Discussion:
ISA2006 eine Netzwerkkarte 2 Netze
(zu alt für eine Antwort)
Michael Pleick
2010-01-24 18:57:01 UTC
Permalink
Hallo Leute,

ich betreibe 2 Standorte, meine Büro und ein Homeoffice. Im Büro hatte ich
bislang folgende Konfiguration:

1. Office: ISA 2006 mit 2 Netzwerkkarten
- 192.168.0.0/25 (internes LAN)
- 192.168.254.0/24 (DMZ)
in der DMZ liegt z.B. der Router mit der Adresse 192.168.254.1. Dieser
leitet den Datenverkehr an den ISA weiter, von dem aus er weiter verteilt
wurde.

2. Homeoffice
Dort habe ich lediglich ein Netzwerk: 192.168.1.0/24
Zwischen dem DC im Homeoffice und dem ISA-Server wird eine VPN über RRAS
hergestellt.

Alles war gut.

Nun habe ich die Konfiguration geändert.

Office: Ich habe den Router in das LAN 192.168.0.0/24 verlegt und das
Netzwerk 192.168.254.0/24 abgeschaltet. Die VPN wird jetzt direkt zwischen
den Routern hergestellt. Der ISA wurde umkonfiguriert auf die Vorlage "eine
Netzwerkkarte".
Das Netzwerk "Homeoffice" habe ich habe in in das Netzwerk "intern"
hinzugefügt. Netzwerkregeln und Zugriffsregeln wurden angepasst.

Seit dem habe ich mehrere Probleme, eines davon ist:
aus dem Netzwerk Homeoffice kann ich nicht alle Server erreichen. Als ein
Beispiel nenne ich den Terminalserver. Im Protokoll des ISA jsehe ich, das
der Datenverkehr verweigert wird, wobei mich die Protnummer irritiert.
Versuche, diese Portnummer per Regel zu erlauben, schlagen fehl. Im LAN ist
aber alles ok.

Zur Prüfung habe ich in einer Regel jeglichen Datenverker in alle Netzwerke
erlaubt. Außerdem habe ich eine Netzwerkregel erstellt, die den Datenverkehr
von intern nach intern routet (habe ich im Internet gelesen). Meine Vermutung
ist ein Problem mit dem Netzwerk "Homeoffice". Alles ohne erfolg.

Jetzt habe ich den Isa deinstalliert und alles läuft wieder. Bevor ich die
Konfiguration erneut überarbeite möchte ich gern wissen, was ich falsch
gemacht habe. Kann mir jemand helfen?

Vielen dank um Voraus

Michael
Jens Baier
2010-01-24 19:32:22 UTC
Permalink
Hi,
Post by Michael Pleick
1. Office: ISA 2006 mit 2 Netzwerkkarten
- 192.168.0.0/25 (internes LAN)
- 192.168.254.0/24 (DMZ)
in der DMZ liegt z.B. der Router mit der Adresse 192.168.254.1. Dieser
leitet den Datenverkehr an den ISA weiter, von dem aus er weiter verteilt
wurde.
OK
Post by Michael Pleick
2. Homeoffice
Dort habe ich lediglich ein Netzwerk: 192.168.1.0/24
Zwischen dem DC im Homeoffice und dem ISA-Server wird eine VPN über RRAS
hergestellt.
OK
Post by Michael Pleick
aus dem Netzwerk Homeoffice kann ich nicht alle Server erreichen. Als ein
Beispiel nenne ich den Terminalserver. Im Protokoll des ISA jsehe ich, das
der Datenverkehr verweigert wird, wobei mich die Protnummer irritiert.
Versuche, diese Portnummer per Regel zu erlauben, schlagen fehl. Im LAN ist
aber alles ok.
fuer Terminalserver brauchst Du nur 3389 (es sei denn Du veraenderst da
etwas am TS selbst)
Post by Michael Pleick
Zur Prüfung habe ich in einer Regel jeglichen Datenverker in alle Netzwerke
erlaubt. Außerdem habe ich eine Netzwerkregel erstellt, die den Datenverkehr
von intern nach intern routet (habe ich im Internet gelesen). Meine Vermutung
ist ein Problem mit dem Netzwerk "Homeoffice". Alles ohne erfolg.
Du wirst Deinem ISA wieder zwei karten goennen muessen und das Template
umstellen, weil ISA mit einer NIC sehr limitiert ist:
http://technet.microsoft.com/en-us/library/cc302586.aspx (gilt auch fuer
2006)
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Michael Pleick
2010-01-24 21:48:01 UTC
Permalink
ok, nach dem was ich recherchieren konnte, habe ich mir das gedacht.

