Alsion 10 Geschrieben 1. März 2017 Melden Teilen Geschrieben 1. März 2017 Hallo zusammen, ich bin ins kalte Wasser geworfen worden und darf mich mit DirectAccess auf Server 2016 befassen. Meine Installation funktioniert soweit auch. Aktuell habe ich eine NIC in der public DMZ hinter einem NAT-Device (Port-Weiterleitung 443) und eine NIC im internen Netz. Letzteres soll nun geändert werden und die zweite NIC für mehr Sicherheit und Kontrolle in die private DMZ. Der Server stünde damit dann zwischen zwei Firewalls. Einmal der, die externen Verkehr regelt, einmal der Internen, die die private DMZ vom internen Netz trennt. Nun stellt sich für mich die Frage: Bevor ich meinen Firewall-Kollegen ins Boot hole würde ich gerne wissen, welche Ports auf jeden Fall ins interne Netz geöffnet werden müssen. Sind das nur bestimmte und dadurch wird alles getunnelt? Wenn ja, welche? Oder brauche ich für jede Anwendung im internen Netz ein eigenes Löchlein in der Firewall zum internen Netz? (RDP, Sharepoint, IIS, SQL, File Services, Print, SAP etc. pp.). Kann mir hier jemand mit Erfahrungswerten weiterhelfen? Zitieren Link zu diesem Kommentar
testperson 1.676 Geschrieben 1. März 2017 Melden Teilen Geschrieben 1. März 2017 Hi, AFAIK gilt da https://technet.microsoft.com/en-gb/library/jj574101.aspx When using additional firewalls, apply the following internal network firewall exceptions for Remote Access traffic: ISATAP—Protocol 41 inbound and outbound TCP/UDP for all IPv4/IPv6 traffic Ansonsten eben für alle benötigten Ressourcen / Applikationen die entsprechenden Regeln ;) Gruß Jan Zitieren Link zu diesem Kommentar
Alsion 10 Geschrieben 1. März 2017 Autor Melden Teilen Geschrieben 1. März 2017 Ansonsten eben für alle benötigten Ressourcen / Applikationen die entsprechenden Regeln ;) Danke für Deine Antwort! Was in unserem Fall dann wahrscheinlich bedeuten würde die interne FW ordentlich zu durchlöchern... Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 1. März 2017 Melden Teilen Geschrieben 1. März 2017 ist ja irgendwie auch logisch, dass auf der anderen Seite des VPN Tunnels eben alle Protokolle irgendwann "raus müssen", die auf der Startseite in den Tunnel reinkippe oder? ;) Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 1. März 2017 Melden Teilen Geschrieben 1. März 2017 Das Anbinden eines Gerätes in mehrere Netzwerkbereiche ist nur für Virtualisierungshosts erlaubt. Das was du machst und weiter vorhast ist ein nogo. Da kann man die Firewall auch gleich weg lassen. Zitieren Link zu diesem Kommentar
Alsion 10 Geschrieben 2. März 2017 Autor Melden Teilen Geschrieben 2. März 2017 (bearbeitet) Das Anbinden eines Gerätes in mehrere Netzwerkbereiche ist nur für Virtualisierungshosts erlaubt. Das was du machst und weiter vorhast ist ein nogo. Da kann man die Firewall auch gleich weg lassen. Vielleicht verstehe ich Deinen Einwand falsch, aber genau das macht MS mit DirectAccess doch sowieso. Normalerweise halt mit einer Karte in der DMZ mit der anderen im internen Netz. Ich versuche die zweite Karte auch in der DMZ (wenn auch in einem eigenen Bereich) zu lassen. In beiden Fällen sind das aber zwei Netzbereiche. In meinem Fall versuche ich ja gerade die zweite Firewall einzubeziehen. Deshalb die Frage. In der von MS favorisierten Variante würde ich in der Tat die zweite Firewall umgehen. Sollte meine angedachte Lösung funktionieren, hätte ich zwei Firewalls! Internet/Client => FW => public DMZ => DA Server => private DMZ => FW => internes Netz. bearbeitet 2. März 2017 von Alsion Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 2. März 2017 Melden Teilen Geschrieben 2. März 2017 Und wie kommst du von privater Dmz ins LAN? Das ist bei von Zugängen irgendwie hinderlich, oder verstehe ich da was falsch? Zitieren Link zu diesem Kommentar
