Discussion:
Frage zu Ausgabe in Überrwachung "Initiierte Verbindung" und "Getrennte Verbindung"
(zu alt für eine Antwort)
Thomas Bayer
2009-11-30 13:26:33 UTC
Permalink
Hallo,
habe einen ISA, indem im internen Netzwerk ein Modul (IP 192.168.0.149) hängt, welches mit dem Hersteller
kommunizieren möchte (es soll eine Mail über den Hersteller versendet werden).
Laut Beschreibung muss der Port 49049/UDP in der Firewall freigegeben sein.
Habe dafür im ISA eine Richtlinie erstellt (Zulassen, gesamter ausgehender Verkehr,Von Client, Nach Extern, Alle Benutzer, immer)
Leider kommt keine Mail an. In der ISA Überwachung ist immer
folgendes zu sehen:
Initiierte Verbindung -->Status:Der Vorgang wurde erfolgreich beendet. -->Quelle: Client -->Ziel: ISA
und etwa 2 Minuten später
Getrennte Verbindung Status --> Eine Verbindung wurde beim ordnungsgemäßen Herunterfahren mit einem FIN-initialisierten
Dreiwegehandshake getrennt. -->Quelle: Client -->Ziel: ISA

Bedeutet die Meldung "Getrennte Verbindung", das der ISA die Verbindung blockiert hat?
unknown
2009-11-30 14:03:01 UTC
Permalink
hallo thomas,
Post by Thomas Bayer
habe einen ISA, indem im internen Netzwerk ein Modul (IP 192.168.0.149)
hängt, welches mit dem Hersteller
kommunizieren möchte (es soll eine Mail über den Hersteller versendet werden).
o.k.
Post by Thomas Bayer
Laut Beschreibung muss der Port 49049/UDP in der Firewall freigegeben sein.
Habe dafür im ISA eine Richtlinie erstellt (Zulassen, gesamter ausgehender
Verkehr,Von Client, Nach Extern, Alle Benutzer, immer)
Leider kommt keine Mail an. In der ISA Überwachung ist immer
Initiierte Verbindung -->Status:Der Vorgang wurde erfolgreich
beendet. -->Quelle: Client -->Ziel: ISA
und etwa 2 Minuten später
Getrennte Verbindung Status --> Eine Verbindung wurde beim ordnungsgemäßen
Herunterfahren mit einem FIN-initialisierten Dreiwegehandshake
getrennt. -->Quelle: Client -->Ziel: ISA
was für ein client-typ setzt du ein (firewallclient oder secure-nat)?!
welches anwendungsprotokoll wird denn dort gesprochen? http, https, smtp
oder was proprietäres?
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Thomas Bayer
2009-11-30 14:49:48 UTC
Permalink
Hallo Jens
Post by unknown
hallo thomas,
Post by Thomas Bayer
habe einen ISA, indem im internen Netzwerk ein Modul (IP 192.168.0.149) hängt, welches mit dem Hersteller
kommunizieren möchte (es soll eine Mail über den Hersteller versendet werden).
o.k.
Post by Thomas Bayer
Laut Beschreibung muss der Port 49049/UDP in der Firewall freigegeben sein.
Habe dafür im ISA eine Richtlinie erstellt (Zulassen, gesamter ausgehender Verkehr,Von Client, Nach Extern, Alle Benutzer,
immer)
Leider kommt keine Mail an. In der ISA Überwachung ist immer
Initiierte Verbindung -->Status:Der Vorgang wurde erfolgreich beendet. -->Quelle: Client -->Ziel: ISA
und etwa 2 Minuten später
Getrennte Verbindung Status --> Eine Verbindung wurde beim ordnungsgemäßen Herunterfahren mit einem FIN-initialisierten
Dreiwegehandshake getrennt. -->Quelle: Client -->Ziel: ISA
was für ein client-typ setzt du ein (firewallclient oder secure-nat)?!
Wo kann ich sehen, was konfiguriert wurde?
Post by unknown
welches anwendungsprotokoll wird denn dort gesprochen? http, https, smtp oder was proprietäres?
Schein ein proprietäres zu sein, da der Datenstrop an das Ziel gesendet wird und von dort
eine Mail verschickt wird.

