ISA Server - Firewall - Seite 2

LouCypher · 17.09.2003, 23:24

hab ich nicht, war mir zu mühsam, weil du bei einem server os auch server taugliche tools brauchst, also antiviren schutz für server usw.

btw, das mit dem screenshot hab ich gemeint, kenn den isa nur von small business server aus und die ist schon etliches vorkonfiguriert.

Hau mich jetzt nicht aber wenn ich mich recht erinnere musst du für nat das rras von windows verwenden, der isa kann dass nicht. Der isa dient als addon eben als firewall, portfilter und proxy, aber nat muss weiterhin der rras dienst machen. Ein secure nat client ist doch nur ein stinknormaler rras-nat client der secure ist weil am rras server auch der isa server läuft. Würde sogar fast darauf wetten

.

renew · 17.09.2003, 23:30

Zitat:

Original geschrieben von LouCypher

Hau mich jetzt nicht aber wenn ich mich recht erinnere musst du für nat das rras von windows verwenden, der isa kann dass nicht. Der isa dient als addon eben als firewall, portfilter und proxy, aber nat muss weiterhin der rras dienst machen. Ein secure nat client ist doch nur ein stinknormaler rras-nat client der secure ist weil am rras server auch der isa server läuft. Würde sogar fast darauf wetten .

das es nur ein secureNAT Client ist weil der ISA drauf läuft ist mir klar. Ist halt ein schöner Name den sich MS da hat einfallen lassen.

Und das der ISA wegen den Routing Funktionen auf dem RRAS basiert hab ich mir auch schon gedacht.

Nur glaub ich, ich hab irgendwo auf www.isaserver.org gelesen, dass man ihn deaktivieren soll (ich hoff ich hab mich da nicht verlesen)
Btw.: ich habs auch schon mit aktiviertem RRAS probiert. Da komm ich schon gar nicht ins Netz.

Und es gibt ja einen eigenen Punkt "Routing" in der Netzkonfig vom ISA. Also ich denk schon, dass er seine eigene Routing-Funktionen hat. Weil im Prinzip macht ein Proxy-Server ja nicht viel anderes, außer dass er halt die Ergebnisse cached.
Und diesen Cache hat halt der ISA nicht, wenn er nur als Firewall installiert ist.

JoergStueger · 18.09.2003, 00:34

Meiner Meinung nach bedeutet SecureNat-Client nur, dass der Client die interne IP des ISA's als default-gateway eingetragen haben muss ...

bitte um korrektur falls ich irre ...

Gute n8

Jörg

jay_R · 18.09.2003, 01:03

@Jörg

yepp... so is es... was den SecureNAT-Client betrifft!

stormbringer · 18.09.2003, 01:03

Hi!

Verstehe ich Dich richtig: Du willst mit den Clients über den ISA *OHNE* Proxy in's Internet?

Nachdem ich die Informationen in Deinen Postings vermisse:

. Du hast doch hoffentlich den Windows Server 2003 Patch für den ISA 2000 installiert? Ohne dem wird der ISA auf dem 2003er nicht sonderlich viel tun.

. Hast Du Dir einen Clientadresssatz eingerichtet? Wenn nein, dann leg' in der Managementkonsole vom ISA unter "Richtlininenobjekte" -> "Clientadresssätze" einen an. Der IP-Bereich des Clientadresssatz sollte natürlich die von Dir in Verwendung befindliche IP-Range Deiner Clients abdecken (z.B. von 10.0.1.1 bis 10.0.1.254). Von irgendwoher muss der ISA ja immerhin wissen wie Dein internes Netz aussieht.

Probier' mal folgendes als Lösungsansatz:

. In den "Site- und Inhaltsregeln" sollte es bereits eine entsprechende, vorkonfigurierte, Zulassungsregel geben die den gesamten IP-Verkehr zulässt.

. Schau mal in die Protokollregeln und leg' Dir, falls nicht bereits vorhanden, eine neue Regel an die ebenfalls den gesamten IP-Verkehr aus dem internen Netzwerk zulässt.

. Mit dem Dial-Up kann ich Dir leider nicht weiterhelfen.

Funktioniert's jetzt ... ?