Nun könnte ich ja die Vorlage für mehrere Netzwerkkarten verwenden und den
Router trotzdem in das LAN stellen (die 2. Nerwerkkarte wird einfach nicht
verwendet). Die Funktionalität müsste dann vorhanden sein. Kann man das so
machen oder ergeben sich Sicherheitslücken oder andere Probleme.

Ich komme deshalb darauf, weil Microsoft in den neuen Produkten wie dem SBS
2008 keine 2 Netzwerkkarten mehr unterstützt. Meine Gedanken dazu sind, das
es trotzdem sicher sein müsste, wenn der Datenverkehr nicht direkt über den
Router, sonder über den Server und dann den Router geleitet wird (bzw. immer
über die Firewall läuft.

Sind meine Gedanken richtig?

Gruß

Michael
Post by Jens Baier
Hi,
Post by Michael Pleick
1. Office: ISA 2006 mit 2 Netzwerkkarten
- 192.168.0.0/25 (internes LAN)
- 192.168.254.0/24 (DMZ)
in der DMZ liegt z.B. der Router mit der Adresse 192.168.254.1. Dieser
leitet den Datenverkehr an den ISA weiter, von dem aus er weiter verteilt
wurde.
OK
Post by Michael Pleick
2. Homeoffice
Dort habe ich lediglich ein Netzwerk: 192.168.1.0/24
Zwischen dem DC im Homeoffice und dem ISA-Server wird eine VPN über RRAS
hergestellt.
OK
Post by Michael Pleick
aus dem Netzwerk Homeoffice kann ich nicht alle Server erreichen. Als ein
Beispiel nenne ich den Terminalserver. Im Protokoll des ISA jsehe ich, das
der Datenverkehr verweigert wird, wobei mich die Protnummer irritiert.
Versuche, diese Portnummer per Regel zu erlauben, schlagen fehl. Im LAN ist
aber alles ok.
fuer Terminalserver brauchst Du nur 3389 (es sei denn Du veraenderst da
etwas am TS selbst)
Post by Michael Pleick
Zur Prüfung habe ich in einer Regel jeglichen Datenverker in alle Netzwerke
erlaubt. Außerdem habe ich eine Netzwerkregel erstellt, die den Datenverkehr
von intern nach intern routet (habe ich im Internet gelesen). Meine Vermutung
ist ein Problem mit dem Netzwerk "Homeoffice". Alles ohne erfolg.
Du wirst Deinem ISA wieder zwei karten goennen muessen und das Template
http://technet.microsoft.com/en-us/library/cc302586.aspx (gilt auch fuer
2006)
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
.
Jens Baier
2010-01-25 05:12:36 UTC
Permalink
Hi,
Post by Michael Pleick
Nun könnte ich ja die Vorlage für mehrere Netzwerkkarten verwenden und den
Router trotzdem in das LAN stellen (die 2. Nerwerkkarte wird einfach nicht
verwendet). Die Funktionalität müsste dann vorhanden sein. Kann man das so
machen oder ergeben sich Sicherheitslücken oder andere Probleme.
nein, dass bringt nichts, nur weil Du das zweite Template nimmst. Kannst Du
nicht weiterhin den Router vor den ISA stellen, aehnlich wie Du das vorher
gemacht hast?
Post by Michael Pleick
Ich komme deshalb darauf, weil Microsoft in den neuen Produkten wie dem SBS
2008 keine 2 Netzwerkkarten mehr unterstützt.
Echt, SBS 2008 unterstuetzt keine zwei Netwzerkkarten mehr? Macht ja
eigentlich Sinn, da dieser auch DC ist. In SBS 2008 ist aber auch kein ISA /
TMG mehr enthalten.
Post by Michael Pleick
es trotzdem sicher sein müsste, wenn der Datenverkehr nicht direkt über den
Router, sonder über den Server und dann den Router geleitet wird (bzw. immer
über die Firewall läuft.
aller Traffic muss ueber die Firewall laufen
--
Gruss Jens
www.it-training-grote.de
www.forefront-tmg.de
https://mvp.support.microsoft.com/profile/Marc.Grote
http://blog.it-training-grote.de
Michael Pleick
2010-01-25 07:54:01 UTC
Permalink
Hallo Jens,

Kannst Du
Post by Jens Baier
nicht weiterhin den Router vor den ISA stellen, aehnlich wie Du das vorher
gemacht hast?
ich werde es mal wieder probieren, hatte in einem Versuch damit allerdings
große Probleme mit dem zweiten Netzwerk (Homeoffice). Das lag aber vielleicht
auch an der Konfiguration der Router, da ich ja sicher ereichen muss, das
dieser Router Daten des Netzwerks Homeoffice an die zweite Schnittstelle des
Isa leiten muss.

