türkischlan 10 Geschrieben 28. Januar 2009 Melden Teilen Geschrieben 28. Januar 2009 Hallo zusammen, ich hoffe hier die Lösung zu meinem Problem zu bekommen. Problem: Ich habe einen Server auf dem zwei Netzwerkkarten eingebaut sind. Erste Netzwerkkarte hat als IP-Adresse die 192.168.168.X/24. DIe zweite wiederum hat die 192.168.1.X/24. Die Karte mit der 192.168.168.X/24 IP-Adresse hat mehrere Clients (Windows XP Prof). Ich versuche vergebens über das Netzwerk 192.168.1.X/24 eine SSH Verbindung via Cygwin oder Putty auf einen Ziel Rechner zu zugreifen der im 192.168.168.X/24 Netz liegt. Ich habe auf dem ISA 2006 eine Richtlinie erstellt in dem die SSH Protokolle erlaubt werden. Diese werden vom Netz 192.168.1.X/24 zum Netz 192.168.168..X/24 erlaubt. Auch habe ich auf der ISA das zweite Netzwerk bekannt gegeben und eine Netzwerk Rule als Route, vom 192.168.1.X/24 -> 192.168.168..X/24 erstellt. Habe auch die gleiche Einstellungen durchgenommen und Kontrolliert. Problem ist, dass es nicht möglich ist eine SSH Verbindung vom Netz 192.168.1.X/24 zum anderen Netz 192.168.168.X/24 zu erstellen. Habe alles durchgenommen wie z.B nur die Rechner in die Rule genommen die eine Verbindung machen sollen, oder nur die Netzwerke in die Rule eingetragen (von intern nach 192.168.1.X) alles ohne Erfolg. Wenn ich den Firewall Client Disable, so klappt diese... Im Monitoring sehe ich das die Verbindung als Denied angezeigt wird, jedoch sehe ich nicht welche Richtlinie es verbietet. Hoffe gute Informationen gegeben zu haben. Wer weis was und könnte mir weiter Helfen?? Ich meine das ich irgendwo noch was eintragen muss. DANKE im Voraus TL Zitieren Link zu diesem Kommentar
onewayticket 10 Geschrieben 28. Januar 2009 Melden Teilen Geschrieben 28. Januar 2009 Hallo, ist der Port 22 freigeschaltet? Zitieren Link zu diesem Kommentar
NorbertFe 2.064 Geschrieben 28. Januar 2009 Melden Teilen Geschrieben 28. Januar 2009 Im Monitoring sehe ich das die Verbindung als Denied angezeigt wird, jedoch sehe ich nicht welche Richtlinie es verbietet. Normalerweise ein Zeichen dafür, dass deine Netzwerkbeziehungen irgendwo falsch konfiguriert sind. Poste mal ein ipconfig /all deines ISA. Bye Norbert Zitieren Link zu diesem Kommentar
türkischlan 10 Geschrieben 28. Januar 2009 Autor Melden Teilen Geschrieben 28. Januar 2009 Hallo, danke für die Tipps. Zur Port 22 Freischaltung, ist diese eingerichtet. Habe eine richtlinie mit erlauben SSH(22) von Netzwerk A zu Netzwerk B. Bzgl. der IP-Konfig, habe ich einen DNS und als GW den Router. Eine bekanntgebung des Netzwerkes 192.168.168.X/24 wurde in der ISA bereits durchgenommen. Auch eine Rule habe ich erstellt in der das Netzwerk 192.168.1.X/24 mit dem Netzwerk 192.168.168.X/24 via Route eingerichtet ist. Beim Monitoring am ISA, kommt die Meldung nach versuch einer Verbindung folgende Reihenfolge: 1) Destination IP 192.168.168.91:22, SSH, Initiated Connection, rule name, 2) Destination IP 192.168.1.7:1745 Microsoft Firewall Client (TCP) Initiated Connection, 3) Destionation IP 192.168.168.91:22, SSH, DENIED CONNECTION, ... WENN ICH DEN FIREWALL CLIENT DISABLE, SO KLAPPT DIESE OHNE FEHLER. Hier noch die IP-Konfiguration aus der ISA 2006 ------------------------------------------------------------------------- Windows IP Configuration Host Name . . . . . . . . . . . . : srv7 Primary Dns Suffix . . . . . . . : master.local Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : Yes WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : master.local Ethernet adapter Internet: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapter (Generic) #2 Physical Address. . . . . . . . . : 00-03-FF-AA-7D-DD DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 192.168.168.249 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.168.23 DNS Servers . . . . . . . . . . . : 192.168.168.250 192.168.168.251 NetBIOS over Tcpip. . . . . . . . : Disabled Ethernet adapter NIC: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapter (Generic) Physical Address. . . . . . . . . : 00-03-FF-A7-7D-DD DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 192.168.1.7 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : DNS Servers . . . . . . . . . . . : 192.168.1.1 192.168.1.2 Primary WINS Server . . . . . . . : 192.168.1.1 Secondary WINS Server . . . . . . : 192.168.1.2 DANKE für die Hilfe. Gruß TL Zitieren Link zu diesem Kommentar