Apropos: In den Tiefen der Microsoft Knowlegebase steht's irgendwo:

. Den RRAS vom Windows darfst Du nicht verwenden da dies der ISA bereits selber erledigt; sofern das IP-Forwarding aktiviert ist.

. Genausowenig darf am ISA-Server ein IIS installiert sein - das kann auch zu einem Konflikt werden.

JoergStueger · 18.09.2003, 08:20

Ich vergass gestern noch zu sagen, dass Du auch die LAT (Netzwerkkonfiguration -> lokale Adresstabelle) kontrollieren solltest!

Kann auch ein Fehlerchen versteckt sein!

LG
Jörg

renew · 18.09.2003, 09:40

Zitat:

Hi!

Verstehe ich Dich richtig: Du willst mit den Clients über den ISA *OHNE* Proxy in's Internet?

so ist es! Das ist der "Secure-NAT" Client.

Zitat:

. Du hast doch hoffentlich den Windows Server 2003 Patch für den ISA 2000 installiert? Ohne dem wird der ISA auf dem 2003er nicht sonderlich viel tun.

steht schon in einem Posting weiter oben! Habe ich natürlich.

Zitat:

. Hast Du Dir einen Clientadresssatz eingerichtet? Wenn nein, dann leg' in der Managementkonsole vom ISA unter "Richtlininenobjekte" -> "Clientadresssätze" einen an. Der IP-Bereich des Clientadresssatz sollte natürlich die von Dir in Verwendung befindliche IP-Range Deiner Clients abdecken (z.B. von 10.0.1.1 bis 10.0.1.254). Von irgendwoher muss der ISA ja immerhin wissen wie Dein internes Netz aussieht.

ist fürs Netz 192.168.0.0 - 192.168.0.255 angelegt. Ich verwend Adressen aus dem 192.168.0.x-Netz.

Zitat:

Probier' mal folgendes als Lösungsansatz:

. In den "Site- und Inhaltsregeln" sollte es bereits eine entsprechende, vorkonfigurierte, Zulassungsregel geben die den gesamten IP-Verkehr zulässt.

. Schau mal in die Protokollregeln und leg' Dir, falls nicht bereits vorhanden, eine neue Regel an die ebenfalls den gesamten IP-Verkehr aus dem internen Netzwerk zulässt.

Die Regeln sind komplett offen - siehe angehängten Screenshot weiter oben (rules.jpg)

Zitat:

Apropos: In den Tiefen der Microsoft Knowlegebase steht's irgendwo:

. Den RRAS vom Windows darfst Du nicht verwenden da dies der ISA bereits selber erledigt; sofern das IP-Forwarding aktiviert ist.

Das hab ich eben auch auf isaserver.org gelesen.

Zitat:

. Genausowenig darf am ISA-Server ein IIS installiert sein - das kann auch zu einem Konflikt werden.

Hmm, das funkt sicher. Weil sonst könnte ich a) nicht direkt den ISA als Firewall für einen Webserver betreiben (ein Webserver läuft schon länger in der Konfiguration - wo der ISA die Firewall für den Webserver bildet)
Und ja, ich hab einen IIS installiert.

So und jetzt alle mal festhalten: ES FUNKTIONIERT! Fragts mich nicht warum, aber es geht.
Heute den Server wieder aufgedreht - Browser gestartet (IE - mit dem Proxy eingetragen - ISA macht automaitsch die Verbindung)
Naja, denk ich mir, startest mal den Mozilla (ohne Proxy konfiguriert) - und zack - WCM funkt.
Mail funktioniert auch. Das einzige was noch nicht geht, von den Standardprogrammen is ICQ. Aber ich denk das werd ich auch noch hinbekommen.

Soweit ich das richtig verstanden habe, konfiguriert man die Anwendungen die dahinter laufen sollen über Richtlinienobjekt/Protokolldefinitionen.

renew · 18.09.2003, 09:59

Und nochwas is mir aufgefallen - was nicht funktioniert:

Muss jetzt immer jemand am Server angemeldet sein, damit die Verbindung automatisch hergestellt werden kann?
Weil irgendwie befürchte ich das, da die VPN Verbindung ja für einen bestimmten Benutzer ist (wobei sie eigentlich für jeden Benutzer angelegt wurde).

