Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Microsoft TMG Firewall - Internal Network Destination unreachable

Frage Netzwerke Router & Routing

Mitglied: Jimbow

Jimbow (Level 1) - Jetzt verbinden

08.12.2011, aktualisiert 12.12.2011, 6422 Aufrufe, 10 Kommentare

Hallo,

wir besitzen eine TMG Firewall in unserem Testnetzwerk. Diese überwacht den Zugriff vom Testnetzwerk auf das Produktivsystem. Diese läuft wunderbar. Danach kommt für jeden Azubi eine eigene TMG Firewall. Diese trennt dann die Azubidomain von unserem Testnetzwerk.

Nun kamen die neuen Azubis und es mussten weitere TMG aufgesetzt werden. Dabei ist uns nun aufgefallen, dass die ganzen TMGs der Azubis keinen Zugriff auf ihre Netzwerke gestatten.

Es kommt immer die Fehlermeldung: "A packet was dropped because its destination IP address is unreachable."

Die TMGs der Azubis besitzen 2 Beinchen. Eins ins Testnetzwerk und eins eben in ihr Netzwerk. Die Policy Ping ist zu Testzwecken nun komplett offen. Man kann beide Beinchen auch anpingen. Wenn ich aber nun zum Beispiel einen Ping auf den DC von den Azubinetzwerk mache, kommt die oben beschriebene Fehlermeldung. Das interessante ist, dass ich über das interne Beinchen der TMG auch keinen in diesem Netz anpingen kann. Die Client sim Azubinetzwerk können ihr Gateway auch nicht anpingen.

Jetzt habe ich irgendwie die Vermutung, dass die TMG das interne Beinchen deaktviert hat oder so. Vielleicht wegen spoofing etc. keine Ahnung.

Ich hoffe ihr könnt mir da etwas weiterhelfen.

Vielen Dank Euch schon mal im Voraus.
Mitglied: dog
09.12.2011 um 01:37 Uhr
über das interne Beinchen der TMG auch keinen in diesem Netz anpingen kann. Die Client sim Azubinetzwerk können ihr Gateway auch nicht anpingen.

Alles normal beim TMG.
Der erlaubt von Haus aus nichts.

Ohne Screenshots von den Regeln und der Netzwerkzuordnung rate ich aber nicht mit.
Bitte warten ..
Mitglied: Jimbow
09.12.2011 um 08:03 Uhr
Daran soll es nicht scheitern

Also hier meine Firewall policies. Die Computernamen mussten geschwärzt werden aber die Regeln sollten alle selbsterklärend sein. Falls nicht, einfach fragen ;) Zu Testzwecken ist die Pingregel nach allen Seiten offen.

5b79b492cce001d957f512adab24413e - Klicke auf das Bild, um es zu vergrößern

Unter den Network Rules habe ich die Routen All (Hinroute) und Rückroute eingetragen, damit erlaubt wird, dass Verbindungen aufgebaut werden.

Internal ist das 192.168.100.0 Netzwerk und External eben alles andere.

c84b6bdc50d8727f007ded33abe2c091 - Klicke auf das Bild, um es zu vergrößern

Zusätzlich habe ich unter Routing noch die Route vom Testnetzwerk zum Produktivsystem eingetragen. Brauche ich reintheoretisch nicht, da das Gateway der Azubinetzwerke auf die Firewall zwischen dem Testnetzwerk und Produktivsystem weiterleitet. Nur wegen der Sicherheit :D
Bitte warten ..
Mitglied: Jimbow
09.12.2011 um 10:52 Uhr
Also wenn ich mit dem internen Beinchen der 2. Firewall in ihrem Netz etwas anpingen möchte, klappt das auch nicht.

In der Log steht dann drin: " A packet generated on the local host was rejected because its source IP address is assigned to one network adapter and its destination IP address is reachable through another network adapter. "

Das externe Beinchen kann alles was extern ist erreichen.
Bitte warten ..
Mitglied: dog
09.12.2011 um 18:13 Uhr
Also die Routing-Regel 4 wird schon mit Regel 2 abgedeckt.
Sonst sieht es OK aus.

Poste bitte mal die Ausgabe von ipconfig /all und route print.

Und vom ISA die Netzwerkzuordnung für alle Netzwerke:
cf8aa5c164272a1a3091edf6c1e51fa8 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Jimbow
12.12.2011 um 08:03 Uhr
fd8cfba8279bf867898fbfef18fdcbba - Klicke auf das Bild, um es zu vergrößern

31ae27d480e979fd80875c692d25ae6b - Klicke auf das Bild, um es zu vergrößern

eaecc9262a8cee9922f6c9d8980dd80a - Klicke auf das Bild, um es zu vergrößern


Die 2. Regel wurde nur erstellt, um jetzt irgendwelche Konfigurationsfehler auszuschließen. Aber wie gesagt, es ging ja noch alles vor ein paar Monaten. Und laut den Kollegen wurde nichts geändert.

