msVSme 10 Geschrieben 19. Juni 2009 Melden Teilen Geschrieben 19. Juni 2009 Erstmal herzliches Hallo, ich bin der Neue!!! :) Mein erster Post! :) Ein paar Fragen habe ich zum ISA2006 auf einem W2k3 Std. Der Server ist Mitgleid in einer Domäne. DC ist ein W2k8 R2 im selben Netz. Extern am ISA hängt noch ein Router. Ich habe im ISA die Firewall erstmal offen dh. alle Protokolle -> Netz intern an Extern accept. Nun zu meinem Problem: Das surfen funktioniert, jedoch ist es egal, ob ich am Client einen Proxy eintrage oder nicht. Ich möchte gern über Client-Webproxy arbeiten. Wie bekomme ich den ISA dazu, dass alle Clients nur über Proxy raus kommen? Der nächste Wunsch ist, das die Server keinen Proxy nutzen sollen. Gibt es dazu von euch ein paar Tipps? Ich wäre euch sehr dankbar. Patrick Zitieren Link zu diesem Kommentar
MichaelScherr 10 Geschrieben 20. Juni 2009 Melden Teilen Geschrieben 20. Juni 2009 Hallo, in dem du bei Konfiguration -> Netzwerke -> netzwerkregeln die Regel "internerzugriff" anpasst. Dort sollte die Regel Intern -> Extern (NAT) sein. Wenn deine Server geroutet werden sollen dann einfach -> Eine Regel erstellen (unter netzwerke -> Netzwerkregeln) die NAT von deinen Server (Computergruppe erstellen) nach Extern macht. Mfg micha Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 21. Juni 2009 Melden Teilen Geschrieben 21. Juni 2009 Ich habe im ISA die Firewall erstmal offen dh. alle Protokolle -> Netz intern an Extern accept. Darf man fragen wozu? Nun zu meinem Problem:Das surfen funktioniert, jedoch ist es egal, ob ich am Client einen Proxy eintrage oder nicht. Richtig. Der ISA macht transparent proxy. Heißt, auch wenn du keinen eingibst, wird der Request über den http proxy geschickt. Ich möchte gern über Client-Webproxy arbeiten. Wie bekomme ich den ISA dazu, dass alle Clients nur über Proxy raus kommen? Du fordest bei dieser Regel ausgehende Authentifizierung, denn das geht nur mit eingegebenem Proxy. Der IE nutzt im Idealfall die integrierte Authentifzierung, so dass der User davon überhaupt nichts mitbekommt. Alle anderen Browser fordern den User auf, die Credentials einzugeben. Der nächste Wunsch ist, das die Server keinen Proxy nutzen sollen. Deine Server werden sicher feste IP Adressen besitzen, und die klammerst du von der Authentifizierung aus. Eigene Regel, die das Surfen erlaubt und in der Reihenfolge vor der Regel der Clients. Bye Norbert Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 21. Juni 2009 Melden Teilen Geschrieben 21. Juni 2009 Hallo, in dem du bei Konfiguration -> Netzwerke -> netzwerkregeln die Regel "internerzugriff" anpasst. Dort sollte die Regel Intern -> Extern (NAT) sein. Wenn deine Server geroutet werden sollen dann einfach -> Eine Regel erstellen (unter netzwerke -> Netzwerkregeln) die NAT von deinen Server (Computergruppe erstellen) nach Extern macht. Mfg micha Was genau hat die Antwort jetzt mit der Frage zu tun? Bye Norbert Zitieren Link zu diesem Kommentar
MichaelScherr 10 Geschrieben 21. Juni 2009 Melden Teilen Geschrieben 21. Juni 2009 Hallo Norbert, wieso hat meine Möglichkeit nichts mit dem Problem von mevsme zu tun. Wenn er dort die NAT Regel bearbeitet kann der Client egal was er macht nur noch über "Webproxy" ins Internet .. auch unauthentifiziert. Deine Antwortmöglichkeit ist natürlich auch richtig, nur was würde ein Client machen wenn ein Programm ins Internet will was keine übergabe der Authentifizierung unterstützt? Oder habe ich ein Denkfehler ... wenn ja warum? mfg micha Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 21. Juni 2009 Melden Teilen Geschrieben 21. Juni 2009 wieso hat meine Möglichkeit nichts mit