ISA-Server Port-Forwarding

[mullfreak 10]

Hi all,

 

ich habe eine Testumgebung mit einem neu aufgesetztem W2K-Server und ISA-Server. Ich hab mich jetzt mal getraut das DSL-Modem direkt in den ISA zu wuchten. Dies geht einwandfrei. Nun will ich natürlich auch meine internen Server veröffentlichen. Die Netzwerkkonfiguration lautet wie folgt:

Im ISA befinden sich zwei Netzwerkkarten. Eine ist mit DSL verbunden und stellt die Verbindung per RASPPPOE her. Die DSL-Netzwerkkarte trägt die IP 192.168.0.1. Die zweite Netzwerkkarte ist mit dem internen Netzwerk verbunden, das sich im Netz 192.168.1.0 befindet. Somit ergibt sich als externe Karte im ISA die 192.168.0.1 und die LAT mit 192.168.1.0 bis 192.168.1.255. Jetzt wollte ich meinen Exchange durch den ISA sicher freigeben mit dem Assistenten. Alle Regeln wurden einwandfrei gebaut. Die externe Adresse bei der Konfiguration lautet immer 192.168.0.1. Dann habe ich "DynSite" installiert um das ganze mit einer dynamischen IP laufen zu lassen, wegen DSL-Flat. Der Account stimmt und wird einwandfrei aufgeführt. Teste ich nun nur mal z. B. den Port 25, also den SMTP-Server der ja mit der Veröffentlichung zu erreichen sein müsste, mit TELNET: also telnet saitech.anarchyonline.net 25, so kriege ich bei einer externen Netzwerkkarten Angabe keine Verbindung. Setze ich dafür am ISA die "reale" externe IP an, also die zugewiesene öffentliche IP vom Telekom-Server so funktioniert es. Warum kann nun der ISA die Anfragen die auf 192.168.0.1 treffen nicht weiterleiten? Dies wäre doch der elementarste Bestandteil. Genau dies muss ja funzen. Wer weiss hier Abhilfe? Die ganze Konfiguration hat schon mal in einer Back-to-Back Firewall mit einem DSL-Hardware-Router einwandfrei funktioniert. Dies wäre auch wahrscheinlich die bessere Lösung. Ich werd jetzt noch mal den eingehenden Datenverkehr mit Scanning abhorchen und mal sehen wo die empfangen Pakete hingehen.

 

Grüsse

Mullfreak

[Crockett 10]

@mullfreak

 

Ich denke das wird mir der Konfiguration nicht funktionieren.

Als ich damals den ISA Server bei uns in der Firma eingebunden habe stand ich vor ählichen Problem.

 

Ich hatte auch 2 NIC im ISA. 1 für intern die 2. für DSL Wählverbindung. Die Wählverbindung habe ich beim ISA unter DFÜ konfiguriert. Dies hatte den extremen Nachteil das die Serververöffentlichungen immer nur für die aktuell externe IP vorhanden war. Da sich diese bei jeder Einwahl geändet hat war das keine Lösung. Es gibt wohl ein Script was gut funktionieren soll das die externe IP immer wieder an den ISA übergibt. Es gab hier mal ein THREAD dazu. Ich habe das Script zu Hause liegen. Es wurde mir damals von jemandem aus dem Board zugemailt. Getestet habe ich es noch nicht. Wenn du es haben möchtest dann schicke mir eine Mail. Ich kann es dir aber erst Anfang Januar zuschicken da ich im Moment im Urlaub bin.

 

Ich habe es in der Firma damals so gelöst das ich einen DSL Router zwischengehangen habe.

 

Konfig : 2 NIC im ISA 1. NIC ----> 192.168.x.x internes Netz

2.NIC -----> 10.0.0.1 NIC zum Router

10.0.0.10 DSL Router

 

Die externe IP ist nun immer die 10.0.0.10. Alle Anfrage die dort landen routet der DSL Router automatisch weiter. Läuft so seit c.a einem halben Jahr ohne Probleme.

 

Gruß und guten Rutsch..

 

Christian

[grizzly999 11]

Das Skript gibt es bei http://www.isatools.org Aber der ISA kann zwar mit Einwahlverbindungen hervorragend umgehen, aber er ist nicht für Serververöffentlichungen bei Einwhlverbindungen designt (normalerweise hat man dann ja auch feste IPs)

Die von Crockett gepostete Lösung ist die beste, einen Router vorschalten, so dass der ISA immer eine feste IP an der externen Netzwerkkarte hat.

 

grizzly999

[mullfreak 10]

Hi,

 

vielen Dank für Eure Beiträge. Ich werde das Skript mal testen, mal sehen obs funzt. Ansonsten werde ich auch wieder die Routerkonfiguration wählen. Diese hat ja auch bei mir einwandfrei funktioniert. Sogar mit DynDNS.

 

Also, an alle noch ein frohes neues.

 

Mullfreak