Jump to content

ISA 2006 und SSH


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich hoffe hier die Lösung zu meinem Problem zu bekommen.

 

Problem:

 

Ich habe einen Server auf dem zwei Netzwerkkarten eingebaut sind. Erste Netzwerkkarte hat als IP-Adresse die 192.168.168.X/24. DIe zweite wiederum hat die 192.168.1.X/24.

Die Karte mit der 192.168.168.X/24 IP-Adresse hat mehrere Clients (Windows XP Prof).

Ich versuche vergebens über das Netzwerk 192.168.1.X/24 eine SSH Verbindung via Cygwin oder Putty auf einen Ziel Rechner zu zugreifen der im 192.168.168.X/24 Netz liegt.

 

Ich habe auf dem ISA 2006 eine Richtlinie erstellt in dem die SSH Protokolle erlaubt werden. Diese werden vom Netz 192.168.1.X/24 zum Netz 192.168.168..X/24 erlaubt.

Auch habe ich auf der ISA das zweite Netzwerk bekannt gegeben und eine Netzwerk Rule als Route, vom 192.168.1.X/24 -> 192.168.168..X/24 erstellt. Habe auch die gleiche Einstellungen durchgenommen und Kontrolliert.

 

Problem ist, dass es nicht möglich ist eine SSH Verbindung vom Netz 192.168.1.X/24 zum anderen Netz 192.168.168.X/24 zu erstellen.

Habe alles durchgenommen wie z.B nur die Rechner in die Rule genommen die eine Verbindung machen sollen, oder nur die Netzwerke in die Rule eingetragen (von intern nach 192.168.1.X) alles ohne Erfolg.

 

Wenn ich den Firewall Client Disable, so klappt diese...

Im Monitoring sehe ich das die Verbindung als Denied angezeigt wird, jedoch sehe ich nicht welche Richtlinie es verbietet.

 

 

Hoffe gute Informationen gegeben zu haben.

 

Wer weis was und könnte mir weiter Helfen??

 

Ich meine das ich irgendwo noch was eintragen muss.

 

 

DANKE im Voraus

TL

Link zu diesem Kommentar

Hallo,

 

danke für die Tipps.

Zur Port 22 Freischaltung, ist diese eingerichtet.

Habe eine richtlinie mit erlauben SSH(22) von Netzwerk A zu Netzwerk B.

 

Bzgl. der IP-Konfig, habe ich einen DNS und als GW den Router.

Eine bekanntgebung des Netzwerkes 192.168.168.X/24 wurde in der ISA bereits durchgenommen. Auch eine Rule habe ich erstellt in der das Netzwerk 192.168.1.X/24 mit dem Netzwerk 192.168.168.X/24 via Route eingerichtet ist.

 

 

Beim Monitoring am ISA, kommt die Meldung nach versuch einer Verbindung folgende Reihenfolge:

 

1) Destination IP 192.168.168.91:22, SSH, Initiated Connection, rule name,

2) Destination IP 192.168.1.7:1745 Microsoft Firewall Client (TCP) Initiated Connection,

3) Destionation IP 192.168.168.91:22, SSH, DENIED CONNECTION, ...

 

 

WENN ICH DEN FIREWALL CLIENT DISABLE, SO KLAPPT DIESE OHNE FEHLER.

 

 

Hier noch die IP-Konfiguration aus der ISA 2006

-------------------------------------------------------------------------

Windows IP Configuration

 

 

 

Host Name . . . . . . . . . . . . : srv7

 

Primary Dns Suffix . . . . . . . : master.local

 

Node Type . . . . . . . . . . . . : Hybrid

 

IP Routing Enabled. . . . . . . . : Yes

 

WINS Proxy Enabled. . . . . . . . : No

 

DNS Suffix Search List. . . . . . : master.local

 

 

 

Ethernet adapter Internet:

 

 

 

Connection-specific DNS Suffix . :

 

Description . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapter (Generic) #2