Wir erhalten heute einen neuen Internetanschluss, da bietet sich ein
Konfigurationsversuch an. Ich melde mich wieder, bis dahin schon mal Danke.

Michael
unknown
2010-01-25 09:02:10 UTC
Permalink
moin michael,
Post by Michael Pleick
ich werde es mal wieder probieren, hatte in einem Versuch damit allerdings
große Probleme mit dem zweiten Netzwerk (Homeoffice). Das lag aber vielleicht
auch an der Konfiguration der Router, da ich ja sicher ereichen muss, das
dieser Router Daten des Netzwerks Homeoffice an die zweite Schnittstelle des
Isa leiten muss.
du könntest z.b. dein vpn auf dem router auflaufen lassen und dann durch den
isa gezielt den datenverkehr hereinlassen der benötigt wird. in dem fall
würdest du idealerweise auf dem router natten und auf isa die relation zu
route ändern.
alternativ leitest du via portforwarding auf dem router den vpn traffic zu
isa durch und regelst die zugriffe wie bisher.
welche probleme wolltest du denn mit der single-nic-lösung "erschlagen"?!
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Michael Pleick
2010-01-25 13:44:01 UTC
Permalink
Hi Jens,
Post by unknown
du könntest z.b. dein vpn auf dem router auflaufen lassen und dann durch den
isa gezielt den datenverkehr hereinlassen der benötigt wird. in dem fall
würdest du idealerweise auf dem router natten und auf isa die relation zu
route ändern.
genau das versuche ich zu konfigurieren und habe damit meine Probleme. Ich
habe die Netzwerkregel auf Route geändert und jetzt funtkioniert mein
Internet nicht mer, da das Routing nicht mehr geht. Mit NAT auf dem ISA war
das bislang kein Problemm nun muss ich umdenken. Vom isa funktionert das, aus
dem LAN nicht.
Post by unknown
alternativ leitest du via portforwarding auf dem router den vpn traffic zu
isa durch und regelst die zugriffe wie bisher.
welche probleme wolltest du denn mit der single-nic-lösung "erschlagen"?!
Im Homeoffice möchte und muss ich einige Ports nutzen, RDP, SQL u.v.m. Damit
hatte ich bislang keine Probleme, da ich vom Homeoffice eine VPN zwischen 2
Windows-Servern laufen hatte. Nun möchte ich im Homeoffice auf den Server
dadurch verzichten, das ich die VPN zwischen den beiden Routern einrichte.
Diese VPN steht auch, aber ich bekomme den DAtenverkeht nicht in mein
Netzwerk in das Office geleitet.

Gruß

Michael
unknown
2010-01-25 13:52:48 UTC
Permalink
hi michael,
Post by Michael Pleick
genau das versuche ich zu konfigurieren und habe damit meine Probleme. Ich
habe die Netzwerkregel auf Route geändert und jetzt funtkioniert mein
Internet nicht mer, da das Routing nicht mehr geht. Mit NAT auf dem ISA war
das bislang kein Problemm nun muss ich umdenken. Vom isa funktionert das, aus
dem LAN nicht.
ein fehler, der hier gerne gemacht wird: auf dem router vor dem isa müssen
die routingtabellen passend gepflegt werden. ist dies ein derivat, wo man
diese nicht hacken kann, dann kommst du um doppeltes nat nicht herum.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Michael Pleick
2010-01-25 14:13:01 UTC
Permalink
Hi,

ich habe nun folgende Fragen.

1. Mein Homeoffice hat die Netzwerkadresse 192.168.253.0/24. Wie definiere
ich das im ISA, als separates Netzwerk oder zusätzlich im Netzwerk "intern"?

2. wie definiere ich die Route? Der Router hat die Adresse 192.168.254.254.
Von dort sollte der Datenverkehr in die VPN geleitet werden. Per
Netzwerkregel habe ich die Regel "internetzugriff" dahingehend geändert, das
die Relation jetzt "Route" und nicht mehr "NAT" ist. Zusätzlich ist im RRAS
eine Standardroute eingerichtet, die den gesamten Datenferkehr auf den Router
leitet.

3. Brauche ich nocht Regeln? Zum Test habe ich eine Regel definiert, die den
gesamten Datenverkehr auf alle Schnittstellen erlaubt. Trotzdem wird ein Ping
auf eine Adresse im Homeoffice verweigert.

