ISA Server und VPN nach Extern

[Willüüü 10]

Hi,

 

habe hier eine Testumgebung und einen Windows 2003 Server mit ADS und dem ISA Server 2004. Folgendes ist mein Ziel, ich will so nicht direkt die Berichtigung verteilen sich ins Internet einzuwählen sondern erst wenn man eine IPSec Verbindung zum Server aufbaut. VPN ist eingerichtet und die Verbindung zum Server vom Client intern klappt. Dann habe eine Regel erstellt von VPN Clients nach Extern mit der Gruppe in der der Benutzer ist, die auch VPN Berechtigung hat. Doch baue ich eine Verbindung auf sagt der ISA, "Der ISA hat die URL verweigert Fehler 12202" Am Client ist der ISA als Proxy Server eingetragen, rausnehmen bringt nichts. Auch am Client läuft der Firewallclient vom ISA.

 

Netzwerk:

 

WAN Router - ISA-Server-Client

 

Gateway ist somit immer der ISA.

 

Jemand eine Idee?

 

Danke

[Willüüü 10]

Niemand eine Idee?

 

Vielen Dank.

[grizzly999 11]

Das ist kein Chat hier, sondern ein Forum, zudem Samstag Abend, bitte übe dich in Geduld ;)

 

Ich verstehe das Problem nicht ganz, z.B. das hier:

 

will so nicht direkt die Berichtigung verteilen sich ins Internet einzuwählen sondern erst wenn man eine IPSec Verbindung zum Server aufbaut.

Die internen Clients sollen sich mit IPSec an den ISA verbinden, um in Intenret zu kommen, warum das denn?

 

VPN ist eingerichtet und die Verbindung zum Server vom Client intern klappt

Ich mache VPn verbindugen zum ISA immer nur von extern

 

grizzly999

[Willüüü 10]

Wegen der zusätzlichen Verschlüsselung die IPSec bietet. Somit ist der Datenverkehr zum ISA ordentlich verschlüsselt und niemand im Netz kann mitsniffen. Deshalb auch die VPN Verbindung von Intern nach Extern.

 

Sorry wegen dem Doppelpost, würde das Problem nur gerne schnell lösen. :)

[grizzly999 11]

Ich habe viele ISAs eingerichtet, ich bin im Security Umfeld tätig, eine solche Anforderung hatte ich nioch nie. Ist der Internetverkehr da so geheim? Dann sollte man aber auch nur HTTPS freischalten, und nur SFTP zulassen, und nur SMTPS, und ....

 

Entschuldigung, aus meiner SIcht macht es keienn Sinn, das Zeugs intern zum ISA verschlüsseln und draussen flutscht dann alles völlig unverschlüsselt durchs komplette Internet.

 

 

grizzly999

[Willüüü 10]

Ich will wissen ob es möglich ist. Das es ab dem Internet unverschlüsselt ist weiß ich. Dennoch möchte ich wissen wie man es realisiert und wieso ich dann keine Webseite aufrufen kann?

[grizzly999 11]

Sorry, weiss ich nicht :(

 

 

grizzly999

[Willüüü 10]

Trotzdem vielen Dank, werde mal die Regeln nochmal überprüfen!

 

Danke. :)

[djmaker 95]

Hallo,

 

1. Um im Netz bei Euch sniffen zu können muss jemand auf den Switches einen Monitor-Port einrichten oder am Switch einen Hub anschließen (Hub hat das Problem das der wohl zu langsam ist). Sollte das möglich sein habt Ihr ein ernsthaftes Sicherheitsproblem (und solltet dieses zuerst lösen).

 

2. Sollte es jemand gelingen auf einem PC Software zu installieren die per Spoofing etc. im Netzwerk unerwünschte Sachen machen kann habt Ihr ebenfalls ein sehr ernsthaftes Problem.

 

Sollte dies alle bei Euch nicht möglich sein besteht eingentlich auch keine Notwendigkeit für solche Maßnahmen.

 

PS: Sofern doch notwendig vielleicht eine andere Lösung (wenn auch umständlich):

 

Du spendierst jedem betroffenen PC eine 2. Netzwerkkarte und tütest die jeweils in ein eigenes VLAN am Switch (zum surfen). Dann musst Du nur noch die Verbindung zum ISa hinbekommen . . .:D