dem Problem von mevsme zu tun. Weil die Wahrscheinlichkeit einen Client ins Internet routen zu lassen eher theoretischer Natur ist (in diesem Fall). Wenn er dort die NAT Regel bearbeitet kann der Client egal was er macht nur noch über "Webproxy" ins Internet .. auch unauthentifiziert. Den Zustand hat er aber jetzt schon. Deine Antwortmöglichkeit ist natürlich auch richtig, nur was würde ein Client machen wenn ein Programm ins Internet will was keine übergabe der Authentifizierung unterstützt? Die wird geblockt. Zur Not kann man auch unauthentifiziert, aber dann gehts eben auch ohne Proxykonfiguration. ;) Oder habe ich ein Denkfehler ... wenn ja warum? Keine Ahnung, ob du einen Denkfehler hast, aber deine Antwort würde dem TO wohl kaum helfen. Ich verstehe sie jedenfalls nicht (aber das kann ja auch an mir liegen. ;)). "Wenn deine Server geroutet werden sollen dann einfach -> Eine Regel erstellen (unter netzwerke -> Netzwerkregeln) die NAT von deinen Server (Computergruppe erstellen) nach Extern macht." Du müßtest dich mal entscheiden. Entweder es wird geroutet, oder geNATet. ;) Und wenn er ne neue Regel dafür anlegt, wo genau wäre dann der Unterschied zum jetzigen Verhalten? Bye Norbert Zitieren Link zu diesem Kommentar
msVSme 10 Geschrieben 21. Juni 2009 Autor Melden Teilen Geschrieben 21. Juni 2009 Hallo und vielen Dank für eure Antworten. Gleich vorweg zur offenen Firewall: ich wollte erstmal herausfinden, wie der Proxy arbeitet und die Firewall als zweiten Step konfigurieren, um Probleme in den Regeln auszuschließen. Beide Server sind mit festen IPs konfiguriert. Der DC1 hält einen DHCP für Clients. Es gibt scheinbar einige Wege im ISA zum Ziel. Darf ich euch nochmal meine Problem genauer beschreiben? Ich muß über den ISA am Ende zwei VLANs laufen lassen. Hierzu wird die LAN Schnittstelle für zwei VLANs konfiguriert. VLAN1 (IP Bereich 172.20.0.0/16) ist ein WLAN über das sich User verbinden dürfen, um ins Internet zu kommen. Nur sollen sich diese User über den ISA am AD authentifizieren, um surfen zu dürfen. Ansonsten bekommen sie keinerlei Zugang zum restlichen Netz. Die Clients gehören nicht zur lokalen Domäne. Hier möchte ich also den Client-Webproxy nutzen, und User über den Proxy gegen das AD auf dem DC zu authentifizieren. Ich muß es hinbekommen, dass diese Clients halt ausschließlich über die Authentifizierung des Proxy gehen. Könnt ihr mir dazu eine Idee geben? VLAN2 ist das "Produktionsnetz" (IP Bereich 172.30.0.0/16) hier ist es nicht nötig, dass die user sich nochmals am Proxy anmelden, da die Clients hier zur Domäne gehören und bereits durch Windowsanmeldung authentifiziert sind. Allerdings sollen die Clients auch hier über den Proxy laufen, da die Internetnutzung geloggt werden soll. Wie wäre das lösbar? Und zu guter letzt halt die Server ohne Proxy, damit diese ohne Probleme jegliche Software über das Netz aktualisieren können. Ich habe mit der Standard NAT Regel auch schon rumgespielt, also sie mal deaktiviert. Dann habe ich eine Neue erstellt die ich mit einem neuem Netz "Server" (IPs der Server) verknüpft habe. Das hat auch geklappt, Server kamen ins Internet. Jedoch war es dann über die Clients mit dem Webproxy Eintrag nicht mehr möglich zu surfen, obwohl ich Firewall technisch das Client-Netz - gesamter ausgehender Verkehr -> Clients -> Extern alles erlaubt hatte. Tut mir leid, wenn ich so viel scheibe, aber ich durchschaue den ISA noch nicht so richtig. Ich danke euch für eure Hilfe. Viele Grüße und schönen Sonntag euch Patrick Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 21. Juni 2009 Melden Teilen Geschrieben 21. Juni 2009 Gleich vorweg zur offenen