Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Microsoft TMG Firewall - Internal Network Destination unreachable

Frage Netzwerke Router & Routing

Mitglied: Jimbow

Jimbow (Level 1) - Jetzt verbinden

08.12.2011, aktualisiert 12.12.2011, 6184 Aufrufe, 10 Kommentare

Hallo,

wir besitzen eine TMG Firewall in unserem Testnetzwerk. Diese überwacht den Zugriff vom Testnetzwerk auf das Produktivsystem. Diese läuft wunderbar. Danach kommt für jeden Azubi eine eigene TMG Firewall. Diese trennt dann die Azubidomain von unserem Testnetzwerk.

Nun kamen die neuen Azubis und es mussten weitere TMG aufgesetzt werden. Dabei ist uns nun aufgefallen, dass die ganzen TMGs der Azubis keinen Zugriff auf ihre Netzwerke gestatten.

Es kommt immer die Fehlermeldung: "A packet was dropped because its destination IP address is unreachable."

Die TMGs der Azubis besitzen 2 Beinchen. Eins ins Testnetzwerk und eins eben in ihr Netzwerk. Die Policy Ping ist zu Testzwecken nun komplett offen. Man kann beide Beinchen auch anpingen. Wenn ich aber nun zum Beispiel einen Ping auf den DC von den Azubinetzwerk mache, kommt die oben beschriebene Fehlermeldung. Das interessante ist, dass ich über das interne Beinchen der TMG auch keinen in diesem Netz anpingen kann. Die Client sim Azubinetzwerk können ihr Gateway auch nicht anpingen.

Jetzt habe ich irgendwie die Vermutung, dass die TMG das interne Beinchen deaktviert hat oder so. Vielleicht wegen spoofing etc. keine Ahnung.

Ich hoffe ihr könnt mir da etwas weiterhelfen.

Vielen Dank Euch schon mal im Voraus.
Mitglied: dog
09.12.2011 um 01:37 Uhr
über das interne Beinchen der TMG auch keinen in diesem Netz anpingen kann. Die Client sim Azubinetzwerk können ihr Gateway auch nicht anpingen.

Alles normal beim TMG.
Der erlaubt von Haus aus nichts.

Ohne Screenshots von den Regeln und der Netzwerkzuordnung rate ich aber nicht mit.
Bitte warten ..
Mitglied: Jimbow
09.12.2011 um 08:03 Uhr
Daran soll es nicht scheitern

Also hier meine Firewall policies. Die Computernamen mussten geschwärzt werden aber die Regeln sollten alle selbsterklärend sein. Falls nicht, einfach fragen ;) Zu Testzwecken ist die Pingregel nach allen Seiten offen.

5b79b492cce001d957f512adab24413e - Klicke auf das Bild, um es zu vergrößern

Unter den Network Rules habe ich die Routen All (Hinroute) und Rückroute eingetragen, damit erlaubt wird, dass Verbindungen aufgebaut werden.

Internal ist das 192.168.100.0 Netzwerk und External eben alles andere.

c84b6bdc50d8727f007ded33abe2c091 - Klicke auf das Bild, um es zu vergrößern

Zusätzlich habe ich unter Routing noch die Route vom Testnetzwerk zum Produktivsystem eingetragen. Brauche ich reintheoretisch nicht, da das Gateway der Azubinetzwerke auf die Firewall zwischen dem Testnetzwerk und Produktivsystem weiterleitet. Nur wegen der Sicherheit :D
Bitte warten ..
Mitglied: Jimbow
09.12.2011 um 10:52 Uhr
Also wenn ich mit dem internen Beinchen der 2. Firewall in ihrem Netz etwas anpingen möchte, klappt das auch nicht.

In der Log steht dann drin: " A packet generated on the local host was rejected because its source IP address is assigned to one network adapter and its destination IP address is reachable through another network adapter. "

Das externe Beinchen kann alles was extern ist erreichen.
Bitte warten ..
Mitglied: dog
09.12.2011 um 18:13 Uhr
Also die Routing-Regel 4 wird schon mit Regel 2 abgedeckt.
Sonst sieht es OK aus.

Poste bitte mal die Ausgabe von ipconfig /all und route print.

