Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Neue Route in ISA 2006

Frage Microsoft Windows Server

Mitglied: jadefalke

jadefalke (Level 1) - Jetzt verbinden

23.09.2008, aktualisiert 24.09.2008, 7439 Aufrufe, 6 Kommentare

Hallo,

Ich habe ein dringendes Problem zu lösen, und leider keine große Erfahrung in Konfiguration eines ISA Servers. Ich verstehe zwar die Regeln die auf den ISA schon eingetragen sind, allerdings benötige ich etwas Hilfe um die jetzige Konfiguration zu ergänzen.

Folgendes Szenario:
Ein Netzwerk kommuniziert mit dem Internet über den ISA Server. Zwischen dem ISA Server und dem DSL Router Firewall (SonicWall) besteht ein Transfernetz.

Firmennetzwerk:......................... 192.168.100.0 / 24
ISA im Firmennetz:..................... 192.168.100.254 / 24
Transfernetz:............................... 192.168.200.0 / 24
ISA im Transfernetz:.................. 192.168.200.1 / 24
DSL Router im Transfernetz:....192.168.200.254 / 24

Der DSL Router baut eine VPN Verbindung auf zu einem anderen DSL Router (SonicWall) an einem anderen Standort auf, so das Ich zur Zeit auf den Server an anderem Standord zugreifen kann.

Nun kommt das neue.
Es wurde 2 Cisco Router gekauft die in die jeweiligen Firmennetzwerke integeriert wurden. (Überigens nicht meine gewünschte Lösung)

Das Firmennetzwerk hat sich dadurch so verändert:

Firmennetzwerk:......................... 192.168.100.0 / 24
Cisco Router im Firmennetz:.... 192.168.100.20 / 24
ISA im Firmennetz:..................... 192.168.100.254 / 24
Transfernetz:................................ 192.168.200.0 / 24

Die Cisco Router sollen jetzt die VPN Verbidnung die bis dato die SonicWalls aufgebaut haben, ersetzen.
Der Internetverkehr für die Clients lauft weiterhin über den ISA Server, über das Transfernetz -> über die SonicWall.
Lediglich der Zugriff auf den entfernten Standort soll nun über die Cisco Router laufen.

Was muss ich tun?
1. Router mit "route add Ziel | Maske | Gateway | Mertrik |" auf den Server (wo auch der ISA Server lauft) eintragen.

2. Muss ich im ISA Server 2006 eine neue Route eintragen ??? Wo mach ich das ? (Ich denke an sowas wie "wenn an das Netz 192.168.300.0 / 24 Anfragen gehen, dann bitte über Gateway: 192.168.100.20 / 24 gehen"
Die Theorie sollte so glaube ich richtig sein, weis nur nicht genau wie man das auf den ISA Server 2006 einträgt. Unter MSISAFAQ wurde ich auch nicht wirklich schlau, da ich nicht fündig geworden bin.

3. Regeln auf den ISA Server 2006 sind ja schon von eingetragen. Denke daran muss sich nichts ändern, da weiterhin nur die ausgewählten Protokolle mit dem entfernten Standort kommuniziert werden sollen.

Muss ich sonstnoch was beachten?
Mitglied: aqui
23.09.2008 um 16:01 Uhr
Dein Ansatz ist richtig !!

Über die Eingabeaufforderung im ISA Server gibst du die statischen Routen zu den VPN Zielnetzen ein.

Es gibt allerdings 2 Möglichkeiten die man nun erraten muss, da du es versäumt hast uns mitzuteilen WO das Default Gateway deiner Clients hinzeigt

Möglichkeit 1: ISA Server ist def. Gateway:

Statische Route mit:

route ADD <VPN Netzwerk> MASK <VPN Maske> 192.168.100.20 -p

eintragen ! Das muss für jedes VPN Netzwerk passieren was über den VPN Tunnel erreichbar sein soll !!

Möglichkeit 2: Cisco Router ist def. Gateway:

Statische default Route auf dem Cisco mit:

ip route 0.0.0.0 0.0.0.0 192.168.100.254

Das wars ! Mit einer der jeweiligen Konfigurationen wird das problemlos funktionieren !!
Denk dran das du bei der ISA Server Lösung als def. Gateway der Clients in den ICMP Settings der Firewall unbedingt den Haken setzt bei "Umleiten zulassen" (ICMP Redirect)
Sonst laufen alle VPN Routen permanent über den ISA was ja nicht sein muss !!
Bitte warten ..
Mitglied: jadefalke
23.09.2008 um 16:17 Uhr
Hallo Aqui,

danke für die schnelle Antwort.

