IT Service ist überfordert. ISA Konfiguration für Agenda und Starmoney

[s.k. 11]

Die Paketfilter-Regeln betreffen m.W. nur die Kommunikation von oder zum ISA-Host selbst (sofern Ziel oder Quelle außerhalb der LAT liegen). Alles was durch den ISA2000 hindurch geht, wird per Protokollregel - und wenn es sich um HTTP-Traffic handelt, zusätzlich durch eine Site- und Inhaltsregel auf Anwendungsprotokollebene - reglementiert.

Warum MS das so implementiert hat? Keine Ahnung... :rolleyes: Im ISA2004 gibt es diese Unterscheidung nicht mehr.

 

Gruß

Steffen

[cebo 10]

HBCI funzt. Leute, Ihr seid die Größten.

 

Ich kümmere mich jetzt um die Paketfilter.

[cebo 10]

Ok, habe Die Paketfilter gesetzt. im Agenda habe ich unter Internet 2 nur oben den Proxy eingestellt. Die 6 Eingabefelder darunter sind leer.

 

Ich bekomme folgende Fehlermeldung:

 

im Übrigen ist Jana der Server.

 

28.02.2006/17:42:14.500 : /JANA/admin/func -> glElsterDLLFree

28.02.2006/17:42:14.515 : /JANA/admin/func -> glElsterDLLFree -> Elster-DLL´s werden entladen

28.02.2006/17:42:14.515 : /JANA/admin/func -> glElsterDLLFree -> Elster-DLL´s waren nicht geladen

28.02.2006/17:42:14.515 : /JANA/admin/Rechnername eingelesen --> JANA

28.02.2006/17:42:14.515 : /JANA/admin/Netzbelegung --> 292

28.02.2006/17:42:14.515 : /JANA/admin/func -> glElsterDLLFree

28.02.2006/17:42:14.515 : /JANA/admin/func -> glElsterDLLFree -> Elster-DLL´s werden entladen

28.02.2006/17:42:14.515 : /JANA/admin/func -> glElsterDLLFree -> Elster-DLL´s waren nicht geladen

28.02.2006/17:42:14.515 : /JANA/admin/Anmeldung von JANA

28.02.2006/17:43:00.031 : /JANA/admin/func -> glElsterDLLFree

28.02.2006/17:43:00.031 : /JANA/admin/func -> glElsterDLLFree -> Elster-DLL´s werden entladen

28.02.2006/17:43:00.031 : /JANA/admin/func -> glElsterDLLFree -> Elster-DLL´s waren nicht geladen

28.02.2006/17:43:00.156 : /JANA/admin/DELFIN Ende

28.02.2006/17:53:45.531 : /JANA/admin/func -> glElsterDLLFree

28.02.2006/17:53:45.531 : /JANA/admin/func -> glElsterDLLFree -> Elster-DLL´s werden entladen

[cebo 10]

zu lang

[cebo 10]

Poohh das war lang.

[s.k. 11]

Grundsätzliche Frage: Agenda wurde jetzt auf dem Server installiert? Die genannten Einstellungen und Fehlermeldungen beziehen sich auf die serverseitige Installation?

[cebo 10]

Die Programmdateien von Agenda lagen immer auf dem Server. Das Programm bietet zwei Installationsmöglichkeiten oder eine Kombination aus beidem.

 

1. Fileserver Das Programm wird über ein Netzlaufwerk am Clienten installiert

2. WTS , eigentlich genau wie der Fileserver nur direkt auf dem Server und dann Über WTS.

 

Genau, ich habe das Programm direkt am Server gestartet. Vorher hatte ich die Fileserverinstallation gestartet.

[s.k. 11]

Das scheint mir jetzt ein Problem mit der Applikation selbst zu sein. Vermutlich wurde sie nicht richtig auf dem Server installiert (welcher hier ja gleichzeitig Client ist). Ist die Applikation überhaupt unter 2003 lauffähig? Bezüglich dieser Fragen solltest Du Dich - wenn nötig - wieder an den Hersteller wenden.

Was die Einstellungen in Agenda betrifft, wenn es _auf_ dem Server ausgeführt wird: auch hier _keinen_ Proxy angeben, sondern für den Direktzugriff konfigurieren.

 

Gruß

Steffen

[cebo 10]

Du bist der König. Ich habe gerade die Proxyeinstellungen in Internet 2 herausgenommen und was soll ich sagen, Blitzschnell und weg war die Anmeldung.

