Hallo Leute!
Wieder mal ne Frage...
Also, ich bräuchte einige Infos zu ISA Server 2004, da ich damit noch kene Erfahrungen habe, und der sol hinter einer PIX Firewall laufen.
Zuerst geht es um die Netzwerkadapter, bzw. genauer gesagt die Einstellungen derer.
Hab ich das richtig verstanden: Die PIX Firewall erhält ja eine externe IP und eine interne. Mal angenommen ich geb ihr intern 10.10.10.254 und dem ISA Server am externen Adapter 10.10.10.1, Subnet 255.255.255.0 und als Gateway dann 10.10.10.254
Welche DNS Adresse(n) trag ich ihm dann ein?
Am Internen Adapter geb ich ihm eben einfach eine interne Adresse, des Firmennetzwerks, also in diesem Fall 192.168.10.4, Subnet 255.255.255.0, Gatway 192.168.10.254 und die internen DNS Adressen, 192.168.10.2, 192.168.10.5.
Auf der PIX Firewall leite ich alle Dienste (Ports), die ich benötige weiter auf den ISA, alles grundsätzlich nicht benötigte wird gleich geblocked. Der ISA leitet nach weiterer Filterung alles weiter an die betreffenden Computer, bzw HTTP und FTP weiter nach außen.
Es kommt noch dazu dass ich dann als interne Netze 192.168.10.x, 192.168.20.x, 192.168.30.x, 192.168.40.x als trusted hinzufügen muss, da wir 4 Aussenfilialen haben, die alle über diesen Server ins Internet müssen.
Da ich echt keine Erfahrung mit dem ISA 2004 Teil habe, bitte ich Euch meine Angaben hier zu verbessern, wenn was nicht stimmt, bzw. vielleicht einige Zusatzinfos, bzw. Dinge auf die man besonders aufpassen sollte zu erwähnen.
Herzlichen Dank!
Original geschrieben von grizzly999 Welchen DNS? Ist egal, den internen, einen externen, Hauptsache einer, der auflösen kann.
Diese "Aussenstellennetze" kommen aber schon von hinten auf den ISA-server, nicht von vorne (PIX) .....
grizzly999
Die Aussenstellennetze machen denke ich auch keine Probleme. Problem macht mir hauptsächlich der externe Netzwerkadapter des ISA. Ich war doch anch dem ganzen Nachlesen der Meinung, dass von aussen nix nach innen kommt. Somit kann doch, wenn ich beim externen Adapter den/die internen DNS Server angebe nix aufgelöst werden?
Wenn DNS grundsätzlich über den ISA drüber geht wär das natürlich schon leichter.
Bis auf die Sache mit dem DNS habe ich die Sache aber schon richtig verstanden, oder lieg ich voll daneben?
Dann klärt mich bitte bitte auf, ich muss das nöchste Woche (zwischen Weihnachten und Sylvester) machen, d.h. nicht nur das, sondern auch nebenbei das gesamte Firmennetz von NT auf 2k3 umstellen, das isn Haufen Arbeit und da sollt ich mich nicht zu lange mit der ISA/PIX Geschichte aufhalten. Danke!
Achja, das ganze Spielt sich in einer größenordnung von etwa 250 Benutzern (noch in 5 verschiedenen Domänen) ab, die jetzt auf eine zusammengefasst werden. Nur um mal ein Ausmass der Arbeit zu bekommen. Noch der Vollständigkeit halber... ich habe intern mehrere DNS, die Namensauflösung durchführen, wobei nur einer ans internet abfragen stellen soll. dazu werden die dns abfragen von den aussenstellen, wenn diese nicht dort aufgelöst werden können an die Hauptfiliale weitergeleitet. Dieser "HauptDNS" fragt dann im Internet ab (kann man ja im ISA konfigurieren, dass nur ein Server DNS Abfragen stellen darf). Aber der ISA Server muss doch auch in seinem externen Netzwerkadapter DNS Server eingetragen haben, auf die er Zugriff hat. Aber gut, kann ja auch sein, dass ich falsch liege und der ISA auch die im externen Adapter eingetragenen DNS abfragen kann, auch wenn diese im internen Netz stehen.