Firewall: ich wollte erstmal herausfinden, wie der Proxy arbeitet und die Firewall als zweiten Step konfigurieren, um Probleme in den Regeln auszuschließen. Hmm. Ich muß über den ISA am Ende zwei VLANs laufen lassen. Hierzu wird die LAN Schnittstelle für zwei VLANs konfiguriert. VLAN1 (IP Bereich 172.20.0.0/16) ist ein WLAN über das sich User verbinden dürfen, um ins Internet zu kommen. OK, das ist kein Problem. Die VLANs stellen sich im Windows ja als "virtuelle" Netzwerkkarten dar. Du mußt im ISA jetzt nur ein zusätzliches Netzwerkobjekt erzeugen, dem du die Computer/User, die nur surfen dürfen sollen an diese Schnittstelle bindest. Ich hab mal nen Screenshot von meiner Konfig angehängt. VLAN22 ist mein "VLAN1" und an "Intern" gebunden, und VLAN153 ist mein Guest-VLAN. Zwischen beiden besteht das Netzwerkverhältnis Route, da bei mir auch DHCP, DNS usw. von intern kommen soll. Benötigst du für deinen Zwecke aber nicht, sondern du packst einfach das neue Netzwerkobjekt in die bestehende Netzwerkregel "Internet". Nur sollen sich diese User über den ISA am AD authentifizieren, um surfen zu dürfen. Ansonsten bekommen sie keinerlei Zugang zum restlichen Netz. Die Clients gehören nicht zur lokalen Domäne. Es sollte reichen, wenn du mal auf das Netzwerkobjekt "VLAN2" (bei mir VLAN153) rechtsklickst und dort eine ausgehende Authentifzierung fordest, ansonsten kannst du das natürlich auch in der Firewallregel definieren, dass nur eine Gruppe oder authentifzierte User "rausdürfen". ;) VLAN2 ist das "Produktionsnetz" (IP Bereich 172.30.0.0/16) hier ist es nicht nötig, dass die user sich nochmals am Proxy anmelden, da die Clients hier zur Domäne gehören und bereits durch Windowsanmeldung authentifiziert sind.Allerdings sollen die Clients auch hier über den Proxy laufen, da die Internetnutzung geloggt werden soll. Wie wäre das lösbar? Geloggt wird immer. Nur wenn du keine Authentifizierung fordest, siehst du im Log nur die Client IP und nicht den Namen. Und zu guter letzt halt die Server ohne Proxy, damit diese ohne Probleme jegliche Software über das Netz aktualisieren können. Siehe oben einfach mit mehreren Firewall-Regeln arbeiten. Ich habe mit der Standard NAT Regel auch schon rumgespielt, also sie mal deaktiviert. Keine gute Idee. Dann habe ich eine Neue erstellt die ich mit einem neuem Netz "Server" (IPs der Server) verknüpft habe. Das hat auch geklappt, Server kamen ins Internet. Jedoch war es dann über die Clients mit dem Webproxy Eintrag nicht mehr möglich zu surfen, obwohl ich Firewall technisch das Client-Netz - gesamter ausgehender Verkehr -> Clients -> Extern alles erlaubt hatte. Du darfst Netzwerkregeln und Firewallregeln nicht verwechseln. ;) Tut mir leid, wenn ich so viel scheibe, aber ich durchschaue den ISA noch nicht so richtig. Ich danke euch für eure Hilfe. Kennst du http://www.msisafaq.de? Schau da auf jeden Fall vorbei. Bye Norbert Zitieren Link zu diesem Kommentar
msVSme 10 Geschrieben 21. Juni 2009 Autor Melden Teilen Geschrieben 21. Juni 2009 Vielen, vielen, vielen Dank. Ich werde mich da morgen gleich durcharbeiten. Vielleicht melde ich mich nochmal. ;) Danke für alle Tipps. Toll... Beste Grüße Patrick Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 22. Juni 2009 Melden Teilen Geschrieben 22. Juni 2009 Vielleicht melde ich mich nochmal. ;) Das will ich doch hoffen. ;) Viel Erfolg. Norbert Zitieren Link zu diesem Kommentar