 

Ich werde es morgen nochmals genauer testen aber es scheint zu funktionieren. Aber, warum kann ich plötzlich den Proxy weglassen. ? Hatte gestern noch nicht funktioniert. Gestern hatte ich bei Verbindung testen eine negative Meldung ohne Proxy.

 

Im Übrigen, das ist ein w2k Server.

Der IE am Server funktioniert jetzt auch ohne Proxy.

[s.k. 11]

Aber, warum kann ich plötzlich den Proxy weglassen. ? Hatte gestern noch nicht funktioniert. Gestern hatte ich bei Verbindung testen eine negative Meldung ohne Proxy.

Das hattest Du aber am Client getestet und dieser hatte zu diesem Zeitpunkt noch kein Standardgateway, richtig?

 

Der IE am Server funktioniert jetzt auch ohne Proxy.

Ohne die Paketfilter-Regeln für Port 80 und 443 dürfte der Browser _am Server_ auch mit (lokalem) Proxyeintrag nicht funktioniert haben.

 

Gruß

Steffen

[cebo 10]

Das hattest Du aber am Client getestet und dieser hatte zu diesem Zeitpunkt noch kein Standardgateway, richtig?

 

Gestern hatte ich am Client noch keinen Standardgateway. Der IE funktionierte nur über WPAD. Probiert hatte ich es aber auch am Server.

 

Ohne die Paketfilter-Regeln für Port 80 und 443 dürfte der Browser _am Server_ auch mit (lokalem) Proxyeintrag nicht funktioniert haben.

 

Gestern hatte ich am Server nur Protokollregeln für FTP, und HTTP gesetzt. Außerdem sind die server - Eigenschaften - ausgehenden Webanfragen auf Abhörer individuell pro IP Adresse konfiguriert und dort ist die IP des Servers eingetragen.

 

Er hat nur mit lokalem Proxyeintrag 8080 funktioniert.

[s.k. 11]

Gestern hatte ich am Server nur Protokollregeln für FTP, und HTTP gesetzt. ... Er hat nur mit lokalem Proxyeintrag 8080 funktioniert.

Hast Recht. Habs gerade nochmal gestestet. ;) Der Proxy-Dienst selbst benötigt natürlich keine Paketfilter-Regel.

 

Gestern hatte ich am Client noch keinen Standardgateway. Der IE funktionierte nur über WPAD.

Der fehlende Gateway-Eintrag erklärt, weshalb es am Client ohne Proxyeintrag in Agenda nicht funktionierte.

 

Probiert hatte ich es aber auch am Server. Gestern hatte ich am Server nur Protokollregeln für FTP, und HTTP gesetzt.

Bei Vornahme der Proxyeinstellungen im Programm hätte der Verbindungstest über HTTP auch am Server funktionieren müssen (siehe oben). Ohne Proxyeintrag hättest Du eine Paketfilterregel benötigt. Für Elster am Server kommst Du um eine Paketfilterregel nicht herum, weil kein Webproxy-fähiges Protokoll verwendet wird (und auch kein Proxytunneling). Agenda schreibt zwar in der Anleitung, dass der Proxy benutzt würde, dies ist aber Quatsch. Es werden sog. Extragateways am Janaserver angesprochen (bzw. die vergleichbare Funktionaliät in KEN). Wenns interessiert, mach ich morgen ein paar Ausführungen dazu, was ein Extragateway beim Janaserver technisch ist (übrigens meine Lieblingsfunktion in Jana :cool: ). Für heute soll's erst mal genug sein. Bin jetzt offline... :wink2:

 

Gruß

Steffen

[nobex 10]

Hallo Steffen,

Wenns interessiert, mach ich morgen ein paar Ausführungen dazu, was ein Extragateway beim Janaserver technisch ist (übrigens meine Lieblingsfunktion in Jana).

*Interessier*

 

Gruß Robert

[cebo 10]

hi, denke auch, dass das für einige hier interessant sein dürfte.

 

Grüsse

[s.k. 11]

Hallo,

 

sorry, dass ich erst jetzt antworte – ich war die letzten Tage sehr beschäftigt. :(

 

Nachfolgend mein Erklärungsversuch.