Ja die Clients im Firmennetzwerk haben den ISA Server als Default Gateway. Also die 192.168.100.254 / 24

Also dann nur zu meinem Veständniss:
Den Server auf dem mein ISA lauft nenne ich jetzt mal "Server1"
Die Software ISA Server die auf "Server1"lauft nenne ich mal "ISA Server"

Wenn ein Client eine Anfrage auf das 192.168.300.0 / 24 netz macht, landet er erstmal auf "server1".
hier wird über die Console mit "route add" die Route eingetragen die auf den Cisco Router zeigt (also 192.168.100.20 / 24)
Soweit so gut.
Nun kommt aber der "ISA Server" (also die Software) im Spiel. Hier sind Regeln angelegt die mit die Kommunikation zB RDP, Ping oder NetBIOS (als Beispiel) in das entfernte Netz erlauben.
Muss ich den auf den "ISA Server" (also in der Software) nicht eine Route eintragen ???
Ich denke dass ich die Regeln auf "ISA Server" nicht verändern muss, da diese auf kein Gateway zeigen, sondern einfach nur "von wo - nach wo - was " erlaubt wird und nicht "über wenn". ( hoffentlich versteht das einer ) )

Das letzte habe ich nicht ganz verstanden.
Meinst du die Windows Firewall ? Die ist bei alles Clients sowie auch Server deaktiviert.
Bitte warten ..
Mitglied: aqui
23.09.2008 um 16:55 Uhr
Die Route musst du dort eintragen wo auch das aktive Routing gemacht wird. Wenn der ISA Server eine virtuelle Maschine ist dann muss es auf dem ISA Server gemacht werden und nicht auf dem Host, das ist ja klar !
Da der ISA Server ja nur ein Gateway Dummy ist wenn du so willst greifen die Regeln des ISA Servers hier nicht.

Ein Client der ins VPN Netzwerk will hat zwar den ISA Server als default Gateway bekommt von diesem aber lediglich ein ICMP Redirect Paket geschickt, das ihm als gateway für die VPN Netze die IP des Ciscos gibt. Daraufhin benutzt der Client niemals mehr den ISA Server als Gateway solange der Redirect für die VPN Netze in seinem Route Cache sind.
Folglich sind also deine Regeln vom ISA obsolet !!

Du kannst diese dann als ACLs im Cisco einrichten, das ist einfach und funktioniert genauso gut wenn nicht besser !

Langfristig solltest du überlegen das Gateway besser auf die Ciscos zu verlagern. Es ist im Netzwerk nicht besonders gut bzw. sicher das Default Gateway auf einem nicht ausfallsicheren Server zu haben, denn bei Serverausfall (Wartung, Crash etc.) steht somit euer ganzes Netz.
Der Cisco hat weniger Verschleissteile und eine erheblich bessere MTBF als ein Server.
Du solltest also ggf. beim Einrichten des neuen Designs gleich einen IP Adresstausch machen und dem Cisco die .254 geben, ihm eine default Route auf die .20 zu geben und dem ISA Server dann die .20 zu verpassen.

Dann gilt die Variante 2 von oben, die auf lange Sicht erheblich besser ist, allein schon daraus das der Cisco das Routing besser kann als der ISA und eine sichere Plattform ist für ein zentrales Default Gateway im Netz !!!
Bitte warten ..
Mitglied: jadefalke
23.09.2008 um 17:06 Uhr
Hallo,

Danke für die Antwort.

Der Tausch des Gateways auf den Cisco ist nicht möglich, da der Kunde nur ein VPN Tunnel gekauft hat zwischen den 2 Standorten. Demnach gehen (wenn man so will) die Ciscos nicht ins internet, sondern bauen explizit einen VPN Tunnel über ein dafür vorgesehen Server beim Provider auf.

Der "server" mit seinem aufgesetzen "ISA Server" drauf ist nunmal das Gateway, wenn dieser Server ausfällt ist sowieso alles vorbei )
Würde über den Cisco auch mein Internetverkehr laufen, würde ich den einfach mit meiner jetzigen SonicWall tauschen.

Übrigens ich habe kein Zugriff auf den Cisco da dieser vom Provider verwaltet wird. Der Provider hat von mir die IP Adresse bekommen die er auf meiner Seite des LANs Interfaces vergeben soll.
Leider wird mir dieses Szenario vorgeben, und ich muss auf meiner Seite des Netzes schauen dass von mir aus alles richtig konfiguriert ist.
Bitte warten ..
Mitglied: aqui
23.09.2008 um 17:14 Uhr
OK, dann ist das aber richtig. Wenn du die Ciscos nicht im Zugriff hast sondern die Providereigentum sind sollte da niemals irgendein Gateway der Firma drüberlaufen, denn das ist ja dann nicht mehr in deiner Hoheit.
Das gilt es, richtigerweise natürlich, zu vermeiden !

OK, dann bleibts bei der ISA Lösung von oben. Ist ja eh einfacher umzusetzen
Bitte warten ..
Mitglied: jadefalke
24.09.2008 um 10:06 Uhr
vielen dank für die Hilfe
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Server-Hardware
gelöst Neue Serverfestplatten (13)

Frage von Hendrik2586 zum Thema Server-Hardware ...

Router & Routing
Neue Top Level Domain .box bringt manche Netze durcheinander (1)

Link von magicteddy zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...