ISA 2004 und Standartgateway - umleiten

[Mr_Invisible 10]

Hallo,

 

folgende Situation:

 

- Eine W2K3 Server läuft als DC inkl. DHCP und vermittelt den Clients IP, Subnet, DNS und Standartgateway (192.168.0.5)

- Ein ISA Server 2004 (IP: 192.168.0.5) fungiert als zentraler Proxy.

 

Das funktioniert soweit super, jeder in der Domäne kann ohne weiteres ins Internet. Auch externe Rechner brauchen nur per LAN an die Dose angeschlossen zu werden und sind im Internet (auch wenn sie nicht in der Domäne hängen).

 

Nun folgendes Problem: Auf dem ISA läuft eine Filter Software namens Time-for-Kids. Diese filtert aber nur auf dem TCP Port 8080. Stelle ich im IE unter Proxyserver den 192.168.0.5 mit Port 8080 ein funktioniert das auch. Dies ist per GPO auch auf allen Domänen-Clients so eingestellt.

 

ABER: Jeder externe PC der einfach nur angeschlossen wird und ohne diese Proxyservereinstellungen läuft kommt um den Filter sozusagen herum ins Internet.

 

Wie kann ich also den ISA Server so konfigurieren, dass er sozusagen standartmäßig beim Zugriff über den Standartgateway auf den Port 8080 umleitet?

[s.k. 11]

Hi,

 

der Isa-Server leitet auch normale Routing-Anfragen intern über _sein_ Proxymodul, wenn es sich dabei um die typischen Webprotokolle handelt (http, ftp). Entsprechende Proxyerweiterungen greifen so auch für diese (Routing-)Clients.

Wir nutzen ebenfalls TFK, allerdings als Plugin für den ISA2000. Der Filter funktioniert dann definitiv auch bei (Routing-)Clients.

Vermutlich habt Ihr den Proventia-Filter (welcher Bestandteil von TFK ist) nicht als ISA-Plugin im Einsatz, sondern als eigenständigen Proxy. Wenn dem so ist, sehe ich keine Möglichkeit, die von Dir gewünschte Funktionalität zu erreichen. Es sei denn, Ihr stellt auf die Plugin-Variante um, wobei ich nicht weiss, ob diese zwischenzeitlich überhaupt für den ISA2004 verfügbar ist (als wir dieses Produkt implementiert haben, funktionierte das Plugin nur unter ISA2000).

 

Gruß

Steffen

[Mr_Invisible 10]

Hi,

 

ja, genau das ist das Problem. Ich habe versucht den Proventia Filter mit ISA PlugIn zu installieren, aber der ist nicht wirklich mit der 2004er Version kompatibel - das ist das Problem. Schon bei der Installation kommt eine Fehlermeldung und danach funktioniert gar nichts mehr - überhaupt kein Internet Zugriff mehr! Hab den gesamte TfK und ISA deinstalliert und ISA neu installiert, erst danach ging überhaupt wieder was.

 

Deswegen habe ich im Anschluß die Standalone Version installiert, diese Filtert zumindest wenn man sie auf dem 8080er Port anspricht...

 

Gibts evtl. ne andere Lösung?

[s.k. 11]

Entweder Downgrade auf ISA2000 oder die Linuxvariante (Squid als transparenter Proxy).

 

Gruß

Steffen

[substyle 20]

Bei Squid nicht vergessen:

 

cache_replacement_policy heap LFUDA

memory_replacement_policy heap GDSF

cache mem 500 MB

cache_dir aufs /var/log/cache 500 256 256

 

setzen und ab geht die Post! Als reiner Proxy finde ich ihn sowieso besser als ISA.

 

subby

[Tobikom 10]

Hallo Mr_Invisible,

 

wenn du bei dem ISA 2004 auf dem internen Interface den Webproxy aktivierst sollten alle Webanfragen nur über wen Webproxy (Standart Port 8080) möglich sein. Wenn du dann die Firewallregeln entsprechend einrichtest dürfte keiner mehr am Proxy "vorbei surfen".

 

Grüße

 

Tobias

 

EDIT: Hier findest du noch viele Nützliche Infos zum ISA Server http://msisafaq.de/Anleitungen/2004/index.htm

[s.k. 11]

Wenn du dann die Firewallregeln entsprechend einrichtest dürfte keiner mehr am Proxy "vorbei surfen".

Das erfordert allerdings, dass die User den Proxy selbst eintragen. Gerade dies scheint mir hier aber nicht gewollt zu sein.