Weil mit RRAS braucht man die Kiste ja nur aufdrehen und der Dienst läuft - und somit wird auch automatisch die Verbindung hergestellt.

EDIT: ICQ geht auch schon - ich hab nur noch nicht connected - weil es am Anfang wie ich den Rechner gestartet hab nicht funktioniert hat (da war noch keine Inet-Connection

stormbringer · 18.09.2003, 13:52

Hi, LLR!

Entschuldige, ich hab' mir die Bilder nicht so wirklich angesehen.

. Wenn ich das mit dem Dial-Up, laut Online-Hilfe, richtig verstehe, dann musst Du diese in der ISA Verwaltung unter "Richtlininenobjekte" -> "DFÜ-Einträge" konfigurieren. Wenn die Verbindung eingerichtet ist sollte sich der ISA, sobald ein client auf eine exteren URL zugreift, einwählen.

Damit die Einwahl funktioniert solltest Du nicht extra angemeldet sein müssen.

. Das mit der "Warnung" über den IIS und ISA ist unter folgenden Link zu lesen:
http://www.microsoft.com/technet/tre...cs/cmt_iis.asp

Die wichtige Zeile daran ist:
In this case, IIS must be configured not to use the ports that ISA Server uses for outgoing Web requests (by default, port 8080) and for incoming Web requests (by default, port 80). For example, you can change IIS to listen on port 81.

. Über "Richtlinienobjekte" -> "Protokolldefinitionen" erstellt Du den Regelsatz für die Protokolle welche dem ISA bekannt sein sollen. Wenn Du irgendetwas benötigst das sich noch nicht in der Liste befindet musst Du es anlegen. Mir fällt jetzt leider kein geeignetes Beispiel ein.

Die somit erstellten Protokolldefinitionen können dann u.a. unter "Zugriffsrichtlinie" -> "Protokollregeln" dazu verwendet werden um für die Clients einzelne Protokolle zuzulassen oder zu sperren. Du benötigst die Protokolldefinitionen auch wenn Du einen Serverdienst veröffentlichen möchtest.

. Die Erfahrung mit dem "es funktioniert" hab' ich auch schon gemacht: nach einem Reboot des Server hat der Internetzugriff plötzlich einwandfrei funktioniert.

renew · 18.09.2003, 14:37

wegen dem nicht Gelesenen - no Problem - hab ja auch sehr viel geschrieben.

Gestern wars dann anscheinend ein Reboot zu wenig. Ich hab auch schon wieder vergessen, dass man am besten für jede Änderung den Dienst neu starten soll. Ich woll mal testen ob man mich pingen kann, habs eingerichtet und es hat nicht funktioniert.
Und ein paar Minuten später is dann gegangen.

Den Port für die eingehenden Web-Anfragen hab ich schon umgedreht. Er hat aber auch keine "Mucken" gemacht, wie IIS und dieser Port auf 80 war (der IIS hat gewonnen und hat die Webseiten angezeigt...

)

Mit den Protokolldefinitionen spiel ich mich grad herum. Ich muss noch Kazaa und eMule zum laufen bringen. (Kazaa geht scho)
Leider findet man immer so wenige Infors dazu, welche Ports jetzt wirklich in welche Richtung offen sein müssen (bei Kazaa hab ich jetzt mal 1214 eingehend und ausgehend auf gemacht)

Die "Serververöffentlichung" ist ja im Prinzip nix anders als ein Port-Forwarding - oder?
Weil es kommt eine Anfrage auf einem gewissen Port - und die wird dann auf einen internen Port bzw. auf einem anderen Rechner im lokalen Netz umgeleitet.
Gibts jetzt eine Möglichkeit die Liste mit den Protokollen die verfügbar sind zu bearbeiten? Weil da gibts nur eine Standardliste, mit FTP, DNS, HTTP und sonstigen div. Standardprotokollen. Ich will aber eigene eintragen (z.B. für die File-Send Funktion von ICQ....)

PS: ich mach mal wieder eine Reboot und schau was alles nachher noch funktioniert.

