Zum Inhalt wechseln


Foto

Netzwerk & Gruppenrichtlinie


  • Bitte melde dich an um zu Antworten
44 Antworten in diesem Thema

#31 Rex_Swissly

Rex_Swissly

    Member

  • 262 Beiträge

 

Geschrieben 29. Juli 2006 - 20:04

Jetzt komme ich aber gar nicht mehr draus.

RRAS läuft doch gar nicht. Nur noch NAT. Ich habe mit der Funktion "Routing und RAS" den Server deaktiviert und dann neu gestartet. Beim Assistenten kommt ja eine Auswahl, was man machen möchte. Ca. 6 Punkte. Und da habe ich NAT gewählt und entsprechend dann die WAN Karte eingegeben.

Noch etwas anderes:

Ich habe bei der Firewall (Zywall) Regeln definiert, welche Ports vom WAN ins LAN dürfen und bei diesen Regel definiert, dass die Weiterleitungen an die Adresse 10.10.200.4 gehen.
Auch das NAT in der Firewall leitet alle Ports auf 10.10.200.4 um. Das sollte doch so sein, oder irre ich mich da?

Immerhin ist der Fehler bis jetzt nicht mehr aufgetaucht, aber ich möchte natürlich nicht, dass ich da jetzt sicherheitsmässig etwas fahrlässiges gemacht habe.

Gruss Rex_Swissly

#32 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 29. Juli 2006 - 20:37

Sicher läuft der RRAS, als NAT-Router mit Basisfirewall. Zusätzlich kannst Du ihn auch zum VPN-Server machen. Die Umleitungen zur externen Schnittstellen Deines RRAS sind ja schon mal ganz gut, dort verhungern die Pakete aber. Du musst noch die Umleitungen nach innen konfigurieren (so wie Du das auch mit der Zywall gemacht hast). Wenn Du in der RRAS-Konsole unter NAT die externe Schnittstelle mit rechts anklickst und Eigenschaften auswählst, kannst Du dort unter "Dienste und Ports" die Umleitungen konfigurieren. Ich würde auch den IIS und RDP so konfigurieren, dass sie nur auf der internen Schnittstelle horchen (sofern der IIS und RDP auf dem RRAS überhaupt läuft) und dort leitest Du die Pakete hin. Wenn auf diesem Server nur der RRAS arbeitet und der OWA sich auf einem anderen Server befindet, leitest Du die Pakete dorthin. Hast Du intern mehrere Server, die Du via RDP verwaltest ?
Ich bin S-1-5-XXX-500, ich darf das ...

#33 Rex_Swissly

Rex_Swissly

    Member

  • 262 Beiträge

 

Geschrieben 30. Juli 2006 - 10:34

Bei mir läuft nur ein Server (SBS 2003).

Ich habe jetzt noch unter NAT die Umleitungen konfiguriert.

Beim System Manager vom Exchange habe ich jetzt unter den verschiedenen Punkten (Virtueller Standardserver für POP3, SMTP auch die IP-Adresse 10.0.200.3 (LAN) ausgewählt. Ich nehme an, dass ist korrekt.

Gruss Rex_Swissly

#34 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 30. Juli 2006 - 14:46

In der Terminaldienstekonfiguration und im DHCP auch ? Hast Du schon einen Funktionstest gemacht ?
Ich bin S-1-5-XXX-500, ich darf das ...

#35 Rex_Swissly

Rex_Swissly

    Member

  • 262 Beiträge

 

Geschrieben 30. Juli 2006 - 16:39

Ich arbeite ja mit statischen Adressen, da brauch ich DHCP doch gar nicht, oder?

Du meinst, einen Test von Extern? Dass kann ich frühestens am Montag.

Was meinst Du mit Terminaldienstkonfiguration?

Gruss Rex_Swissly

#36 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 30. Juli 2006 - 17:00

Den Abhörer für RDP auf die interne Karte stellen. Wenn Du statische Adressen hast, brauchst Du natürlich keinen DHCP ...
Ich bin S-1-5-XXX-500, ich darf das ...

#37 Rex_Swissly

Rex_Swissly

    Member

  • 262 Beiträge

 

Geschrieben 31. Juli 2006 - 17:12

Noch ne kleine Frage.

Ich habe bei der Firewall in den Logs aktiviert, dass sie die Daten der Logdateien an den Server (LAN - 10.10.200.3) senden soll, da dort SysLog läuft und den ganzen Netzwerkverkehr der Firewall aufzeichnen soll.

Das ging vorher problemlos.

Für das wird der Port 514 benötigt. Ich habe in der NAT Konfiguration bei der Karte WAN (10.10.200.4) den Port 514 auf 10.0.200.3 (LAN) geleitet. Es funktioniert aber nicht. Kommt kein Signal, weder UDP noch TCP.
Auch wenn ich in der Firewall die WAN Schnittstelle angebe, ohne Erfolg. Was habe ich vergessen oder falsch gemacht.