Viele Grüße
Thomas
unknown
2009-11-30 16:01:39 UTC
Permalink
hai thomas,
Post by Thomas Bayer
Wo kann ich sehen, was konfiguriert wurde?
der firewallclient muss installiert werden (uu icon im systray). beim
secure-nat-client wird hingeroutet.
Post by Thomas Bayer
Schein ein proprietäres zu sein, da der Datenstrop an das Ziel gesendet wird und von dort
eine Mail verschickt wird.
gut, dann wie jens erwähnte eine passende protokolldefinition dazu bauen und
in eine passende zugriffsregel verbauen.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Thomas Bayer
2009-12-01 08:36:13 UTC
Permalink
Post by unknown
hai thomas,
Post by Thomas Bayer
Wo kann ich sehen, was konfiguriert wurde?
der firewallclient muss installiert werden (uu icon im systray). beim secure-nat-client wird hingeroutet.
Post by Thomas Bayer
Schein ein proprietäres zu sein, da der Datenstrop an das Ziel gesendet wird und von dort
eine Mail verschickt wird.
gut, dann wie jens erwähnte eine passende protokolldefinition dazu bauen und in eine passende zugriffsregel verbauen.
Vielen Dank erst mal für Eure Hilfe, bin jetzt einen Schritt weiter!
Habe "secure-nat-client" im IAS.
Habe außerden die Regel auf den UDP-Port Senden und empfangen angepasst.
Außerdem baut der Router hinter dem ISA eine Verbindung zu der Seite auf.
Laut Hersteller von dem Modul antwortet der Server auf dem gleichen Port.
Gibt es eine Möglichkeit im ISA zu erkennen, ob eine Antwort ankommt?
unknown
2009-12-01 08:54:53 UTC
Permalink
moin thomas,
Post by Thomas Bayer
Vielen Dank erst mal für Eure Hilfe, bin jetzt einen Schritt weiter!
Habe "secure-nat-client" im IAS.
o.k. - d.h. das standardgate des clients wurde auf den isa gesetzt.
Post by Thomas Bayer
Habe außerden die Regel auf den UDP-Port Senden und empfangen angepasst.
Außerdem baut der Router hinter dem ISA eine Verbindung zu der Seite auf.
Laut Hersteller von dem Modul antwortet der Server auf dem gleichen Port.
Gibt es eine Möglichkeit im ISA zu erkennen, ob eine Antwort ankommt?
ja, das kannst du prima im logging beobachten ob der verkehr zugelassen oder
geblockt wird. hierzu den filter beim logging anpassen, das dir nur der
client angezeigt wird von dem aus du dann den zugriff startest.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Thomas Bayer
2009-12-02 12:35:21 UTC
Permalink
Post by unknown
moin thomas,
Post by Thomas Bayer
Vielen Dank erst mal für Eure Hilfe, bin jetzt einen Schritt weiter!
Habe "secure-nat-client" im IAS.
o.k. - d.h. das standardgate des clients wurde auf den isa gesetzt.
Post by Thomas Bayer
Habe außerden die Regel auf den UDP-Port Senden und empfangen angepasst.
Außerdem baut der Router hinter dem ISA eine Verbindung zu der Seite auf.
Laut Hersteller von dem Modul antwortet der Server auf dem gleichen Port.
Gibt es eine Möglichkeit im ISA zu erkennen, ob eine Antwort ankommt?
ja, das kannst du prima im logging beobachten ob der verkehr zugelassen oder geblockt wird. hierzu den filter beim logging
anpassen, das dir nur der client angezeigt wird von dem aus du dann den zugriff startest.
OK, vielen Dank für Eure Hilfe!
Hab dank Eurer Unterstützung herausbekommen, das der ISA keine
Daten blockiert. Liefet entweder am Router oder am Modul.
unknown
2009-12-02 15:01:10 UTC
Permalink
hallo thomas,
Post by Thomas Bayer
OK, vielen Dank für Eure Hilfe!
gerne.
Post by Thomas Bayer
Hab dank Eurer Unterstützung herausbekommen, das der ISA keine
Daten blockiert. Liefet entweder am Router oder am Modul.
ah, d.h. das logging ist sauber?
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Jens Baier
2009-11-30 16:06:02 UTC
Permalink
Hi,
Post by Thomas Bayer
Post by unknown
was für ein client-typ setzt du ein (firewallclient oder secure-nat)?!
Wo kann ich sehen, was konfiguriert wurde?
www.msisafaq.de - schau mal nach den Clients!

Gruss jens
www.nt-faq.de
www.it-training-grote.de
www.forefront-tmg.de
Thomas Bayer
2009-12-02 12:36:53 UTC
Permalink
Post by Jens Baier
Hi,
Post by Thomas Bayer
Post by unknown
was für ein client-typ setzt du ein (firewallclient oder secure-nat)?!
Wo kann ich sehen, was konfiguriert wurde?
www.msisafaq.de - schau mal nach den Clients!
Danke!
Dieser Punkt ist beantwortet, der ISA läßt alle Daten durch.
Jens Baier
2009-11-30 15:01:01 UTC
Permalink
Hi,
Post by Thomas Bayer
Laut Beschreibung muss der Port 49049/UDP in der Firewall freigegeben sein.
ok, also SecureNAT oder FWC CLient
Post by Thomas Bayer
Habe dafür im ISA eine Richtlinie erstellt (Zulassen, gesamter ausgehender Verkehr,Von Client, Nach Extern, Alle Benutzer, immer)
oh je, auf alle Faelle einschraenken und Protokolldefiniton fuer 49049 UDP
erstellen (SEND/RECEIVE)
Post by Thomas Bayer
Getrennte Verbindung Status --> Eine Verbindung wurde beim ordnungsgemäßen Herunterfahren mit einem FIN-initialisierten
Dreiwegehandshake getrennt. -->Quelle: Client -->Ziel: ISA
von wo nach wo kommt die Verbindung? Wer initiert die Verbindung? Client
oder externer Server?
Post by Thomas Bayer
Bedeutet die Meldung "Getrennte Verbindung", das der ISA die Verbindung blockiert hat?
nein.

gruss Jens
www.nt-faq.de
www.it-training-grote.de
www.forefront-tmg.de
Loading...