webhood 10 Geschrieben 21. April 2009 Melden Teilen Geschrieben 21. April 2009 hi to all, nach dem ich meine gestrige nächtliche session total fürn .... war, muss ich euch um rat fragen! wie sieht meine ifrastruktur aus: -> siehe anhang was habe ich vor? -> owa auf exchange 2007 publishing mit isa 2006 was will ich nicht? -> einen proxyserver -> trafficüberwachung des internen netzes --> der isa soll nur externen traffic auf https überwachen!!! die astaro ist richtig konfiguriert und gibt den https traffic auch sauber an den isa weiter, hier ist also alles in ordnung! so und jetzt gehts los welches wäre das richtige netzwerk? -> ich nehme mal an umkreis-netzwerk (btw. was für eine schlechte übersetzung) was muss nun konfiguriert werden (ausser die owa-freigabe das krieg ich hin) damit nun kein proxy läuft und der isa nicht meint den internen netzwerktraffic filtern zu müssen? ein kurzes howto wäre sehr hilfreich, auf isafaq ist zwar alles recht ausführlich erklärt aber ich hab überhaupt keine ahnung was ich jetzt tun muss! btw. der isa könnte schon recht verkonfiguriert sein. besten dank im voraus, web Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 21. April 2009 Melden Teilen Geschrieben 21. April 2009 Also auf den ersten Blick würde ich sagen, du überbrückst mit dem ISA deine Astaro DMZ. Du brauchst nur eine NIC im ISA. Bye Norbert Zitieren Link zu diesem Kommentar
webhood 10 Geschrieben 21. April 2009 Autor Melden Teilen Geschrieben 21. April 2009 hi norbert, sorry wieso dass denn? der ungefilterte traffic soll auf keinen fall im mein lan, erst nach dem der isa den traffic gefiltert hat will ich den traffic ins lan bzw. auf den exchange lassen. was ist daran jetzt so falsch oder versteh ich hier irgend was überhaupt nicht?!? sorry hätte ich vielleicht noch ins bild einbauen sollen der isa hat zwei nics mit folgenden ips: intern: 192.168.100.1 extern: 192.168.101.1 web Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 21. April 2009 Melden Teilen Geschrieben 21. April 2009 hi norbert, sorry wieso dass denn? der ungefilterte traffic soll auf keinen fall im mein lan, erst nach dem der isa den traffic gefiltert hat will ich den traffic ins lan bzw. auf den exchange lassen. was ist daran jetzt so falsch oder versteh ich hier irgend was überhaupt nicht?!? sorry hätte ich vielleicht noch ins bild einbauen sollen der isa hat zwei nics mit folgenden ips: intern: 192.168.100.1 extern: 192.168.101.1 web Du willst aber nur den Reverseproxy des ISA und dafür brauchst du nur eine NIC. Denn wie du schön anhand deiner Zeichnung siehst, hast du jetzt zwei Eingänge zu deinem LAN. Einmal über die Astaro und dann nochmal über den ISA (über die Astaro DMZ). Bye Norbert PS:Ich weiß, du hast es schon geschrieben, dass du es nicht willst, aber wenn du den ISA einfach als Gateway zum LAN hinstellst und die Astaro davor, hast du erstens eine richtige DMZ und zweitens wäre die Konfig deutlich einfacher. ;) PPS: http://www.isaserver.org/articles/2004pixwebproxy.html sollte dir weiterhelfen. Ist zwar für ISA 2004, aber gilt analog auch für 2006. Zitieren Link zu diesem Kommentar
webhood 10 Geschrieben 21. April 2009 Autor Melden Teilen Geschrieben 21. April 2009 o.k. hilf mir noch ein wenig weiter... eingänge von aussen in mein netz gibts nur einen, nämlich 443 per nat an der astaro in die dmz. sorry ich steh glaube ich steh auf dem schlauch wieso lässt sich kein reverse-proxy mit zwei nics realisieren. mir wäre es definitv lieber ein potentieller angreifer landet in einem anderen subnet und hat somit nur zugriff auf den isa-server. dank dir schon mal für deine hilfe! web Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 21. April 2009 Melden Teilen Geschrieben 21. April 2009 Landet er doch auch mit einer NIC. Mach einfach mal die zweite Karte da am ISA weg. Was meinst du wohl, wo der ISA jetzt den Exchange sucht? Bye Norbert Zitieren Link zu diesem Kommentar