Allerdings wurden die ESX-Server geupdatet. Unsere Kommunikation zwischen den Azubinetzwerk und Testnetzwerk wird über virtuelle Switche von VMWare abgedeckt. Aber ich habe alle Konfigurationen in den vSwitchen gecheckt und da keine Veränderungen feststellen können. Naja, schaut euch mal die Routen an. Vielleicht fällt euch ja was auf.
Bitte warten ..
Mitglied: dog
12.12.2011 um 18:16 Uhr
Also auf den Screenshots sehe ich soweit keinen Fehler.

A packet generated on the local host was rejected because its source IP address is assigned to one network adapter and its destination IP address is reachable through another network adapter.

Die Meldung ist relativ komisch.
Sie bedeutet, wenn du einen ISA mit den Netzwerken 1.1.1.0/24 und 2.2.2.0/24 hast und jetzt ein ping 1.1.1.10 ausführst, dann benutzt der ISA als Quell-IP 2.2.2.X
Das darf er aber nicht, denn die Regeln für Routingtabellen schreiben vor, dass eine direkte Verbindung immer gewinnt.
Der ISA müsste also für ein Ping nach 1.1.1.X auch seine 1.1.1.Y IP benutzen, aber entscheided sich für die falsche IP.

Normalerweise darf das nicht passieren, außer wenn ping meint, dass das eigentliche Interface für ein ping nicht benutzt werden kann.
Ist der "Client für Microsoft-Netzwerke" auf beiden Schnittstellen aktiv?
Hast du sichergestellt, das nicht in irgendeiner VM eine Netzwerkbrücke vorhanden ist?
Bitte warten ..
Mitglied: Jimbow
12.12.2011 um 19:04 Uhr
Hey,

also ich habe nicht jede VM von jedem Azubi kontrolliert. Das sind sehr viele. Entweder muss ich das morgen wohl oder übel machen oder ich habe noch eine andere Idee.

Ich werde morgen die komplette Konfiguration der virtuellen Switche prüfen. Ich denke, dass da die Kommunikation scheitert. Da ich nach Draußen, sprich external kommunizieren kann und internal in den virtuellen Switchen abgewickelt wird. Näheres kann ich morgen erst sagen.

Deine Fragen werde ich morgen zum Teil dann auch beantworten können
Bitte warten ..
Mitglied: Jimbow
13.12.2011 um 09:59 Uhr
"Client for Microsoft Networks" ist auf beiden Schnittstellen aktiv!

Und IPv6 ist auch deaktiviert.
Bitte warten ..
Mitglied: dog
13.12.2011 um 20:30 Uhr
Da kann ich momentan auch nichts mehr sagen.
Das könnte ich mir nur per Teamviewer mal selbst angucken.
Bitte warten ..
Mitglied: Jimbow
13.12.2011 um 23:15 Uhr
Habe den Fehler gefunden.

Ich bin noch mal alle Einstellungen in den virtuellen switchen geprüft. Diese waren in Ordnung. Nur wurde vor einem Monat ein zusätzlicher esx Host hinzugefügt und aus irgendeinem Grund wurden die trunkporteinstellungen gelöscht und der neue esx konnte nicht mit den alten esx hosts kommunizieren.

Danke euch allen
Bitte warten ..
Ähnliche Inhalte
Ubuntu
Destination Host Unreachable in Ubuntu
Frage von 120735Ubuntu2 Kommentare

Hallo, ich hatte vor kurzem Ubuntu als Virtuelle Maschine auf meinem Windows 8.1 Rechner installiert. Auf Ubuntu läuft ein ...

Windows Netzwerk
Suche Download für Microsoft TMG 2010
gelöst Frage von Herbrich19Windows Netzwerk1 Kommentar

Hallo, Hat jemand noch irgendwo die Setup für den Microsoft TMG Server 2010 rumliegen? Gruß an die IT-Welt, J ...

Batch & Shell
Destination Path Abfrage mit Powershell
gelöst Frage von windelterroristBatch & Shell5 Kommentare

Guten Morgen Admins :) Für eine Destinationpath Abfrage habe ich so meine Vorstellungen, kann sie aber selbst nicht wirklich ...

Windows 10
Internal Power Error ???
gelöst Frage von Mr.Robot95Windows 102 Kommentare

Hi, Der PC stürzt öfter ab. Habe ihn letztens von Win7 auf 10 upgegradet. Der Computer wurde nach einem ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 104 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
Frage von HelloWorldBatch & Shell16 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

Windows Server
Ping auf einen bestimmten Server nicht möglich
gelöst Frage von a.thierWindows Server7 Kommentare

Hallo, ich habe folgendes Problem. srv-dc1: Ping srv-nav > geht Ping srv-exchange > geht nicht srv-exchange: Ping srv-dc1 > ...

Hardware
Fujitsu Workstation mit K80 und Quadro P5000, Fehlermeldung: Connect Power Adapter
Frage von MachelloHardware7 Kommentare

Hallo Zusammen, ich benötige euren Rat da ich ratlos bin. Folgende Konfiguration im Büro: Fujitsu Workstation Celcius R940 Power ...