(wegen dem erstellen der Dial-up Verbindung ohne, dass jemand angemeldet ist)

17.09.2003, 23:24	#11
LouCypher der da unten wohnt Registriert seit: 15.07.2000 Alter: 52 Beiträge: 11.502	hab ich nicht, war mir zu mühsam, weil du bei einem server os auch server taugliche tools brauchst, also antiviren schutz für server usw. btw, das mit dem screenshot hab ich gemeint, kenn den isa nur von small business server aus und die ist schon etliches vorkonfiguriert. Hau mich jetzt nicht aber wenn ich mich recht erinnere musst du für nat das rras von windows verwenden, der isa kann dass nicht. Der isa dient als addon eben als firewall, portfilter und proxy, aber nat muss weiterhin der rras dienst machen. Ein secure nat client ist doch nur ein stinknormaler rras-nat client der secure ist weil am rras server auch der isa server läuft. Würde sogar fast darauf wetten . ____________________________________ Greetings LouCypher

18.09.2003, 01:03	#14
jay_R Inventar Registriert seit: 20.11.2002 Beiträge: 3.081	@Jörg yepp... so is es... was den SecureNAT-Client betrifft! ____________________________________ MfG - jay_R

18.09.2003, 01:03	#15
stormbringer Senior Member Registriert seit: 02.03.2001 Alter: 54 Beiträge: 102	Hi! Verstehe ich Dich richtig: Du willst mit den Clients über den ISA OHNE Proxy in's Internet? Nachdem ich die Informationen in Deinen Postings vermisse: . Du hast doch hoffentlich den Windows Server 2003 Patch für den ISA 2000 installiert? Ohne dem wird der ISA auf dem 2003er nicht sonderlich viel tun. . Hast Du Dir einen Clientadresssatz eingerichtet? Wenn nein, dann leg' in der Managementkonsole vom ISA unter "Richtlininenobjekte" -> "Clientadresssätze" einen an. Der IP-Bereich des Clientadresssatz sollte natürlich die von Dir in Verwendung befindliche IP-Range Deiner Clients abdecken (z.B. von 10.0.1.1 bis 10.0.1.254). Von irgendwoher muss der ISA ja immerhin wissen wie Dein internes Netz aussieht. Probier' mal folgendes als Lösungsansatz: . In den "Site- und Inhaltsregeln" sollte es bereits eine entsprechende, vorkonfigurierte, Zulassungsregel geben die den gesamten IP-Verkehr zulässt. . Schau mal in die Protokollregeln und leg' Dir, falls nicht bereits vorhanden, eine neue Regel an die ebenfalls den gesamten IP-Verkehr aus dem internen Netzwerk zulässt. . Mit dem Dial-Up kann ich Dir leider nicht weiterhelfen. Funktioniert's jetzt ... ? Apropos: In den Tiefen der Microsoft Knowlegebase steht's irgendwo: . Den RRAS vom Windows darfst Du nicht verwenden da dies der ISA bereits selber erledigt; sofern das IP-Forwarding aktiviert ist. . Genausowenig darf am ISA-Server ein IIS installiert sein - das kann auch zu einem Konflikt werden. ____________________________________ -= This message transmitted on 100% recycled electrons =-

18.09.2003, 13:52	#19
stormbringer Senior Member Registriert seit: 02.03.2001 Alter: 54 Beiträge: 102	Hi, LLR! Entschuldige, ich hab' mir die Bilder nicht so wirklich angesehen. . Wenn ich das mit dem Dial-Up, laut Online-Hilfe, richtig verstehe, dann musst Du diese in der ISA Verwaltung unter "Richtlininenobjekte" -> "DFÜ-Einträge" konfigurieren. Wenn die Verbindung eingerichtet ist sollte sich der ISA, sobald ein client auf eine exteren URL zugreift, einwählen. Damit die Einwahl funktioniert solltest Du nicht extra angemeldet sein müssen. . Das mit der "Warnung" über den IIS und ISA ist unter folgenden Link zu lesen: http://www.microsoft.com/technet/tre...cs/cmt_iis.asp Die wichtige Zeile daran ist: In this case, IIS must be configured not to use the ports that ISA Server uses for outgoing Web requests (by default, port 8080) and for incoming Web requests (by default, port 80). For example, you can change IIS to listen on port 81. . Über "Richtlinienobjekte" -> "Protokolldefinitionen" erstellt Du den Regelsatz für die Protokolle welche dem ISA bekannt sein sollen. Wenn Du irgendetwas benötigst das sich noch nicht in der Liste befindet musst Du es anlegen. Mir fällt jetzt leider kein geeignetes Beispiel ein. Die somit erstellten Protokolldefinitionen können dann u.a. unter "Zugriffsrichtlinie" -> "Protokollregeln" dazu verwendet werden um für die Clients einzelne Protokolle zuzulassen oder zu sperren. Du benötigst die Protokolldefinitionen auch wenn Du einen Serverdienst veröffentlichen möchtest. . Die Erfahrung mit dem "es funktioniert" hab' ich auch schon gemacht: nach einem Reboot des Server hat der Internetzugriff plötzlich einwandfrei funktioniert. ____________________________________ -= This message transmitted on 100% recycled electrons =-

