6
Forefront TMG auf 2008R2 Gateway
Hallo zusammen,
habe mich längere Zeit nicht mehr mit MS Firewall-Themen beschäftigt, und um wieder ins Thema zu kommen, habe ich mir per XenServer eine virtuelle Umgebung aufgebaut.
Hier soll es einen AD-DC geben und einen Proxy, auf dem Forefront TMG laufen soll. Die Verbindung zum Internet erfolgt über eine Fritzbox.
Alle ServerOS sind Server2008R2.
Domain-Controller:
Per DCPromo habe ich einen AD-DC erstellt, der gleichzeitig auch DHCP-Server für die Clients sein soll.
IP-Konfiguration DC:
IP: 192.168.178.1
Subnet: 255.255.255.0
Gateway: 192.168.178.2
DNS: 127.0.0.1
DHCP-Optionen:
Router: 192.168.178.2
Gateway:
Auf diesem Server soll Forefront TMG laufen. Der Server verfügt über 2 Netzwerkkarten:
IP-Konfiguration Proxy:
NIC1-LAN:
IP: 192.168.178.2
Subnet: 255.255.255.0
Gateway: keins
DNS: 192.168.178.1
NIC2-Richtung Internet:
IP: 10.0.0.2
Subnet: 255.255.255.0
Gateway: 10.0.0.1
DNS: keine
IP-Konfiguration Router (Fritz-Box)
IP: 10.0.0.1
Subnet: 255.255.255.0
So. Der DC ist installiert, DHCP und DNS laufen, mein Windows7-Client erhält eine dem Bereich zugeordnete IP-Adresse und ich kann z. B. den DC per Namen anpingen.
Nach der Installation des 2. Servers (Proxy) wird auch der Ping auf den Proxy aufgelöst, es gibt aber keine Antwort. Daher nehme ich mal an, dass DNS funktioniert, aufgrund der Standard-Server-Firewall-Einstellungen aber keine Antwort erfolgt.
Aufgrund der Empfehlungen von MS habe ich den Proxy in die Domäne aufgenommen.
Wenn ich jetzt (noch ohne Installation TMG) einfach ein LAN-Routing auf dem Proxy konfiguriere, kann ich direkt vom Client aus ins Internet - so, wie es sein soll.
Führe ich aber die Installation TMG durch, wird der Routing Dienst ja beendet und auf "Deaktiviert" gesetzt. Nach Abschluss der Installation TMG habe ich keinen Internet-Zugriff mehr vom Client aus. Auch antwortet die Fritz-Box (10.0.0.1) nicht mehr auf den Ping.
Wo habe ich denn nun wohl ein Brett vorm Kopf??
Vielen Dank fürs lesen, würde mich über Antworten freuen.
Gruß,
Thomas
/Edit machte aus DNS- DHCP-Optionen...
Domain-Controller:
Per DCPromo habe ich einen AD-DC erstellt, der gleichzeitig auch DHCP-Server für die Clients sein soll.
IP-Konfiguration DC:
IP: 192.168.178.1
Subnet: 255.255.255.0
Gateway: 192.168.178.2
DNS: 127.0.0.1
DHCP-Optionen:
Router: 192.168.178.2
Gateway:
Auf diesem Server soll Forefront TMG laufen. Der Server verfügt über 2 Netzwerkkarten:
IP-Konfiguration Proxy:
NIC1-LAN:
IP: 192.168.178.2
Subnet: 255.255.255.0
Gateway: keins
DNS: 192.168.178.1
NIC2-Richtung Internet:
IP: 10.0.0.2
Subnet: 255.255.255.0
Gateway: 10.0.0.1
DNS: keine
IP-Konfiguration Router (Fritz-Box)
IP: 10.0.0.1
Subnet: 255.255.255.0
So. Der DC ist installiert, DHCP und DNS laufen, mein Windows7-Client erhält eine dem Bereich zugeordnete IP-Adresse und ich kann z. B. den DC per Namen anpingen.
Nach der Installation des 2. Servers (Proxy) wird auch der Ping auf den Proxy aufgelöst, es gibt aber keine Antwort. Daher nehme ich mal an, dass DNS funktioniert, aufgrund der Standard-Server-Firewall-Einstellungen aber keine Antwort erfolgt.
Aufgrund der Empfehlungen von MS habe ich den Proxy in die Domäne aufgenommen.
Wenn ich jetzt (noch ohne Installation TMG) einfach ein LAN-Routing auf dem Proxy konfiguriere, kann ich direkt vom Client aus ins Internet - so, wie es sein soll.
Führe ich aber die Installation TMG durch, wird der Routing Dienst ja beendet und auf "Deaktiviert" gesetzt. Nach Abschluss der Installation TMG habe ich keinen Internet-Zugriff mehr vom Client aus. Auch antwortet die Fritz-Box (10.0.0.1) nicht mehr auf den Ping.
Wo habe ich denn nun wohl ein Brett vorm Kopf??
Vielen Dank fürs lesen, würde mich über Antworten freuen.
Gruß,
Thomas
/Edit machte aus DNS- DHCP-Optionen...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 151348
Url: https://administrator.de/contentid/151348
Printed on: April 20, 2024 at 01:04 o'clock
6 Comments
Latest comment
Ich kenne mich mit dem TMG nicht aus, aber kann es sein, dass du die Firewall noch konfigurieren musst?
Ist ja bei der ISA-Firewall auch so...
Ist ja bei der ISA-Firewall auch so...
Hallo Sebastian,
danke für deinen Kommentar.