 

Physical Address. . . . . . . . . : 00-03-FF-AA-7D-DD

 

DHCP Enabled. . . . . . . . . . . : No

 

IP Address. . . . . . . . . . . . : 192.168.168.249

 

Subnet Mask . . . . . . . . . . . : 255.255.255.0

 

Default Gateway . . . . . . . . . : 192.168.168.23

 

DNS Servers . . . . . . . . . . . : 192.168.168.250

 

192.168.168.251

 

NetBIOS over Tcpip. . . . . . . . : Disabled

 

 

 

Ethernet adapter NIC:

 

 

 

Connection-specific DNS Suffix . :

 

Description . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapter (Generic)

 

Physical Address. . . . . . . . . : 00-03-FF-A7-7D-DD

 

DHCP Enabled. . . . . . . . . . . : No

 

IP Address. . . . . . . . . . . . : 192.168.1.7

 

Subnet Mask . . . . . . . . . . . : 255.255.255.0

 

Default Gateway . . . . . . . . . :

 

DNS Servers . . . . . . . . . . . : 192.168.1.1

 

192.168.1.2

 

Primary WINS Server . . . . . . . : 192.168.1.1

 

Secondary WINS Server . . . . . . : 192.168.1.2

 

 

 

 

DANKE für die Hilfe.

 

Gruß

TL

Link zu diesem Kommentar

Bzgl. der IP-Konfig, habe ich einen DNS und als GW den Router.

 

Auf einem externen Interface solltet du keine DNS Server eintragen. Auch die DNS Registrierug solltest du für diesen Adapter deaktivieren.

 

Eine bekanntgebung des Netzwerkes 192.168.168.X/24 wurde in der ISA bereits durchgenommen. Auch eine Rule habe ich erstellt in der das Netzwerk 192.168.1.X/24 mit dem Netzwerk 192.168.168.X/24 via Route eingerichtet ist.

 

Ist eine der Netzwerkkarten an "Extern" gebunden? Dann wäre dort eine NAT Beziehung und dann funktioniert dein Vorhaben nicht.

 

 

WENN ICH DEN FIREWALL CLIENT DISABLE, SO KLAPPT DIESE OHNE FEHLER.

 

Warum schreist du so? Abgesehen davon, warum willst du den Fireallclient nutzen wenn es ohne ihn funktioniert? Der ist sowieso meist nur hinderlich.

 

 

Ethernet adapter Internet:

 

 

 

Connection-specific DNS Suffix . :

 

Description . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapter (Generic) #2

 

Physical Address. . . . . . . . . : 00-03-FF-AA-7D-DD

 

DHCP Enabled. . . . . . . . . . . : No

 

IP Address. . . . . . . . . . . . : 192.168.168.249

 

Subnet Mask . . . . . . . . . . . : 255.255.255.0

 

Default Gateway . . . . . . . . . : 192.168.168.23

 

DNS Servers . . . . . . . . . . . : 192.168.168.250

 

192.168.168.251

 

NetBIOS over Tcpip. . . . . . . . : Disabled

 

 

 

Ethernet adapter NIC:

 

 

 

Connection-specific DNS Suffix . :

 

Description . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapter (Generic)

 

Physical Address. . . . . . . . . : 00-03-FF-A7-7D-DD

 

DHCP Enabled. . . . . . . . . . . : No

 

IP Address. . . . . . . . . . . . : 192.168.1.7

 

Subnet Mask . . . . . . . . . . . : 255.255.255.0

 

Default Gateway . . . . . . . . . :

 

DNS Servers . . . . . . . . . . . : 192.168.1.1

 

192.168.1.2

 

Primary WINS Server . . . . . . . : 192.168.1.1

 

Secondary WINS Server . . . . . . : 192.168.1.2

 

 

 

 

 

Siehe oben. DNS solltest du extern abschalten. Ausserdem sieht das sehr nach Virtual Server aus. Funktioniert denn abgesehen von SSH alles routingtechnisch so wie du willst? Wenn du bspw. den kompletten Traffic von A nach B durchläßt, was passiert dann?