Gruss Rex_Swissly

#38 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 31. Juli 2006 - 17:59

Du musst angeben, dass der Syslogserver an der 10.10.200.4 zu finden ist, die Umleitung macht dann der RRAS. Überprüfe die Syslogsoftware, ob sie an der richtigen Schnittstelle horcht (intern) ...
Ich bin S-1-5-XXX-500, ich darf das ...

#39 Rex_Swissly

Rex_Swissly

    Member

  • 262 Beiträge

 

Geschrieben 02. August 2006 - 14:01

So, das Ganze läuft ja immer besser.

- OWA und Remotedesktop von Extern läuft einwandfrei
- SysLog funktioniert jetzt auch

Ich hatte noch nie so wenige Fehler in der Ereignisanzeige wie jetzt nach dieser Konfiguration.
Jetzt muss ich nur noch herausfinden, warum meine Firewall keine E-Mails sendet, wenn gewisse Ereignisse stattfinden. Hab zwar meiner Achtens alles konfiguriert, aber es kommt nichts.

Hast Du evtl. einen Vorschlag über ein gutes Buch über Security. Nicht unbedingt, was jetzt jede Option beim Server x so bedeutet, sondern allgemein, wie man sein System absichern kann, Angriffstechniken und wie man sich dagegen wehren kann, Zusammenspiel Firewall und Server und ähnliches.

Hab da eins gefunden, weiss aber nicht, ob es gut ist: Firewalls und Sicherheit vom Addison-Wesley Verlag.

Wobei ich sagen muss, dass ich bis jetzt fast am meisten hier im Forum gelernt habe. Man, was würde ich ohne Euch machen :)

Gruss Rex_Swissly

#40 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 02. August 2006 - 16:15

Das hat mir gut gefallen ...
Amazon.de: Inside Network Perimeter Security: The Definitive Guide to Firewalls, Virtual Private Networks (VPNs), Routers, and Intrusion Detection Systems: Bücher: Stephen Northcutt,Lenny Zeltser,Scott Winters
Ich bin S-1-5-XXX-500, ich darf das ...

#41 Rex_Swissly

Rex_Swissly

    Member

  • 262 Beiträge

 

Geschrieben 02. August 2006 - 17:00

Ähmm...., gibt dass auch auf Deutsch?

Mit Fremdsprachen stehe ich auf Kriegsfuss.

Gruss Rex_Swissly

#42 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 02. August 2006 - 21:52

Hm, ich glaube nicht, aber es gibt sicher noch einen Haufen sehr guter Bücher zu diesem Thema ... :)
Ich bin S-1-5-XXX-500, ich darf das ...

#43 Rex_Swissly

Rex_Swissly

    Member

  • 262 Beiträge

 

Geschrieben 07. August 2006 - 20:18

Also, nochmals vielen Dank für diesen lehrreichen "Workshop". Ich habe jetzt das Gefühl, mein Server läuft viel besser (nicht nur wegen der Beseitigungs des eigentlichen Problemes), sondern mein Server ist jetzt viel besser konfiguriert.
Und das ganze neue und erweiterte Wissen wird mir bei zukünftigen Installationen sehr helfen.

Aber eine Frage hätte ich noch, die ich noch an diesen Thread anhänge.

Mein SBS hängt ja direkt am Internet. Mit was für einer sinnvollen, nicht übermässig teuren Lösung (älterer PC und wenn möglich Freeware) kann ich einen "kleinen" Server aufbauen, der von den SBS geschaltet wird und einfach die Mails abholt. Diese evtl. nach Viren und ähnlichen inkl. Spam scannt und dann dem SBS weiterleitet.

Firewall --> "Mailserver" --> SBS mit Exchange Server

Vielleicht hättest Du da noch eine gute Lösung parat. Ein ISA Server 2004 wäre natürlich toll (Software (MSDN)) hätte ich sogar, aber die Hardware dafür nicht.

Gruss Rex_Swissly

#44 IThome

IThome

    Moderator

  • 17.763 Beiträge

 

Geschrieben 08. August 2006 - 10:04

Hier im Board wird oft IPCOP vorgeschlagen, da gibt es sicherlich Leute, die Dir das näher erklären können. Ich kenne IPCOP leider nicht ...
Ich bin S-1-5-XXX-500, ich darf das ...

#45 Rex_Swissly

Rex_Swissly

    Member

  • 262 Beiträge

 

Geschrieben 10. August 2006 - 20:30

So, hab heute einen Occassions PC gratis erhalten, den ich mal mit dem ISA 2004 Standard installieren werde.

Ist zwar kein Turbo (P3-800/512MB), aber mal zum Anschauen reicht es vielleicht.

Das wird ein Abenteuer. Gott sei Dank, habe ich wenigstens ein Buch dazu :-)

Gruss Rex_Swissly