msVSme 10 Geschrieben 22. Juni 2009 Autor Melden Teilen Geschrieben 22. Juni 2009 Ich habe nun den ISA soweit eingerichtet, die VLANs auf der NIC gebunden und habe auch zwischen den Servern soweit den gewünschten Zugriff. Könnt ihr kurz noch mal auf meine Config schauen. Denn wenn ich einen Client in das VLAN30 hänge, die VLANs habe ich jetzt zur Übersicht nach den IP-Kreisen benannt, bekommt dieser Rechner vom DC1 eine IP. Dieser Client ist dann in der Lage den DC1 per Ping und RDP zu erreichen, allerdings erreicht er auf keinem Weg den ISA1. Weder per RDP noch per Ping. Die Protokollierung meldet unerlaubten Zugriff, allerdings ohne eine Regel zu nennen... Was ist da falsch? Wie gesagt, der DC1 hängt im selben VLAN, kann aber vollwertig auf den ISA zugreifen. Der Client hat eine IP vom DC bezogen, kann diesen auch vollwertig erreichen. oh.. ich sehe grad, Screenshots werden nicht freigegeben... Ich hänge mal Ausschnitte an, vielleicht klappts ja. Grüße Patrick Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 22. Juni 2009 Melden Teilen Geschrieben 22. Juni 2009 Ich habe nun den ISA soweit eingerichtet, die VLANs auf der NIC gebunden und habe auch zwischen den Servern soweit den gewünschten Zugriff. Könnt ihr kurz noch mal auf meine Config schauen. Denn wenn ich einen Client in das VLAN30 hänge, die VLANs habe ich jetzt zur Übersicht nach den IP-Kreisen benannt, bekommt dieser Rechner vom DC1 eine IP. Dieser Client ist dann in der Lage den DC1 per Ping und RDP zu erreichen, allerdings erreicht er auf keinem Weg den ISA1. Weder per RDP noch per Ping. Die Protokollierung meldet unerlaubten Zugriff, allerdings ohne eine Regel zu nennen... Was ist da falsch? Wie gesagt, der DC1 hängt im selben VLAN, kann aber vollwertig auf den ISA zugreifen. Der Client hat eine IP vom DC bezogen, kann diesen auch vollwertig erreichen. oh.. ich sehe grad, Screenshots werden nicht freigegeben... Ich hänge mal Ausschnitte an, vielleicht klappts ja. Grüße Patrick Ich sehe deine Screenshots nicht, aber dass du den ISA nicht erreichst, dürfte daran liegen, dass der ISA Server per Default seine Interfaces schützt. Du müßtest den Zugriff in den Systemrichtlinien explizit freischalten. Würde ich aber für das ungeschützte LAN nicht empfehlen. Im Übrigen, brauchst du für deine Clients auch CALs, wenn die DHCP usw. vom DC ziehen. Und wenn du soweit bist, kannst du die Clients auch in die Domain integrieren. ;) Bye Norbert Zitieren Link zu diesem Kommentar
msVSme 10 Geschrieben 22. Juni 2009 Autor Melden Teilen Geschrieben 22. Juni 2009 Habe das Problem gefunden. Ich hatte das Standard "Intern" Netzwerk aufgebrochen. Also die ersten zehn IPs abgetrennt und diese Zehn als extra "Server" Netzwerk benutzt. Es waren also 172.30.0.1 - 172.30.0.9/16 als Netz "Server" und 172.30.0.10 - 172.30.255.255 als Netz "Intern" bestimmt. Keine der IPs aus dem Bereich "Intern" kamen dadurch auf den ISA und ins www. Nur die aus dem Netz "Server". Nun habe ich das Netz Intern wieder auf 172.30.0.1- 172.30.255.255 und die Server nun über die Firewall als Computergruppe Server vom Netz Intern "abgetrennt". Puh, das habe ich nun geschnallt. Ich glaube, jetzt den ISA in der Hinsicht verstanden zu haben. Norbert, danke für deine Mühe. Du hast mir wirklich die Wege gezeigt. Danke dir. Patrick Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 22. Juni 2009 Melden Teilen Geschrieben 22. Juni 2009 Hi, gern. Weiterhin viel Erfolg. ;) Schau ruhig noch rein, mit dem ISA läßt sich ein ganze Menge machen. Bye Norbert Zitieren Link zu diesem Kommentar
MichaelScherr 10 Geschrieben 22. Juni 2009 Melden Teilen Geschrieben 22. Juni 2009 Hi Norbert, danke für die Gedankenstütze. Hab mich nochmal zu dem Thema belesen und du hast natürlich recht. Für sein Problem nicht wirklich die Lösung, bzw allgemein ne schlechte idee gewesen. mfg micha Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.