Das sind vielleicht sehr viele Fragen. Könnt ihr mir da helfen?

Gruß

Michael
unknown
2010-01-24 21:06:13 UTC
Permalink
huhu michael,
Post by Michael Pleick
Alles war gut.
ooooooo.k.
Post by Michael Pleick
Nun habe ich die Konfiguration geändert.
ohoh
Post by Michael Pleick
Der ISA wurde umkonfiguriert auf die Vorlage "eine Netzwerkkarte".
uh, mach doch sowas nicht! single nic isa, sag ich immer zu: porsche kaufen
mit angezogener handbremse rückwärts über die autobahn!
Post by Michael Pleick
aus dem Netzwerk Homeoffice kann ich nicht alle Server erreichen. Als ein
Beispiel nenne ich den Terminalserver. Im Protokoll des ISA jsehe ich, das
der Datenverkehr verweigert wird, wobei mich die Protnummer irritiert.
Versuche, diese Portnummer per Regel zu erlauben, schlagen fehl. Im LAN ist
aber alles ok.
single nic kann nur noch http, https und ftp proxen, dann ist schluss.
versuchst du auf den isa mit rdp zuzugreifen? oder über den isa auf einen ts
(würde nimmer gehen).
Post by Michael Pleick
Jetzt habe ich den Isa deinstalliert und alles läuft wieder. Bevor ich die
Konfiguration erneut überarbeite möchte ich gern wissen, was ich falsch
gemacht habe. Kann mir jemand helfen?
ich fürchte wie jens das dir das single-nic-szenario in die suppe spuckt.
besser wieder zurückbauen!
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Michael Pleick
2010-01-30 11:14:01 UTC
Permalink
Hallo Leute,

ich komme heute erneut auf euch zu und bitte um Unterstützung.

Das Netzwerk habe ich, wie empfohlen, wieder mit 2 Netzwerkkarten
zurückkonfiguriert. Nat wird jetzt ausschließlich am Router ausgeführt. Im
LAN ist wieder alles ok.

Die VPN zwischen den beiden Routern funktioniert. Auf dem Router am Office
ist eine Router über den Isa auf das LAN eingerichtet.

Konfiguration ISA
genau da habe ich noch Probleme. Die Konfiguration habe ich dahingehend
geändert, das ich eine neues, internes Netzwerk HomeOffice eingerichtet habe.
Zusätzlich habe ich eine Netzwerkregel erstelllt, die das Routing zwischen
dem internen und dem Homeoffice regelt. Übergangsweise habe ich eine
Zugriffsregel erstellt, die jeglichen DAtenverkehr in alle Netzwerke erlaubt.
Im Protokoll muss ich aber erkennen, das der Datenverkehr in das HomeOffice
verweigert wird. Was habe ich vergessen oder falsch gemacht. Ich bin für
jeden Hinweis dankbar.

Gruß

Michael
unknown
2010-01-30 13:15:48 UTC
Permalink
hi michael,
Post by Michael Pleick
Im Protokoll muss ich aber erkennen, das der Datenverkehr in das HomeOffice
verweigert wird. Was habe ich vergessen oder falsch gemacht. Ich bin für
jeden Hinweis dankbar.
von welcher regel wird der zugriff verweigert? der standardregel?

wenn ich das richtig verstehe ist der aufbau nun so:
firma - isa - router - inet - router - heimnetz
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Michael Pleick
2010-01-30 14:45:01 UTC
Permalink
Hallo Jens,

"Jens Man
Post by unknown
von welcher regel wird der zugriff verweigert? der standardregel?
des Feld Regels ist leer. Deshalb gehe ich von einem Fehler in der
Konfiguration der Netzwerke aus.
Netzwerk HomeOffice 192.168.253.0/24
Netzwerkregel toHomeOffice: from intern und Homeoffide to intern und
Homeoffice, route
Post by unknown
firma - isa - router - inet - router - heimnetz
richtig
Firma 192.168.5.0/24 GW 192.168.5.2 (ISA über LAN)
Zwischennetz: 192.168.254.0/24 GW 192.168.254.254 (ISA:192.168.254.252)
Heimnetz: 192.168.253.0/24 GW 192.168.253.254 (Router, hier ist kein
Zwischennetz)

NAT für das Internet habe ich erst einmal wieder eingeschaltet, da im
internen Netzwerk der Exchange liegt. Die Veröffentlichungsregel auf den
Exchange funktioniert dann nicht mehr.

so sieht das aus.

