jadefalke
Goto Top

Neue Route in ISA 2006

Hallo,

Ich habe ein dringendes Problem zu lösen, und leider keine große Erfahrung in Konfiguration eines ISA Servers. Ich verstehe zwar die Regeln die auf den ISA schon eingetragen sind, allerdings benötige ich etwas Hilfe um die jetzige Konfiguration zu ergänzen.

Folgendes Szenario:
Ein Netzwerk kommuniziert mit dem Internet über den ISA Server. Zwischen dem ISA Server und dem DSL Router Firewall (SonicWall) besteht ein Transfernetz.

Firmennetzwerk:......................... 192.168.100.0 / 24
ISA im Firmennetz:..................... 192.168.100.254 / 24
Transfernetz:............................... 192.168.200.0 / 24
ISA im Transfernetz:.................. 192.168.200.1 / 24
DSL Router im Transfernetz:....192.168.200.254 / 24

Der DSL Router baut eine VPN Verbindung auf zu einem anderen DSL Router (SonicWall) an einem anderen Standort auf, so das Ich zur Zeit auf den Server an anderem Standord zugreifen kann.

Nun kommt das neue.
Es wurde 2 Cisco Router gekauft die in die jeweiligen Firmennetzwerke integeriert wurden. (Überigens nicht meine gewünschte Lösung)

Das Firmennetzwerk hat sich dadurch so verändert:

Firmennetzwerk:......................... 192.168.100.0 / 24
Cisco Router im Firmennetz:.... 192.168.100.20 / 24
ISA im Firmennetz:..................... 192.168.100.254 / 24
Transfernetz:................................ 192.168.200.0 / 24

Die Cisco Router sollen jetzt die VPN Verbidnung die bis dato die SonicWalls aufgebaut haben, ersetzen.
Der Internetverkehr für die Clients lauft weiterhin über den ISA Server, über das Transfernetz -> über die SonicWall.
Lediglich der Zugriff auf den entfernten Standort soll nun über die Cisco Router laufen.

Was muss ich tun?
1. Router mit "route add Ziel | Maske | Gateway | Mertrik |" auf den Server (wo auch der ISA Server lauft) eintragen.

2. Muss ich im ISA Server 2006 eine neue Route eintragen ??? Wo mach ich das ? (Ich denke an sowas wie "wenn an das Netz 192.168.300.0 / 24 Anfragen gehen, dann bitte über Gateway: 192.168.100.20 / 24 gehen"
Die Theorie sollte so glaube ich richtig sein, weis nur nicht genau wie man das auf den ISA Server 2006 einträgt. Unter MSISAFAQ wurde ich auch nicht wirklich schlau, da ich nicht fündig geworden bin.

3. Regeln auf den ISA Server 2006 sind ja schon von eingetragen. Denke daran muss sich nichts ändern, da weiterhin nur die ausgewählten Protokolle mit dem entfernten Standort kommuniziert werden sollen.

Muss ich sonstnoch was beachten?

Content-Key: 97632

Url: https://administrator.de/contentid/97632

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: aqui
aqui 23.09.2008 um 16:01:35 Uhr
Goto Top
Dein Ansatz ist richtig !!

Über die Eingabeaufforderung im ISA Server gibst du die statischen Routen zu den VPN Zielnetzen ein.

Es gibt allerdings 2 Möglichkeiten die man nun erraten muss, da du es versäumt hast uns mitzuteilen WO das Default Gateway deiner Clients hinzeigt face-sad

Möglichkeit 1: ISA Server ist def. Gateway:

Statische Route mit:

route ADD <VPN Netzwerk> MASK <VPN Maske> 192.168.100.20 -p

eintragen ! Das muss für jedes VPN Netzwerk passieren was über den VPN Tunnel erreichbar sein soll !!

Möglichkeit 2: Cisco Router ist def. Gateway:

Statische default Route auf dem Cisco mit:

ip route 0.0.0.0 0.0.0.0 192.168.100.254

Das wars ! Mit einer der jeweiligen Konfigurationen wird das problemlos funktionieren !!
Denk dran das du bei der ISA Server Lösung als def. Gateway der Clients in den ICMP Settings der Firewall unbedingt den Haken setzt bei "Umleiten zulassen" (ICMP Redirect)
Sonst laufen alle VPN Routen permanent über den ISA was ja nicht sein muss !!
Mitglied: jadefalke
jadefalke 23.09.2008 um 16:17:25 Uhr
Goto Top
Hallo Aqui,

danke für die schnelle Antwort.