Und vom ISA die Netzwerkzuordnung für alle Netzwerke:
cf8aa5c164272a1a3091edf6c1e51fa8 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Jimbow
12.12.2011 um 08:03 Uhr
fd8cfba8279bf867898fbfef18fdcbba - Klicke auf das Bild, um es zu vergrößern

31ae27d480e979fd80875c692d25ae6b - Klicke auf das Bild, um es zu vergrößern

eaecc9262a8cee9922f6c9d8980dd80a - Klicke auf das Bild, um es zu vergrößern


Die 2. Regel wurde nur erstellt, um jetzt irgendwelche Konfigurationsfehler auszuschließen. Aber wie gesagt, es ging ja noch alles vor ein paar Monaten. Und laut den Kollegen wurde nichts geändert.

Allerdings wurden die ESX-Server geupdatet. Unsere Kommunikation zwischen den Azubinetzwerk und Testnetzwerk wird über virtuelle Switche von VMWare abgedeckt. Aber ich habe alle Konfigurationen in den vSwitchen gecheckt und da keine Veränderungen feststellen können. Naja, schaut euch mal die Routen an. Vielleicht fällt euch ja was auf.
Bitte warten ..
Mitglied: dog
12.12.2011 um 18:16 Uhr
Also auf den Screenshots sehe ich soweit keinen Fehler.

A packet generated on the local host was rejected because its source IP address is assigned to one network adapter and its destination IP address is reachable through another network adapter.

Die Meldung ist relativ komisch.
Sie bedeutet, wenn du einen ISA mit den Netzwerken 1.1.1.0/24 und 2.2.2.0/24 hast und jetzt ein ping 1.1.1.10 ausführst, dann benutzt der ISA als Quell-IP 2.2.2.X
Das darf er aber nicht, denn die Regeln für Routingtabellen schreiben vor, dass eine direkte Verbindung immer gewinnt.
Der ISA müsste also für ein Ping nach 1.1.1.X auch seine 1.1.1.Y IP benutzen, aber entscheided sich für die falsche IP.

Normalerweise darf das nicht passieren, außer wenn ping meint, dass das eigentliche Interface für ein ping nicht benutzt werden kann.
Ist der "Client für Microsoft-Netzwerke" auf beiden Schnittstellen aktiv?
Hast du sichergestellt, das nicht in irgendeiner VM eine Netzwerkbrücke vorhanden ist?
Bitte warten ..
Mitglied: Jimbow
12.12.2011 um 19:04 Uhr
Hey,

also ich habe nicht jede VM von jedem Azubi kontrolliert. Das sind sehr viele. Entweder muss ich das morgen wohl oder übel machen oder ich habe noch eine andere Idee.

Ich werde morgen die komplette Konfiguration der virtuellen Switche prüfen. Ich denke, dass da die Kommunikation scheitert. Da ich nach Draußen, sprich external kommunizieren kann und internal in den virtuellen Switchen abgewickelt wird. Näheres kann ich morgen erst sagen.

Deine Fragen werde ich morgen zum Teil dann auch beantworten können
Bitte warten ..
Mitglied: Jimbow
13.12.2011 um 09:59 Uhr
"Client for Microsoft Networks" ist auf beiden Schnittstellen aktiv!

Und IPv6 ist auch deaktiviert.
Bitte warten ..
Mitglied: dog
13.12.2011 um 20:30 Uhr
Da kann ich momentan auch nichts mehr sagen.
Das könnte ich mir nur per Teamviewer mal selbst angucken.
Bitte warten ..
Mitglied: Jimbow
13.12.2011 um 23:15 Uhr
Habe den Fehler gefunden.

Ich bin noch mal alle Einstellungen in den virtuellen switchen geprüft. Diese waren in Ordnung. Nur wurde vor einem Monat ein zusätzlicher esx Host hinzugefügt und aus irgendeinem Grund wurden die trunkporteinstellungen gelöscht und der neue esx konnte nicht mit den alten esx hosts kommunizieren.

Danke euch allen
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Router & Routing
gelöst Fritzbox am FTTx-Anschluss ganz ohne Firewall ? (3)

Frage von Dilbert-MD zum Thema Router & Routing ...

Switche und Hubs
Time Sensitive Network (TSN)

Frage von laster zum Thema Switche und Hubs ...

Firewall
Firewall für DMZ und Intranet richtig konfigurieren (3)

Frage von vGaven zum Thema Firewall ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...