NorbertFe 2.064 Geschrieben 28. Januar 2009 Melden Teilen Geschrieben 28. Januar 2009 Bzgl. der IP-Konfig, habe ich einen DNS und als GW den Router. Auf einem externen Interface solltet du keine DNS Server eintragen. Auch die DNS Registrierug solltest du für diesen Adapter deaktivieren. Eine bekanntgebung des Netzwerkes 192.168.168.X/24 wurde in der ISA bereits durchgenommen. Auch eine Rule habe ich erstellt in der das Netzwerk 192.168.1.X/24 mit dem Netzwerk 192.168.168.X/24 via Route eingerichtet ist. Ist eine der Netzwerkkarten an "Extern" gebunden? Dann wäre dort eine NAT Beziehung und dann funktioniert dein Vorhaben nicht. WENN ICH DEN FIREWALL CLIENT DISABLE, SO KLAPPT DIESE OHNE FEHLER. Warum schreist du so? Abgesehen davon, warum willst du den Fireallclient nutzen wenn es ohne ihn funktioniert? Der ist sowieso meist nur hinderlich. Ethernet adapter Internet: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapter (Generic) #2 Physical Address. . . . . . . . . : 00-03-FF-AA-7D-DD DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 192.168.168.249 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.168.23 DNS Servers . . . . . . . . . . . : 192.168.168.250 192.168.168.251 NetBIOS over Tcpip. . . . . . . . : Disabled Ethernet adapter NIC: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapter (Generic) Physical Address. . . . . . . . . : 00-03-FF-A7-7D-DD DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 192.168.1.7 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : DNS Servers . . . . . . . . . . . : 192.168.1.1 192.168.1.2 Primary WINS Server . . . . . . . : 192.168.1.1 Secondary WINS Server . . . . . . : 192.168.1.2 Siehe oben. DNS solltest du extern abschalten. Ausserdem sieht das sehr nach Virtual Server aus. Funktioniert denn abgesehen von SSH alles routingtechnisch so wie du willst? Wenn du bspw. den kompletten Traffic von A nach B durchläßt, was passiert dann? Bye Norbert Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 28. Januar 2009 Melden Teilen Geschrieben 28. Januar 2009 Abgesehen davon, warum willst du den Fireallclient nutzen wenn es ohne ihn funktioniert? Der ist sowieso meist nur hinderlich. Manchmal gehts aber auch nicht ohne... z.B. haben wir eine Bankingsoftware im Einsatz, die nur mit installiertem FW-Client Verbindung zum Bank-Server aufnehmen kann. :rolleyes: Sonst ist da keine Proxy-Fähigkeit eingebaut :mad: Christoph Zitieren Link zu diesem Kommentar
NorbertFe 2.064 Geschrieben 28. Januar 2009 Melden Teilen Geschrieben 28. Januar 2009 Manchmal gehts aber auch nicht ohne... z.B. haben wir eine Bankingsoftware im Einsatz, die nur mit installiertem FW-Client Verbindung zum Bank-Server aufnehmen kann. :rolleyes: Sonst ist da keine Proxy-Fähigkeit eingebaut :mad: Christoph Ich hab solche Fälle bisher noch nicht gehabt. Der einzige Grund wozu man den Client braucht, wenn du unbedingt Userauthentifizierung für solche Protokolle forderst. Ansonsten läßt sich alles auch ohne den Client lösen. Mir wäre jedenfalls nix anderes bekannt. ;) Bye Norbert Zitieren Link zu diesem Kommentar
türkischlan 10 Geschrieben 28. Januar 2009 Autor Melden Teilen Geschrieben 28. Januar 2009 Auf einem externen Interface solltet du keine DNS Server eintragen. Auch die DNS Registrierug solltest du für diesen Adapter deaktivieren. -> Das wehre kein Problem, könnte ich machen. Nur brachte diese nichts. Ist eine der Netzwerkkarten an "Extern" gebunden? Dann wäre dort eine NAT Beziehung und dann funktioniert dein Vorhaben nicht. Warum schreist du so? Abgesehen davon, warum willst du den Fireallclient nutzen wenn es ohne ihn funktioniert? Der ist sowieso meist nur hinderlich. -> Sorry das sollte nur eine Wichtige Information darstellen. Also nichts mit schreien oder des gleichen. Wenn ich den Client nicht nutze, so habe ich doch nicht das volle nutzen des ISA´s. Siehe oben. DNS solltest du extern abschalten. Ausserdem sieht das sehr nach Virtual Server aus. Funktioniert denn abgesehen von SSH alles routingtechnisch so wie du willst? Wenn du bspw. den kompletten Traffic von A nach B durchläßt, was passiert dann? -> Ja alles andere geht wunderbar. Auch wenn ich alles von A nach B durchlass, klappt die SSH leider nicht. Ja ich setze VPC ein um ein paar Tests durchzuführen. Der Client auf dem VPC Installiert