 

Bye

Norbert

Link zu diesem Kommentar
Abgesehen davon, warum willst du den Fireallclient nutzen wenn es ohne ihn funktioniert? Der ist sowieso meist nur hinderlich.

 

Manchmal gehts aber auch nicht ohne... z.B. haben wir eine Bankingsoftware im Einsatz, die nur mit installiertem FW-Client Verbindung zum Bank-Server aufnehmen kann. :rolleyes: Sonst ist da keine Proxy-Fähigkeit eingebaut :mad:

 

Christoph

Link zu diesem Kommentar
Manchmal gehts aber auch nicht ohne... z.B. haben wir eine Bankingsoftware im Einsatz, die nur mit installiertem FW-Client Verbindung zum Bank-Server aufnehmen kann. :rolleyes: Sonst ist da keine Proxy-Fähigkeit eingebaut :mad:

 

Christoph

 

Ich hab solche Fälle bisher noch nicht gehabt. Der einzige Grund wozu man den Client braucht, wenn du unbedingt Userauthentifizierung für solche Protokolle forderst. Ansonsten läßt sich alles auch ohne den Client lösen. Mir wäre jedenfalls nix anderes bekannt. ;)

 

Bye

Norbert

Link zu diesem Kommentar
Auf einem externen Interface solltet du keine DNS Server eintragen. Auch die DNS Registrierug solltest du für diesen Adapter deaktivieren.

 

-> Das wehre kein Problem, könnte ich machen. Nur brachte diese nichts.

 

 

Ist eine der Netzwerkkarten an "Extern" gebunden? Dann wäre dort eine NAT Beziehung und dann funktioniert dein Vorhaben nicht.

 

 

 

 

Warum schreist du so? Abgesehen davon, warum willst du den Fireallclient nutzen wenn es ohne ihn funktioniert? Der ist sowieso meist nur hinderlich.

 

-> Sorry das sollte nur eine Wichtige Information darstellen. Also nichts mit schreien oder des gleichen. Wenn ich den Client nicht nutze, so habe ich doch nicht das volle nutzen des ISA´s.

 

 

 

Siehe oben. DNS solltest du extern abschalten. Ausserdem sieht das sehr nach Virtual Server aus. Funktioniert denn abgesehen von SSH alles routingtechnisch so wie du willst? Wenn du bspw. den kompletten Traffic von A nach B durchläßt, was passiert dann?

 

-> Ja alles andere geht wunderbar. Auch wenn ich alles von A nach B durchlass, klappt die SSH leider nicht. Ja ich setze VPC ein um ein paar Tests durchzuführen. Der Client auf dem VPC Installiert ist, ist Mitglied in einer Windows ADS in der auch ein ISA 2006 läuft. Auf dem Client ist auch der Firewall Client Installiert.

 

Frage: Könnte es zu Komplikationen zwichen dem Physikalischen und Virtuellen Firewallclient??

 

Bye

Norbert

 

Grüßle

TL

Link zu diesem Kommentar
Ich hab solche Fälle bisher noch nicht gehabt. Der einzige Grund wozu man den Client braucht, wenn du unbedingt Userauthentifizierung für solche Protokolle forderst. Ansonsten läßt sich alles auch ohne den Client lösen. Mir wäre jedenfalls nix anderes bekannt. ;)

 

Bye

Norbert

 

Da nur bestimmte User die Software nutzen sollen, muss ich diese User auch authentifizieren.

 

Ich bin ja auch nicht begeistert davon; mir wäre es lieber, die SW könnte den Proxy des Browsers ermitteln und nutzen, aber die Bank hat ein proprietäres Protokoll :mad:

 

Aber das wird jetzt off topic...

 

Vielleicht sollte der TO einfach mal die genaue Konfig der FW- und der Netzwerk-Regel posten, vielleicht ist da doch noch irgendwo ein Fehler.