 

Angenommen wir haben folgende Umgebung:

 

| --- Subnet 1 ---- | ---- Subnet 2 ---|

| Host A | --- | Host B | --- | Host C |

 

Bei Host A handelt es sich um einen Client, auf dem die Elster-Anwendung läuft. Er muss mit Host C (Elster-Server) kommunizieren.

Die Kenntnis darüber, wie die Kommunikation abläuft, wenn es sich bei Host B um einen Router handelt, setze ich mal voraus.

 

Hier soll Host B ein Janaserver mit 2 Ethernet-Interfaces sein. Zwischen den angeschlossenen Subnetzen wird nicht geroutet (Jana selbst kann diese Funktionalität auch nicht bereitstellen).

 

Janaserver bietet neben Serverdiensten wie Webserver, Mailserver usw. u.a. mehrere sog. Application-Level-Gateways. Hier sind insbesondere zu nennen: HTTP/S-Proxy, FTP-Proxy, FTP-Gateway und Realplayer-Proxy, DNS-Proxy. Diese arbeiten auf Anwendungsprotokollebene, d.h. sie "verstehen" (zumindest teilweise) das verwendete Anwendungsprotokoll. Aufgrund dessen ist es bspw. möglich, mit einem HTTP-Proxy den Aufruf bestimmter Seiten zu sperren. Nachteil (bzw. je nach Sichtweise ein Vorteil) eines ALG ist, dass es spezifisch auf das jeweilige Anwendungsprotokoll zugeschnitten ist. Andere Protokolle kann es (bzw. sollte es eigentlich) nicht übertragen. So sollte beispielsweise über einen HTTP-Proxy kein SMTP-Verkehr möglich sein (es gibt jedoch Techniken, mit denen dies dennoch möglich ist --> HTTPS-Connect-Methode, Tunneling).

Elster verwendet ein propritäres Protokoll namens ESTP. Hierfür gibt es in Janaserver kein spezielles ALG. Man hätte hier also ein massives Problem! Aufgrund des Drucks der Anwender haben die Elster-Entwickler mittlerweile die Möglichkeit geschaffen, ESTP in HTTP zu "verpacken" und so durch einen HTTP-Proxy zu tunneln. In ElsterFT ist dies mit implementiert. Viele Programme von Drittanbietern unterstützen dies selbst jedoch nicht (so scheinbar auch Agenda). Hierfür gibt es dann das Programm ElsterHTTPTunnel (https://www.elster.de/elfo_tunnel.php). Agenda bietet dafür aber eine andere Möglichkeit und zwar eine Art "generisches Gateway" anzusprechen, wie es u.a. in Janaserver (und scheinbar auch in AVM KEN) definiert werden kann.

Bei Janaserver heisst diese Funktion "Extragateway". Man definiert ein solches durch Festlegen des Transportprotokolls (TCP oder UDP) und eines "lokalen Ports" sowie des Zielservers (DNS-Name oder IP-Adresse) und des Ziel-Ports. Nach der Aktivierung dieses Extragateways lauscht der Janaservice auf dem eingestellten lokalen Port. Alles was dort ankommt, wird an das eingestellte Ziel weitergereicht.

 

Nehmen wir mal an, das Extragateway würde folgendermaßen definiert:

Protokoll: TCP

lokaler Port: beliebiger freier Port (hier beispielsweise 8001)

Ziel-IP: IP-Adresse von Host C (Elsterserver)

Ziel-Port: 8000 (Elster-Port)

 

Damit in unserem Beispiel Host A mit Host C "elstern" könnte, darf Host A nicht Host C auf Port 8000, sondern muss Host B (Janaserver) auf Port 8001 ansprechen. Der Traffic von Client zum Janaserver sieht also (vereinfacht) so aus:

______________________________________________

| Ziel-Hardwareadresse = Hardwareadresse von Host B

| Quell-Hardwareadresse = Hardwareadresse von Host A

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

| Ziel-IP-Adresse = IP-Adresse von Host B

| Quell-IP-Adresse = IP-Adresse von Host A

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

| Transport-Protokoll: TCP

| Quellport = dynamisch, > 1024

| Zielport = der Port des Extragateways (hier: 8001)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

| Anwendungsprotokoll: ESTP

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Um dies zu erreichen, muss der Admin in der Elster-Anwendung IP-Adresse und Port des Extragateways angeben können. In Agenda kann man nur Ports angeben. Die IP-Adresse setzt Agenda scheinbar als mit der des Proxys identisch voraus.

 

- Fortsetzung siehe nächstes Posting -