 Hey grizzly999, die Problemnetze hängen hinter dem Router mit der IP 10.193.224.1. Was genau kann ich dir noch sagen/erklären? Tue alles, was du möchtest... :-) Danke! Markus .... also sind die zwei Netze auf der "guten" Seite des ISA. Dann solltest du sie auch zu den Netzen des Internen netzes hinzufügen. In der ISA-Netzwerkkonfiguration grizzly999 Zitieren Link zu diesem Kommentar
Markus Butz 10 Geschrieben 27. August 2008 Autor Melden Teilen Geschrieben 27. August 2008 Ahja, klar - DANKE. Das hatte ich nicht bedacht, zumal die Netze vorher vom Vorgänger eben NICHT als interne Netze definiert wurden - habe das dummerweise nicht in Frage gestellt. Sehe ich das aber so richtig, dass das jetzt ein Grenzfall ist, denn EIGENTLICH SIND es ja externe Netze, da aber der Router im INTERNEN Netz steht, muss das so sein, richtig? Oder wie würde man das sonst optimieren? Dem Router in die anderen Netze eine IP aus dem externen Netz geben (lassen)? Danke! Markus Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 27. August 2008 Melden Teilen Geschrieben 27. August 2008 Das sind externe Netze? :confused: Dann gehören sie auch nicht in die internen Netze rein. Dann gehören sie bestenfalls in Netze einer Tri-Homed DMZ. Dazu sollte der ISA aber eine dritte Netzwerkkarte haben und entsprechende FW-Rules eingerichtet werden (da gibt es auch ein Template im ISA dafür). Was "hinter" dem ISA ist, ist aus seiner Sicht intern und muss normalerweise in die internen Netze aufgenommen werden. Nicht definierte Netze sind normalerweise extern und werden über die externe NIC angesprochen. Ist aber eigentlich bei jeder Firewall so. grizzly999 Zitieren Link zu diesem Kommentar
Markus Butz 10 Geschrieben 28. August 2008 Autor Melden Teilen Geschrieben 28. August 2008 Hallo grizzly999, alles klar, vielen Dank - verstanden. Mal sehen, wie wir das noch ändern. Wenn ich jetzt dem Router in die Fremdnetze, der im Moment die 10.193.224.1 hat, eine IP aus dem "bösen" ISA Netz geben lasse (192.168.0.0), dann könnte ich ja über den Router zum Internet (192.168.0.254) auf diesen routen und die Netze wieder als extern einordnen. Richtig? Oder eben mit einer dritten NIC. Danke für ein letztes kurzes Statement. Markus Zitieren Link zu diesem Kommentar
qmaestroq 10 Geschrieben 3. September 2008 Melden Teilen Geschrieben 3. September 2008 Hallo, aber das sind doch keine externen Netze, oder? Ich denke die hängen hinter dem internen Netz 10.193.224.0. Also sind das auch interne Netze, die sich hinter einem anderen internen Netz befinden. Wie gizzly schon sagte, gehören die beiden Netze auf jeden Fall in das Netzwerk intern mt hinein, Schau dir mal folgendes Tutorial an, dann wird das klar: Advanced ISA Firewall Configuration: "Network Behind a Network" Scenarios Da wird klar, wie solche Netze geroutet werden müssen. Gruß qmaestroq Zitieren Link zu diesem Kommentar
Markus Butz 10 Geschrieben 4. September 2008 Autor Melden Teilen Geschrieben 4. September 2008 Hi qmaestroq, alles klar, werde ich mir mal anschauen! Danke. Markus Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.