ist, ist Mitglied in einer Windows ADS in der auch ein ISA 2006 läuft. Auf dem Client ist auch der Firewall Client Installiert. Frage: Könnte es zu Komplikationen zwichen dem Physikalischen und Virtuellen Firewallclient?? Bye Norbert Grüßle TL Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 28. Januar 2009 Melden Teilen Geschrieben 28. Januar 2009 Ich hab solche Fälle bisher noch nicht gehabt. Der einzige Grund wozu man den Client braucht, wenn du unbedingt Userauthentifizierung für solche Protokolle forderst. Ansonsten läßt sich alles auch ohne den Client lösen. Mir wäre jedenfalls nix anderes bekannt. ;) Bye Norbert Da nur bestimmte User die Software nutzen sollen, muss ich diese User auch authentifizieren. Ich bin ja auch nicht begeistert davon; mir wäre es lieber, die SW könnte den Proxy des Browsers ermitteln und nutzen, aber die Bank hat ein proprietäres Protokoll :mad: Aber das wird jetzt off topic... Vielleicht sollte der TO einfach mal die genaue Konfig der FW- und der Netzwerk-Regel posten, vielleicht ist da doch noch irgendwo ein Fehler. Christoph Zitieren Link zu diesem Kommentar
NorbertFe 2.064 Geschrieben 28. Januar 2009 Melden Teilen Geschrieben 28. Januar 2009 Also wenn du schon quotest, dann machs richtig. ;) -> Das wehre kein Problem, könnte ich machen. Nur brachte diese nichts. Wie meinen? Ist eine der Netzwerkkarten an "Extern" gebunden? Dann wäre dort eine NAT Beziehung und dann funktioniert dein Vorhaben nicht.[/Quote] Antwort? -> Sorry das sollte nur eine Wichtige Information darstellen. Also nichts mit schreien oder des gleichen. Wenn ich den Client nicht nutze, so habe ich doch nicht das volle nutzen des ISA´s. Wie schon geschrieben. Abgesehen von der Authentifizierung von nicht Webprotokollen würde mir wenig einfallen was die an Nutzen verloren geht. -> Ja alles andere geht wunderbar. Auch wenn ich alles von A nach B durchlass, klappt die SSH leider nicht. Ja ich setze VPC ein um ein paar Tests durchzuführen. Der Client auf dem VPC Installiert ist, ist Mitglied in einer Windows ADS in der auch ein ISA 2006 läuft. Auf dem Client ist auch der Firewall Client Installiert. Frage: Könnte es zu Komplikationen zwichen dem Physikalischen und Virtuellen Firewallclient?? Wie wäre es, wenn du mal nicht alles auf einer Kiste tust? Wie du ja feststellst funktioniert es ohne FW Client ;) Bye Norbert Zitieren Link zu diesem Kommentar
türkischlan 10 Geschrieben 29. Januar 2009 Autor Melden Teilen Geschrieben 29. Januar 2009 Hallo nochmals, @ Norbert -> Was meinst du mit Extern? bzgl. NAT. WG: DNS auf der Netzwerkkarte, habe ich die einträge rausgenommen. Jedoch brachte es nichts bzgl. SSH. Ob es generell nicht geht, da mein Physikalischer Client (Auf dem mein VirtualPC läuft) an einem ISA Verbunden ist via FirewallClient könnte sein oder auch nicht. Ob sich der Physikalische und Virtuelle Firewall Client sich in die Wege kommen ist offen. Jeodch habe ich mal den Client auf meinem Physikalischen Client beendet leider kein erfolg. Ich habe auf der ISA unter Konfiguration Netzwerke das Netzwerk B 192.168.168.X/24 erstellt. Adresses habe ich folgendes eingetragen 192.168.168.0 - 192.168.168.255. Unter Domains *.adc.local. Im Anschluss habe ich eine Rule erstellt in der eine Route von Netzwerk 192.168.1.X zu 192.168.168.X geroutet wird. Hoffe das kann weiter Helfen. Kann es sein das irgendwo noch ein Hacken zu setzen ist?? Evtl. ein leichtsinnsfehler?? DANKE und Grüßle TL Zitieren Link zu diesem Kommentar
NorbertFe 2.064 Geschrieben 29. Januar 2009 Melden Teilen Geschrieben 29. Januar 2009 Hallo nochmals, @ Norbert -> Was meinst du mit Extern? bzgl. NAT. Ich meine damit, dass du das eventuell prüfen solltest. Wobei mir grad nicht klar ist, warum du dich beschwerst :) Ohne FW Client funktioniert SSH, wenn ich das richtig sehe, oder? Demzufolge wäre der Versuch auf einer anderen Maschine wahrscheinlich sogar erfolgreich. WG: DNS auf der Netzwerkkarte, habe ich die einträge rausgenommen. Jedoch brachte es nichts bzgl. SSH. Hab ich auch nie behauptet, dass es das tun würde. Hmm ansonsten warte ich jetzt mal ab, ob sich hier noch jemand mit mehr ISA Supporterfahrung meldet ;) Ich kann nur aus eigener Erfahrung sagen, dass es entweder ein Logikfehler im Netzwerkaufbau ist, oder der FW Client dazwischen funkt. Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.