Alsion 10 Geschrieben 2. März 2017 Autor Melden Teilen Geschrieben 2. März 2017 Und wie kommst du von privater Dmz ins LAN? Das ist bei von Zugängen irgendwie hinderlich, oder verstehe ich da was falsch? Da gibt es (wenn ich meinen FW-Kollegen richtig verstanden habe!) statische Routen auf dem Gateway der an der 2 NIC des DA-Servers eingetragen ist. Durch die FW durch sofern die Ports offen sind. Ich will jetzt eben testen welche Ports da geöffnet werden müssten. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 2. März 2017 Melden Teilen Geschrieben 2. März 2017 Na alle die du brauchst im allgemeinen steuert man sowas am vpn Gateway aber direct access wird so nicht funktionieren. Zitieren Link zu diesem Kommentar
Alsion 10 Geschrieben 2. März 2017 Autor Melden Teilen Geschrieben 2. März 2017 Na alle die du brauchst im allgemeinen steuert man sowas am vpn Gateway aber direct access wird so nicht funktionieren. Das befürchte ich auch ;-) Aber wenn "ein paar Etagen höher" möchten dass das getestet wird... Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 2. März 2017 Melden Teilen Geschrieben 2. März 2017 Dann würd ich erstmal bei MS nachschauen, welches Support-Statement die für so ein Design abgeben. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 2. März 2017 Melden Teilen Geschrieben 2. März 2017 Vielleicht verstehe ich Deinen Einwand falsch, aber genau das macht MS mit DirectAccess doch sowieso. Normalerweise halt mit einer Karte in der DMZ mit der anderen im internen Netz. Das wäre für mich ein klarer Grund das Produkt nicht einzusetzen. Ich stell mit doch nicht eine sündhaft teure Firewall hin um unter anderem die internen Netze vor den anderen Netzen zu schützen, und nehme dann einen Server und hänge den in mehrere Netze. Traffic der an der Firewall vorbei Netzwerkübergreifend läuft ist ein Nogo. Da kann man sich die Netztrennung gleich sparen. Egal ob Microsoft das toll findet oder nicht. Zitieren Link zu diesem Kommentar
Alsion 10 Geschrieben 2. März 2017 Autor Melden Teilen Geschrieben 2. März 2017 Traffic der an der Firewall vorbei Netzwerkübergreifend läuft ist ein Nogo. Da kann man sich die Netztrennung gleich sparen. Deshalb ja die Idee, die zweite NIC auch vor einer Firewall zu haben. Wie im Eingangsposting bereits geschrieben. Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 2. März 2017 Melden Teilen Geschrieben 2. März 2017 Das wäre für mich ein klarer Grund das Produkt nicht einzusetzen. Ich stell mit doch nicht eine sündhaft teure Firewall hin um unter anderem die internen Netze vor den anderen Netzen zu schützen, und nehme dann einen Server und hänge den in mehrere Netze. Traffic der an der Firewall vorbei Netzwerkübergreifend läuft ist ein Nogo. Da kann man sich die Netztrennung gleich sparen. Egal ob Microsoft das toll findet oder nicht. Was hat denn MS in dem Fall damit zu tun? Die Empfehlung ist afair immer noch Simple NAT auf den DA Server. Der steht dann natürlich im LAN. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 2. März 2017 Melden Teilen Geschrieben 2. März 2017 Ich hab keine Ahnung was MS da sagt, ich nutze dieses Produkt nicht. Weiter oben stand aber: Normalerweise halt mit einer Karte in der DMZ mit der anderen im internen Netz. Und das ist das Nogo... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.