 

Zwei Lösungsansätze sind mir dazu noch eingefallen:

 

1) Isa-Firewallregelwerk dicht machen und die Browser per WPAD konfigurieren. Siehe http://www.msisafaq.de/Anleitungen/2004/Konfiguration/wpad.htm

 

2) den TFK-Proxy als Upstreamproxy für den ISA verwenden. Siehe http://www.msisafaq.de/Anleitungen/2004/Konfiguration/Webverkettung.htm

 

Gruß

Steffen

[Mr_Invisible 10]

Hi,

 

erstmal danke für die Antworten =)

 

@Hercules:

 

Das habe ich mir auch schon gedacht, funktioniert aber leider nicht in der Form. Trotzdem kann jeder "am Standart Port" vorbei surfen, da der Standartgateway ja vom DHCP geliefert wird und ich möchte, dass keine weiteren Einstellungen im IE vorgenommen werden müssel.

 

@s.k.:

 

1) Das mit der automatischen Konfiguration habe ich auch schon gelesen und werde das demächst auch mal ausprobieren, das erscheint mir eine der erfolgsversprechendsten Varianten zu sein.

 

2) Habe ich bereits probiert. Scheitert aber daran, dass ISA und TfK auf der selben Maschine laufen - sprich die Regel leitet den Traffic an Port 8080 weiter, der TfK filtert und will seinerseits als Upstream Proxy den ISA an Port 3128 verwenden, der das dann aber als Anfrage sieht und dank Webverkettung wieder an Port 8080 weiterleitet... --> Endlosschleife

 

 

Mittlerweile habe ich auch TfK eine email geschrieben. Es soll wohl im Mai eine neue Version 1.7 des Filters rauskommen die dann auch ISA 2004 mit dem PlugIn unterstützt.

[s.k. 11]

1) Das mit der automatischen Konfiguration habe ich auch schon gelesen und werde das demächst auch mal ausprobieren, das erscheint mir eine der erfolgsversprechendsten Varianten zu sein.

Funktioniert natürlich auch nur dann, wenn der Browser für die Suche konfiguriert ist. :( Beim IE ist das allerdings die Standardeinstellung.

 

2) Habe ich bereits probiert. Scheitert aber daran, dass ISA und TfK auf der selben Maschine laufen - sprich die Regel leitet den Traffic an Port 8080 weiter, der TfK filtert und will seinerseits als Upstream Proxy den ISA an Port 3128 verwenden, der das dann aber als Anfrage sieht und dank Webverkettung wieder an Port 8080 weiterleitet... --> Endlosschleife

Dachte ich mir schon. Beim ISA2000 hätte es vermutlich funktioniert. Da wird der lokale Webtraffic nicht über das Proxymodul geleitet.

 

Es soll wohl im Mai eine neue Version 1.7 des Filters rauskommen die dann auch ISA 2004 mit dem PlugIn unterstützt.

Im welchem Jahr haben sie allerdings nicht gesagt, oder? :D Wie wir vor ca. 1,5 Jahren das Programm getestet hatten, hieß es auch, es käme die nächsten Wochen ein Update für ISA2004... :rolleyes:

 

Gruß

Steffen

[Mr_Invisible 10]

Funktioniert natürlich auch nur dann, wenn der Browser für die Suche konfiguriert ist. :( Beim IE ist das allerdings die Standardeinstellung.

 

Genau - das hab ich mir auch gedacht... *seufz*

 

Im welchem Jahr haben sie allerdings nicht gesagt, oder? :D Wie wir vor ca. 1,5 Jahren das Programm getestet hatten, hieß es auch, es käme die nächsten Wochen ein Update für ISA2004... :rolleyes:

 

Nee, leider nicht :D Oha, das wusste ich nicht...die ham aber auch gemeint dass man über HTTP und HTTPS Filter das ganze wohl einschränken und auf den Standalone Filter umleiten kann.

 

Ich bin gespannt...

[kaotai 10]

Hallo,

 

1.Frage warum haben deine Clients eine Defaultgateway Konfiguriert ?

>>Dass Brauchen die ja eh nicht wenn Du über den Proxy gehts.

2. Warum unterbindest Du nicht das Routing auf dem ISA Server?

3. Warum keine Adressbeschränkung auf dem ISA ( DHCP für Clients)

4. DHCP Reservierungen für die Clients somit können keine "Fremdrechner ins Netz"