Michael
unknown
2010-01-30 15:17:38 UTC
Permalink
huhu,
Post by Michael Pleick
Post by unknown
firma - isa - router - inet - router - heimnetz
richtig
Firma 192.168.5.0/24 GW 192.168.5.2 (ISA über LAN)
Zwischennetz: 192.168.254.0/24 GW 192.168.254.254 (ISA:192.168.254.252)
Heimnetz: 192.168.253.0/24 GW 192.168.253.254 (Router, hier ist kein
Zwischennetz)
o.k. und vpn wird wo terminiert - auf dem isa am firmenstandort und auf dem
router am heimstandort?
oder router firma und router soho?
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Michael Pleick
2010-01-30 16:25:01 UTC
Permalink
Post by unknown
huhu,
Post by Michael Pleick
Post by unknown
firma - isa - router - inet - router - heimnetz
richtig
Firma 192.168.5.0/24 GW 192.168.5.2 (ISA über LAN)
Zwischennetz: 192.168.254.0/24 GW 192.168.254.254 (ISA:192.168.254.252)
Heimnetz: 192.168.253.0/24 GW 192.168.253.254 (Router, hier ist kein
Zwischennetz)
o.k. und vpn wird wo terminiert - auf dem isa am firmenstandort und auf dem
router am heimstandort?
oder router firma und router soho?
router firma und router soho.
Die VPN liegt zwischen den Routern, also aus sicht der Firma hinter dem ISA,
im Zwischennetz. Aus Sicht des Homeoffice direkt im LAN. Ich habe gerade
gelesen, das ein Netzwerk im ISA einen Knoten im LAN benötigt, der jetzt aber
nicht da ist.
Michael Pleick
2010-01-30 16:44:02 UTC
Permalink
Hallo Jens
Post by Michael Pleick
Die VPN liegt zwischen den Routern, also aus sicht der Firma hinter dem ISA,
im Zwischennetz. Aus Sicht des Homeoffice direkt im LAN. Ich habe gerade
gelesen, das ein Netzwerk im ISA einen Knoten im LAN benötigt, der jetzt aber
nicht da ist.
ich habe das Netzwerk DMZ (192.168.254.0/24) erzeugt und eine Netzwerkregel
konfiguriert, die den Datenverkehr als Route in die DMZ regelt. Verbunden mit
einer Zugriffsregel funktioniert jetzt der Datenverkehr zwischen den Netzen
Homeoffice und DMZ. Dies habe ich aus dem Microsoft-Artikel "So konfigurieren
Sie Netzwerke in ISA Server 2004" herausgelesen und umgesetzt. Jetzt muss ich
noch eine Netzwerkregel für die Verbindung von dem Netzwerk DMZ und
Homeoffice finden.

(mühsam ernährt sich das Eichhörnchen)

Gruß

Michael
unknown
2010-01-30 17:47:21 UTC
Permalink
hi michael,

ich denke bei deiner infrastruktur gibt es 2 möglichkeiten:

1. router soho vpn zu router firma (wie gehabt)
in dem fall terminiert der vpn tunnel auf der externen seite vom isa.
erreichst du ips in dem "transfernetz" zwischen isa und firmenrouter, dann
ist das ziel eigentlich schon greifbar nahe. ich tippe hier auf ein
routingproblem (weil das meistens vorliegt). du müsstest im homeoffice den
clients beibringen, wo sie hinmüssen, wenn sie aufs 192.168.5.*-netz wollen.
in dem fall müssten sie entweder alles zur externen ip des isas schicken
(192.168.254.252). oder besser: der router auf der firmenseite das vpn
terminiert muss wissen, das er den traffic für das firmeninterne netz
(192.168.5.*) über den isa routen soll (192.168.254.252) - dazu müsstest du
natürlich die routing-tabelle auf dem router hacken. auf dem isa muss
passendes zugriffsregelwerk den datenverkehr zulassen, der isa hat
idealerweise eine route-relation zwischen intern und extern.

2. router soho vpn zu isa
in dem fall solltest du checken, ob dein firmen-router vpn bis zum isa
durchlassen kann. du vpn'st dann den router im heimnetz mit dem isa und
beide netze sind miteinander gekoppelt. über zugriffsregelwerk regelst du
den erlaubten datenverkehr.
die routingrelation für dieses szenario ist dem fall nicht so supi-wichtig.
ein doppeltes nat würde ich dennoch vermeiden wollen.
--
gruss, jens mander...
www.aixperts.de
www.forefront-tmg.de
www.hentrup.net
|<-|
Lesen Sie weiter auf narkive:
Loading...