Ja die Clients im Firmennetzwerk haben den ISA Server als Default Gateway. Also die 192.168.100.254 / 24

Also dann nur zu meinem Veständniss:
Den Server auf dem mein ISA lauft nenne ich jetzt mal "Server1"
Die Software ISA Server die auf "Server1"lauft nenne ich mal "ISA Server"

Wenn ein Client eine Anfrage auf das 192.168.300.0 / 24 netz macht, landet er erstmal auf "server1".
hier wird über die Console mit "route add" die Route eingetragen die auf den Cisco Router zeigt (also 192.168.100.20 / 24)
Soweit so gut.
Nun kommt aber der "ISA Server" (also die Software) im Spiel. Hier sind Regeln angelegt die mit die Kommunikation zB RDP, Ping oder NetBIOS (als Beispiel) in das entfernte Netz erlauben.
Muss ich den auf den "ISA Server" (also in der Software) nicht eine Route eintragen ???
Ich denke dass ich die Regeln auf "ISA Server" nicht verändern muss, da diese auf kein Gateway zeigen, sondern einfach nur "von wo - nach wo - was " erlaubt wird und nicht "über wenn". ( hoffentlich versteht das einer face-smile) )

Das letzte habe ich nicht ganz verstanden.
Meinst du die Windows Firewall ? Die ist bei alles Clients sowie auch Server deaktiviert.
Mitglied: aqui
aqui 23.09.2008 um 16:55:08 Uhr
Goto Top
Die Route musst du dort eintragen wo auch das aktive Routing gemacht wird. Wenn der ISA Server eine virtuelle Maschine ist dann muss es auf dem ISA Server gemacht werden und nicht auf dem Host, das ist ja klar !
Da der ISA Server ja nur ein Gateway Dummy ist wenn du so willst greifen die Regeln des ISA Servers hier nicht.

Ein Client der ins VPN Netzwerk will hat zwar den ISA Server als default Gateway bekommt von diesem aber lediglich ein ICMP Redirect Paket geschickt, das ihm als gateway für die VPN Netze die IP des Ciscos gibt. Daraufhin benutzt der Client niemals mehr den ISA Server als Gateway solange der Redirect für die VPN Netze in seinem Route Cache sind.
Folglich sind also deine Regeln vom ISA obsolet !!

Du kannst diese dann als ACLs im Cisco einrichten, das ist einfach und funktioniert genauso gut wenn nicht besser !

Langfristig solltest du überlegen das Gateway besser auf die Ciscos zu verlagern. Es ist im Netzwerk nicht besonders gut bzw. sicher das Default Gateway auf einem nicht ausfallsicheren Server zu haben, denn bei Serverausfall (Wartung, Crash etc.) steht somit euer ganzes Netz.
Der Cisco hat weniger Verschleissteile und eine erheblich bessere MTBF als ein Server.
Du solltest also ggf. beim Einrichten des neuen Designs gleich einen IP Adresstausch machen und dem Cisco die .254 geben, ihm eine default Route auf die .20 zu geben und dem ISA Server dann die .20 zu verpassen.

Dann gilt die Variante 2 von oben, die auf lange Sicht erheblich besser ist, allein schon daraus das der Cisco das Routing besser kann als der ISA und eine sichere Plattform ist für ein zentrales Default Gateway im Netz !!!
Mitglied: jadefalke
jadefalke 23.09.2008 um 17:06:47 Uhr
Goto Top
Hallo,

Danke für die Antwort.

Der Tausch des Gateways auf den Cisco ist nicht möglich, da der Kunde nur ein VPN Tunnel gekauft hat zwischen den 2 Standorten. Demnach gehen (wenn man so will) die Ciscos nicht ins internet, sondern bauen explizit einen VPN Tunnel über ein dafür vorgesehen Server beim Provider auf.

Der "server" mit seinem aufgesetzen "ISA Server" drauf ist nunmal das Gateway, wenn dieser Server ausfällt ist sowieso alles vorbei face-smile)
Würde über den Cisco auch mein Internetverkehr laufen, würde ich den einfach mit meiner jetzigen SonicWall tauschen.

Übrigens ich habe kein Zugriff auf den Cisco da dieser vom Provider verwaltet wird. Der Provider hat von mir die IP Adresse bekommen die er auf meiner Seite des LANs Interfaces vergeben soll.
Leider wird mir dieses Szenario vorgeben, und ich muss auf meiner Seite des Netzes schauen dass von mir aus alles richtig konfiguriert ist.
Mitglied: aqui
aqui 23.09.2008 um 17:14:02 Uhr
Goto Top
OK, dann ist das aber richtig. Wenn du die Ciscos nicht im Zugriff hast sondern die Providereigentum sind sollte da niemals irgendein Gateway der Firma drüberlaufen, denn das ist ja dann nicht mehr in deiner Hoheit.
Das gilt es, richtigerweise natürlich, zu vermeiden !

OK, dann bleibts bei der ISA Lösung von oben. Ist ja eh einfacher umzusetzen face-wink
Mitglied: jadefalke
jadefalke 24.09.2008 um 10:06:33 Uhr
Goto Top
vielen dank für die Hilfe