Die Aussenstellennetze machen denke ich auch keine Probleme
Wenn sie von hinten auf den ISA kommen nicht, wenn über die Pix, dann schon.
Ich war doch anch dem ganzen Nachlesen der Meinung, dass von aussen nix nach innen kommt.
Standarmässig geht da nichts rein, ist ein richtige Firewall. Man kann aber mit Serverpublishing Dienste im internen Netz zugänglich machen.
Somit kann doch, wenn ich beim externen Adapter den/die internen DNS Server angebe nix aufgelöst werden
Doch, er geht ja dann icht über das externe, sondern über das interne Interface. Man muss aber auf der externen Karte keinen DNS eintragen, auf der internen Karte reicht.
Man kann natürlich auch einen DNS-Server auf dem ISA selber betreiben, ist auch möglich.
und da sollt ich mich nicht zu lange mit der ISA
Das ist relativ. Man sollte sich natürlich mit der Pix, aber genausogut mit dem ISA 2004 auskennen, sonst ist's Essig mit "nicht zu lange".
Original geschrieben von grizzly999 Wenn sie von hinten auf den ISA kommen nicht, wenn über die Pix, dann schon.
Standarmässig geht da nichts rein, ist ein richtige Firewall. Man kann aber mit Serverpublishing Dienste im internen Netz zugänglich machen.
Doch, er geht ja dann icht über das externe, sondern über das interne Interface. Man muss aber auf der externen Karte keinen DNS eintragen, auf der internen Karte reicht.
Man kann natürlich auch einen DNS-Server auf dem ISA selber betreiben, ist auch möglich.
Das ist relativ. Man sollte sich natürlich mit der Pix, aber genausogut mit dem ISA 2004 auskennen, sonst ist's Essig mit "nicht zu lange".
grizzly999
Gut, das hilft mir schon ordentlich weiter. Ich denk ich bekomm das hin, grundsätzlich verstehe ich ja die konfiguration, aber das mit den DNS Adressen war mir nicht klar. Wenn ich extern keinen DNS eintragen muss, dann ist das auch kein Problem. Hauptsache alle Computer/Server (inkl. ISA) kommen zu dem gewünschten Namensauflösungsergebnis. Wenn Du sagst, dass ich auch beim externen die internen DNS eintragen kann, dann ist das schon gut so. Dan fragt der einfach intern ab und der interne geht wieder raus und holt sich, was der ISA braucht. Mit PIX hab ich jetzt schon die ganze Zeit rumgewerkelt, da sollte die konfiguration kein Problem sein.
Zum ISA hab ich auch einiges über Konfiguration usw gelesen, aber es war mir eben nicht klar, dass der ISA das von selber aus mitkriegt, dass er auch die internen Abfragen kann, auch wenns am externen Adapter eingetragen is. Danke auf jeden Fall nochmal für die Info. Ich denk, dass sollte so dann funtkionieren!
Eine Frage hätt ich ja noch...zum Thema vpn clients...
Wie konfigurier ich pix und isa am besten, dass die über beide drüber kommen? Was würdet ihr sagen? Erst beim ISA aufbauen die VPN verbindung, oder schon bei der pix und dan beim isa drüber lassen?
Oder bei beiden eine verbindung aufbauen?
Original geschrieben von grizzly999 VPN Clients von wo nach wo?
grizzly999
Von irgendwo (also von Laptops, die die Mitarbeiter zu Haus anschließen, ...) nach Firmennetz.
Dazu müssen die über die PIX und über den ISA. Bis jetzt liefs einfach so, dass die PIX die VPN Verbindung gemanaged hat und die Leute dann ohne weiteres ins Netz kamen. Da nun aber der ISA dazwischen kommt, könnte das ein Problem werden. Ist zwar nicht akut, da wir nicht viele vpns haben, aber dennoch sollten die nach der ganzen geschichte wieder funktionieren.
Original geschrieben von grizzly999 Terminieren auf dem ISA-Server, sonst hat man den unverschlüsselten Verkehr in der DMZ, die ja potentiell auch als nicht so sicher gilt.
grizzly999
Kurz gesagt, ich schalts auf der Firewall aus und die ports forwarde ich auf den ISA. Der macht dann die Verbindungen. Gut, Das sollte dann alles sein. Danke recht herzlich und wünsch gute Nacht!
