ISA Server und RemotelyAnywhere

[asot00 10]

Ich versuche momentan kläglich eine externe Verbindung über den ISA Server 2004 auf meinen Remotely Anywhere Dienst, welcher sich auf dem Server hinter der Firewall befindet, zuzugreifen.

 

Meine Konfig sieht so aus:

 

Router -> ISA Server2004 -> SERVER01

 

Router und der SERVER01 sind bereits konfiguriert.

 

Es fehlt lediglich die Richtige Zugriffsregel im ISA Setup.

 

SO hab ich die Richtlinie konfiguriert:

Toolbox->Neues Protokoll (RemotelyAnywhere)-> TCP Eingehend Port 8415

Dann neue Zugriffsregel:

Name->Zulassen->Ausgewähltes Protokoll (RemotelyAnywhere)->Quelle(Extern)->Ziel(Intern oder SERVER01)-> Alle Benutzer FERTIG.

 

Es ist kene Verbindung möglich.

 

Wenn ich die Firewall aus dem Netz rausnehme, habe ich eine direkte Verbindung vom Router zum SERVER01 und die Verbindung kommt zustande.

[grizzly999 11]

Zugriffe von aussen bei NAT (davon gehe ich jetzt aus) erfolgen auch nicht per Zugriffsregel, sondern per Serververöffentlichungsregel. Siehe auch hier am Beispiel einer RDP Veröffentlichung: RDP-Serververöffentlichung

 

 

grizzly999

[asot00 10]

Die NAT Funktion übernimmt doch mein Router, demnach müsste die Zugriffsregel reichen. Außerdem ist die Konfig die Gleiche, wie bei Serververöffentlichung

[grizzly999 11]

Keine Ahnung. du musst wissen, wie deine Netzwerkregel im ISA eingestellt ist. Schaue dort nach, ob diese auf NAT eingestellt ist (man kann ein Paket auch mehrmals natten ;) )

 

grizzly999

[asot00 10]

Das heißt, wenn man Router die NAT-Funktion übernimmt, muss der ISA (Externe Schnittstelle) auf Route konfiguriert sein, oder?

[grizzly999 11]

Das heißt, wenn man Router die NAT-Funktion übernimmt, muss der ISA (Externe Schnittstelle) auf Route konfiguriert sein, oder?

Nein, das heißt es nicht, der kann auch ganz normal mit NAT arbeiten, dann werden die Pakete eben zweimal genattet, na und ;)

Und sorry, irgendwas hat mich gestochen, wenn du vom externen netzwerk kommst und nach innen willst, musst du immer mit einer Serververöffentlichungsregel arbeiten, egal ob Route oder NAT :o

 

grizzly999

[asot00 10]

Bin jetzt total verwirrt. Worin besteht denn jetzt der Unterschied zwischen einer Serververöffentlichungregel und einer Zugriffsregel?

[grizzly999 11]

Eine Zugriffsregel dient zum Definieren von Zugriffen zwischen ISA-Netzwerken, z.B. Intern nach Extern, Intern nach VPN Clients und umgekehrt, Intern nach Trihomed-DMZ (wenn eine solche vorhanden) und umgekehrt, Standort-Standort Verbindungen etc.

Nur für EXTERN ==> INTERN (und auch von Extern auf den lokalen Host) geht das nicht, dazu braucht man Serververöffentlichungsregeln.

 

grizzly999

[asot00 10]

Als Lektüre verwende ich zur Zeit folgendes Buch: "Microsft ISA Server 2004 von Marcel Zehner" und das steht folgendes:

 

Zugriffsregeln

Zugriffsregeln können zwischen Netzwerken verwendet werden, die über eine Route. oder eine NAT-Beziehung miteinander verknüpft sind................

Veröffentlichungsregeln

Veröffentlichungsregeln können zwischen Netzwerken verwendet werden, die über eine Route- oder NAT-Beziehung miteinander verknüpft sind. Der eingehende Verkehr wird dabei aber immer übersetzt(NAT)....

 

Kann mir das einer erklären???

[grizzly999 11]

Kann mir das einer erklären???

Ja, ich :D

 

 

[

B]Zugriffsregeln[/b]

Zugriffsregeln können zwischen Netzwerken verwendet werden, die über eine Route. oder eine NAT-Beziehung miteinander verknüpft sind................

Yep, ist so. Ob die Pakete geroutet oder genattet werden, gibt die Netzwerkregel an.

 

Veröffentlichungsregeln

Veröffentlichungsregeln können zwischen Netzwerken verwendet werden, die über eine Route- oder NAT-Beziehung miteinander verknüpft sind. Der eingehende Verkehr wird dabei aber immer übersetzt(NAT)....

Stimmt auch. wenn man eine Publishing Rule verwendet, wird das Paket immer genattet, egal, wie die Netzwerkregel für die zwei Netze eingerichtet ist.

 

 

Und merke: vom Netzwerk "Extern" kommend und nach "Intern" oder Lokaler "Host wollend" muss immer veröffentlicht werden, außer man trickst es anders hin, aber dazu schreibe ich mal im Sommer ine gesondertes HowTo ..... ;)

 

grizzly999

[asot00 10]

Klingt logisch, nur die Beschreibung in meinem Buch ist nicht gerade einfach zu verstehen.

[asot00 10]

Also den Unterschied zwischen den Regeln habe ich nun verstanden. Aber ich ahbe immer noch Probleme von Extern auf Intern zuzugreifen:

 

Meine Konfig sieht so aus:

Serververöffentlichung:

 

VON (Beliebig) - NACH Intern(Serververöffentlichungs-IP 192.168.50.1) - Protokoll (RDP Terminaldienste Server) - Benutzer (Alle Benutzer) - Listener (Extern)

 

So wenn ich vom meinen Client (192.168.11.20) auf die Externe Schnittstelle des ISA zugreife (192.168.11.30:3389)

 

bekomme ich keine Verbindung.

 

Im ISA Überwachungsprotokoll wird unter der Rubrik AKTION "Initiierte Verbindung" angezeigt, dann aber gar nichts mehr.

 

Ich komme mit meinem Wissen einfach nicht mehr weiter

[grizzly999 11]

Was setht in der Rule, wer scheint der Absender des Pakets zu sein, der ISA, oder der original Client?

 

grizzly999

[asot00 10]

Ich habe den Fehler gefunden!!!

 

Eine Einstellung in der Regel hat die Verbindung zugelassen. Und zwar stand vorher:

 

"Ursprung der Anforderungen scheint der ursprüngliche Client zu sein"

 

eine Änderung auf

 

"Ursprung der Anforderungen scheint der ISA-Computer zu sein" hat das problem gelöst.

 

Was skurril ist, dass ich das bei jeder beliebigen Serveröffentlichung ändern muss, sonst bekommen ich keinen Zugriff

 

warum????

[grizzly999 11]

Vermutlich, weil der/die Server den ISA nicht als Standardgateway haben ....

 

grizzly999