18.09.2003, 00:34	#13
JoergStueger Master Registriert seit: 28.10.2002 Alter: 47 Beiträge: 626	Meiner Meinung nach bedeutet SecureNat-Client nur, dass der Client die interne IP des ISA's als default-gateway eingetragen haben muss ... bitte um korrektur falls ich irre ... Gute n8 Jörg

18.09.2003, 08:20	#16
JoergStueger Master Registriert seit: 28.10.2002 Alter: 47 Beiträge: 626	Ich vergass gestern noch zu sagen, dass Du auch die LAT (Netzwerkkonfiguration -> lokale Adresstabelle) kontrollieren solltest! Kann auch ein Fehlerchen versteckt sein! LG Jörg

18.09.2003, 09:59	#18
renew Inventar Registriert seit: 22.10.2000 Alter: 41 Beiträge: 5.552	Und nochwas is mir aufgefallen - was nicht funktioniert: Muss jetzt immer jemand am Server angemeldet sein, damit die Verbindung automatisch hergestellt werden kann? Weil irgendwie befürchte ich das, da die VPN Verbindung ja für einen bestimmten Benutzer ist (wobei sie eigentlich für jeden Benutzer angelegt wurde). Weil mit RRAS braucht man die Kiste ja nur aufdrehen und der Dienst läuft - und somit wird auch automatisch die Verbindung hergestellt. EDIT: ICQ geht auch schon - ich hab nur noch nicht connected - weil es am Anfang wie ich den Rechner gestartet hab nicht funktioniert hat (da war noch keine Inet-Connection

18.09.2003, 14:37	#20
renew Inventar Registriert seit: 22.10.2000 Alter: 41 Beiträge: 5.552	wegen dem nicht Gelesenen - no Problem - hab ja auch sehr viel geschrieben. Gestern wars dann anscheinend ein Reboot zu wenig. Ich hab auch schon wieder vergessen, dass man am besten für jede Änderung den Dienst neu starten soll. Ich woll mal testen ob man mich pingen kann, habs eingerichtet und es hat nicht funktioniert. Und ein paar Minuten später is dann gegangen. Den Port für die eingehenden Web-Anfragen hab ich schon umgedreht. Er hat aber auch keine "Mucken" gemacht, wie IIS und dieser Port auf 80 war (der IIS hat gewonnen und hat die Webseiten angezeigt... ) Mit den Protokolldefinitionen spiel ich mich grad herum. Ich muss noch Kazaa und eMule zum laufen bringen. (Kazaa geht scho) Leider findet man immer so wenige Infors dazu, welche Ports jetzt wirklich in welche Richtung offen sein müssen (bei Kazaa hab ich jetzt mal 1214 eingehend und ausgehend auf gemacht) Die "Serververöffentlichung" ist ja im Prinzip nix anders als ein Port-Forwarding - oder? Weil es kommt eine Anfrage auf einem gewissen Port - und die wird dann auf einen internen Port bzw. auf einem anderen Rechner im lokalen Netz umgeleitet. Gibts jetzt eine Möglichkeit die Liste mit den Protokollen die verfügbar sind zu bearbeiten? Weil da gibts nur eine Standardliste, mit FTP, DNS, HTTP und sonstigen div. Standardprotokollen. Ich will aber eigene eintragen (z.B. für die File-Send Funktion von ICQ....) PS: ich mach mal wieder eine Reboot und schau was alles nachher noch funktioniert. (wegen dem erstellen der Dial-up Verbindung ohne, dass jemand angemeldet ist)

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)