LLaehn 10 Geschrieben 17. Januar 2005 Melden Teilen Geschrieben 17. Januar 2005 Hallo, ich habe ein kleines Problem mit unserem ISA-Server. Folgendes Szenario : - 1 ISA Server 2000 SP2/FP1, integriert, Win2kS, Domänenmkitglied, DSL-DFÜ Verbindung, 1 Netzwerkkarte DSL (192.168.20.1), 1 Netzwerkkarte ins interne Netz (IP 192.168.0.1 und 192.168.10.1) - Netzwerk 1 192.168.0 mit W2k AD und mehreren Clients - Netzwerk 2 192.168.10 mit einem W2kPro Client in einer Arbeitsgruppe - Zwischen Netz 192.168.0 und 192.168.10 besteht (und darf auch nicht) keine logische Verbindung ! Ein Zugriff von den Clients des einen Netzes in das andere Netz ist nicht möglich Die Clients in Netzwerk 1 haben den Firewallclient installiert und surfen über Proxy. Funktioniert. Auch das abrufen von Mails per Outlook Expr. läuft. Der Client in Netzwerk 2 hat den Proxyserver eingetragen und ISAServer als Standardgateway. Der Client hat keinen Firewallclient installiert. Er kann über dem Proxy surfen aber z.B. keine Mails abrufen. Es kommt im Outlook folgende Fehlermeldung : Der Server hat unerwartet die Verbindung beendet. Möglicherweise liegt ein Serverproblem vor, es ist ein Netzwerkproblem aufgetreten oder das Zeitlimit wurde überschritten. Konto: 'www.xxx.de', Server: xxx.xxx.xxx.xxx', Protokoll: POP3, Anschluss: 110, Secure(SSL): Nein, Fehlernummer: 0x800CCC0F Hier ein Auszug aus der FW-Logdatei : #Fields: c-ip 192.168.40.10 cs-username - c-agent - sc-authenticated N date 2005-01-17 time 10:37:54 s-svcname fwsrv s-computername ISAROXY cs-referred - r-host - r-ip xxx.xxx.xxx.xxx r-port 110 time-taken - cs-bytes - sc-bytes - cs-protocol 110 cs-transport TCP s-operation Connect cs-uri - cs-mime-type - s-object-source - sc-status 13301 s-cache-info - rule#1 - rule#2 - sessionid 56 connectionid 123 Vielleicht hat ja jemand schon mal was in dieser Richtung gehabt. danke lars Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 17. Januar 2005 Melden Teilen Geschrieben 17. Januar 2005 Ist das Netzwerk in der LAT eingetragen? Gibt es eine Protokollregel, die das Protokoll aus diesem Netz zuläst? Und wenn das Netzwerk 2 angeblich eine 10er Adresse hat, wieso hat dann der Client eine 40er? grizzly999 Zitieren Link zu diesem Kommentar
LLaehn 10 Geschrieben 17. Januar 2005 Autor Melden Teilen Geschrieben 17. Januar 2005 hi, ja das netzwerk ist in der lat eingetragen. die protokollregeln existiert. es funktioniert ja auch mit den firewallclients. der client hat natürlich keine 40er adresse. ich habe hier ein testfeld aufgebaut in dem client natürlich eine gültige netzadresse hat. dies ist nur die falsche log gewesen. im testsystem wird aber die gleiche log (abgesehen von der ip-adresse ;-) ) generiert. ich habe jetzt auch mal einen firewallclient des 192.168.0. netzes auf securenat umgestellt. bekomme da bei einer dns-anfrage die logmeldung 20000 beim udpmap und 200001 beim bind. Wenn ich das richtig verstehe ist der isa-server nicht in der lage einen port für die anfrage zu binden. ein ping geht komischerweise von allen rechnern raus. ich werde heute nochmal ein wenig tüffteln. lars Zitieren Link zu diesem Kommentar
LLaehn 10 Geschrieben 18. Januar 2005 Autor Melden Teilen Geschrieben 18. Januar 2005 folgende meldungen habe ich noch : per telnet den smtp erreichen : der bildschirm wird erst schwarz als wenn eine verbindung zustande kommen will. dann bin ich wieder auf der eingabeaufforderung per ftp einen ftp-server erreichen : der ftp-client schreibt erst, dass die verbindung hergestellt wurde. danach wird die verbindung vom remotehost getrennt. Zitieren Link zu diesem Kommentar
rablu 10 Geschrieben 18. Januar 2005 Melden Teilen Geschrieben 18. Januar 2005 Poste bitte die genauen Firewallregeln fuer POP3, SMTP und FTP. Zitieren Link zu diesem Kommentar
LLaehn 10 Geschrieben 19. Januar 2005 Autor Melden Teilen Geschrieben 19. Januar 2005 protokollregeln : Zulassen : Mailverkehr ausgehend Unternehmen Zulassen IMAP4;IMAPS;POP2;POP3;POP3S ;SMTP;SMTPS Jede Anfrage Immer Zulassen : Webzugriff ausgehend Unternehmen Zulassen FTP;FTP Download only;Gopher;HTTP;HTTPS Jede Anfrage Immer Die Protokolldefinitionen auf die ich zurückgegriffen habe entsprechen den std-protokollen, die von isa installiert wurden. wie gesagt wenn ich den firewallclient installiere funzt es auch. wenn ich ihn wieder deinstalliere funzt es nicht mehr. ich arbeite derzeit bei den tests ausschliesslich mit ip-adressen (securenat = dns selber kümmern -> schon klar). auch habe ich keine protokollregeln die benutzerabhängig sind (securenat = keine userauth.). und es gibt keine protokollregeln für "gesamten ip-datenverkehr" freigeben. ich habe für jedes protokoll, welches ich verwenden möchte eine definition. bei securenat habe ich den isa-server als gw eingetragen. der isaserver steht im gleichen ip-subnetz. ich bin davon ausgegangen, wenn ich das o.a. einhalte sollte dass, was mit fwc geht auch mit securenat funktionieren. wo ist der unterschied zwische den beiden zugriffsarten ? lars Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.