webhood 10 Geschrieben 21. April 2009 Autor Melden Teilen Geschrieben 21. April 2009 sorry norbert, ich kapiers nicht, bitte nicht böse sein! client kommt über astaro auf nic0 (192.168.101.1, diese verbindung geht nicht über den switch - direktes kabel fw-isa) -> reverse proxy -> und dann über nic1 ab ins lokale lan bzw. auf den exchange cas (192.168.100.220). mit nur einer netzwerkkarte klappt das so nicht, da zwei subnets und keine route die mir auch so nicht auf den router kommt, wie gesagt ich will das ziemlich restriktiv trennen. web p.s. nochmals besten dank für deine bemühungen! Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 21. April 2009 Melden Teilen Geschrieben 21. April 2009 Du baust mit deinem Konstrukt mehr Unsicherheit ein, als wenn du ein korrektes Routing benutzt. Client kommt von extern zum ISA, ISA macht SSL Bridging zum Exchange den er auf dem .100er Netz über die Astaro erreicht. Wo siehst du hier ein Problem? So wie du es konfigurieren willst, mußt du auf deinem Exchange die Route ins .101 manuell setzen bzw. irgendein Routingprotokoll nutzen, da in dem Fall der ISA das passende Gateway ist. Finde ich alles andere als sinnvoll in deinem Szenario. Gibt es triftige Gründe den ISA nicht als LAN Gateway und Applikation Firewall zu nutzen? Wie gesagt, das würde deine Probleme wahrscheinlich in 0,nix lösen. ;) Bye Norber Zitieren Link zu diesem Kommentar
webhood 10 Geschrieben 21. April 2009 Autor Melden Teilen Geschrieben 21. April 2009 hi norbert, jetzt wird verständlicher also eine nic die per direktem kabel an der astaro hängt, richtig?!? routing über ne route auf der astaro? triftigen grund für isa als lan gateway?!? naja nicht wirklich aber wieso das ganze denn zwei mal machen, das übernimmt doch schon alles die astaro, nur kann die halt leider keinen reverseproxy! wie ist das dann auf dem isa zu konfigurieren?!? dank dir, web Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 21. April 2009 Melden Teilen Geschrieben 21. April 2009 jetzt wird verständlicher also eine nic die per direktem kabel an der astaro hängt, richtig?!? Kannst du direkt an die Astaro popeln oder per Switch. Ist doch vollkommen egal. Könntest ja auch nen richtigen SMTP Relay benutzen und nicht das Ding von Astaro ;) routing über ne route auf der astaro? Ja und zusätzlich natürlich entsprechende Firewallregeln auf der Astaro. Nur der ISA darf aus der DMZ mit dem Exchange sprechen. triftigen grund für isa als lan gateway?!? naja nicht wirklich aber wieso das ganze denn zwei mal machen, Weils übersichtlicher ist! Weils Single Click Fehler ausschliesst! Erwähnte ich, dass es übersichtlicher ist? Achja und es ist übersichtlicher. das übernimmt doch schon alles die astaro, nur kann die halt leider keinen reverseproxy! Warum nicht beides miteinander kombinieren und dadurch mehr erhalten? wie ist das dann auf dem isa zu konfigurieren?!? Liest du auch die Links die ich dir poste? Bye Norbert Zitieren Link zu diesem Kommentar
webhood 10 Geschrieben 21. April 2009 Autor Melden Teilen Geschrieben 21. April 2009 hi norbert, sorry den link hab ich wirklich überlesen! dank dir schon mal für deine hilfe, über die übersichtlichkeit schlaf ich mal nacht. :D nochmals danke, so jetzt ist aber feierabend muss ja nicht schon wieder halb zwei werden. web Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.