Die Firewall-Regel muss ich machen, klar, aber ich habe ja noch nicht mal vom Proxy selbst Zugriff aufs Internet. Und ich frage mich auch, wie das gehen soll, weil der DNS-Server, der dem Proxy bekannt ist, im internen Netz zu finden ist ... Wie soll er da Namen aus dem Internet auflösen?
danke für deinen Kommentar.
Die Firewall-Regel muss ich machen, klar, aber ich habe ja noch nicht mal vom Proxy selbst Zugriff aufs Internet. Und ich frage mich auch, wie das gehen soll, weil der DNS-Server, der dem Proxy bekannt ist, im internen Netz zu finden ist ... Wie soll er da Namen aus dem Internet auflösen?
Als DNS-Server der externen Verbindung würde ich den Router eintragen.
Bei uns wird die externe Verbindung über PPPoE aufgebaut, deshalb werden die Daten automatisch vergeben...
Bei uns wird die externe Verbindung über PPPoE aufgebaut, deshalb werden die Daten automatisch vergeben...
Hallo,
Ohne eine Zulassungsregel in deinem TMG wirst du NICHT nach aussen kommen.
Dann, auf deinem TMG Zulassungsregeln definieren. Dieser blockt alles was nicht ausdrücklich erlaubt ist. (Und das ist erstmal gar nichts.) Und ja, auch dein PROXY kommt nicht durch.
Peter
Ohne eine Zulassungsregel in deinem TMG wirst du NICHT nach aussen kommen.
aber ich habe ja noch nicht mal vom Proxy selbst Zugriff aufs Internet.
Wie auch. Der wird natürlich vom TMG selbstverständlicherweise blockiert.Und ich frage mich auch, wie das gehen soll, weil der DNS-Server, der dem Proxy bekannt ist, im internen Netz zu finden ist ... Wie soll er da
Namen aus dem Internet auflösen?
Indem du deinen DNS richtig konfigurierst. dein DNS bekommt eine weiterleitung alle anderen Zonen auf entweder deine Fritz.Box oder auf einen externen DNS im Internet (z.B. Der DNS deines ISP). Dann bitte auf deinem DC der ja auch der DNS ist, dort in der Netzwerkkarte den DNS mit deiner richtigen IP ansprechen und NICHT mit 127.0.01, sondern 192.168.178.1. In den DHCP Optionen musst du nocht den DNS eintragen mit 192.168.178.1Namen aus dem Internet auflösen?
Dann, auf deinem TMG Zulassungsregeln definieren. Dieser blockt alles was nicht ausdrücklich erlaubt ist. (Und das ist erstmal gar nichts.) Und ja, auch dein PROXY kommt nicht durch.
Peter
@108269
Widerspricht allen Informationen, die ich sonst so gefunden habe (z. B.: http://technet.microsoft.com/en-us/library/cc995245.aspx). Habe ich aber trotzdem getestet (nachdem ich die von Peter gemachten Anmerkungen befolgt habe). Leider kein Erfolg.
@peter
Die DNS-Weiterleitung habe ich konfiguriert, die Netzwerkkarte im DC angepasst (DNS auf 192.168.178.1). Die DHCP-Optionen waren schon richtig, hatte ich vergessen zu erwähnen.
Generell mal eine Frage: Wenn ich auf einem frisch installierten Server (kein TMG installiert) die NICs so konfiguriere, wie oben beschrieben, habe ich ja keine Internetverbindung. Übernimmt der TMG nach erfolgreicher Installation/Konfiguration das Routing?
Zu den Zulassungsregeln:
Ich habe zusätzlich zu den während der Installation erstellten Regeln eine weitere (nur zu Testzwecken, versteht sich) erstellt: Lasse jeglichen Datenverkehr in jegliche Richtung zu. Bedeutet: jeglicher Datenverkehr, von den Netzen intern, extern, lokaler Host und Umkreis zu den Netzen intern, extern, lokaler Host und Umkreis. Diese Regel steht in der Reihenfolge ganz oben. Resultat: Nirgendwo Internet-Zugriff.
Bleibe leider ziemlich ratlos und wäre für weitere Tipps dankbar ...
Widerspricht allen Informationen, die ich sonst so gefunden habe (z. B.: http://technet.microsoft.com/en-us/library/cc995245.aspx). Habe ich aber trotzdem getestet (nachdem ich die von Peter gemachten Anmerkungen befolgt habe). Leider kein Erfolg.
@peter
Die DNS-Weiterleitung habe ich konfiguriert, die Netzwerkkarte im DC angepasst (DNS auf 192.168.178.1). Die DHCP-Optionen waren schon richtig, hatte ich vergessen zu erwähnen.
Generell mal eine Frage: Wenn ich auf einem frisch installierten Server (kein TMG installiert) die NICs so konfiguriere, wie oben beschrieben, habe ich ja keine Internetverbindung. Übernimmt der TMG nach erfolgreicher Installation/Konfiguration das Routing?
Zu den Zulassungsregeln:
Ich habe zusätzlich zu den während der Installation erstellten Regeln eine weitere (nur zu Testzwecken, versteht sich) erstellt: Lasse jeglichen Datenverkehr in jegliche Richtung zu. Bedeutet: jeglicher Datenverkehr, von den Netzen intern, extern, lokaler Host und Umkreis zu den Netzen intern, extern, lokaler Host und Umkreis. Diese Regel steht in der Reihenfolge ganz oben. Resultat: Nirgendwo Internet-Zugriff.
Bleibe leider ziemlich ratlos und wäre für weitere Tipps dankbar ...
hallo,
weist du vlt. wo man die *.pac auf dem forefront ablegen muss?
wwroot gibts ja nicht
weist du vlt. wo man die *.pac auf dem forefront ablegen muss?
wwroot gibts ja nicht