 

Christoph

Link zu diesem Kommentar

Also wenn du schon quotest, dann machs richtig. ;)

 

-> Das wehre kein Problem, könnte ich machen. Nur brachte diese nichts.

 

Wie meinen?

 

 

Ist eine der Netzwerkkarten an "Extern" gebunden? Dann wäre dort eine NAT Beziehung und dann funktioniert dein Vorhaben nicht.[/Quote]

 

Antwort?

 

-> Sorry das sollte nur eine Wichtige Information darstellen. Also nichts mit schreien oder des gleichen. Wenn ich den Client nicht nutze, so habe ich doch nicht das volle nutzen des ISA´s.

 

Wie schon geschrieben. Abgesehen von der Authentifizierung von nicht Webprotokollen würde mir wenig einfallen was die an Nutzen verloren geht.

 

-> Ja alles andere geht wunderbar. Auch wenn ich alles von A nach B durchlass, klappt die SSH leider nicht. Ja ich setze VPC ein um ein paar Tests durchzuführen. Der Client auf dem VPC Installiert ist, ist Mitglied in einer Windows ADS in der auch ein ISA 2006 läuft. Auf dem Client ist auch der Firewall Client Installiert.

 

Frage: Könnte es zu Komplikationen zwichen dem Physikalischen und Virtuellen Firewallclient??

 

Wie wäre es, wenn du mal nicht alles auf einer Kiste tust? Wie du ja feststellst funktioniert es ohne FW Client ;)

 

Bye

Norbert

Link zu diesem Kommentar

Hallo nochmals,

 

@ Norbert -> Was meinst du mit Extern? bzgl. NAT.

 

WG: DNS auf der Netzwerkkarte, habe ich die einträge rausgenommen. Jedoch brachte es nichts bzgl. SSH.

 

Ob es generell nicht geht, da mein Physikalischer Client (Auf dem mein VirtualPC läuft) an einem ISA Verbunden ist via FirewallClient könnte sein oder auch nicht.

 

Ob sich der Physikalische und Virtuelle Firewall Client sich in die Wege kommen ist offen. Jeodch habe ich mal den Client auf meinem Physikalischen Client beendet leider kein erfolg.

 

Ich habe auf der ISA unter Konfiguration Netzwerke das Netzwerk B 192.168.168.X/24 erstellt.

Adresses habe ich folgendes eingetragen 192.168.168.0 - 192.168.168.255. Unter Domains *.adc.local.

Im Anschluss habe ich eine Rule erstellt in der eine Route von Netzwerk 192.168.1.X zu 192.168.168.X geroutet wird.

 

 

Hoffe das kann weiter Helfen.

Kann es sein das irgendwo noch ein Hacken zu setzen ist??

Evtl. ein leichtsinnsfehler??

 

 

DANKE und Grüßle

 

TL

Link zu diesem Kommentar
Hallo nochmals,

 

@ Norbert -> Was meinst du mit Extern? bzgl. NAT.

 

Ich meine damit, dass du das eventuell prüfen solltest. Wobei mir grad nicht klar ist, warum du dich beschwerst :) Ohne FW Client funktioniert SSH, wenn ich das richtig sehe, oder? Demzufolge wäre der Versuch auf einer anderen Maschine wahrscheinlich sogar erfolgreich.

 

WG: DNS auf der Netzwerkkarte, habe ich die einträge rausgenommen. Jedoch brachte es nichts bzgl. SSH.

 

Hab ich auch nie behauptet, dass es das tun würde.

 

 

 

Hmm ansonsten warte ich jetzt mal ab, ob sich hier noch jemand mit mehr ISA Supporterfahrung meldet ;) Ich kann nur aus eigener Erfahrung sagen, dass es entweder ein Logikfehler im Netzwerkaufbau ist, oder der FW Client dazwischen funkt.

 

Bye

Norbert

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...