KeinPlan

Hallo, danke für den Tip. Hat super funktioniert. Bin schon ein gutes Stück weiter. Jetzt hab ich da nur noch ne klitzekleine Frage. Habe eine Protokollregel definiert, damit ich je nach Richtlinienobjekte ins Internet komme. Das klappt schon man wunderbar. Dann wollte ich mit HTTP und HTTPS auf meinen hinter dem ISA hängenden Webserver komme, das geht auch (Eine Protokolldefinition mehr und 2 Serververöffentlichungsregeln - super, alles spitze. Nu wollte ich aber noch ne Portdefinition für 1723 machen und eine Serververöffentlichungsregel auf einen internen VPN Server. Das macht er allerdings nicht :( Er bringt mir da immer bei der Benutzer und Kennwort Verifizierung den Fehler 721. Nun gut dachte ich, mach ich halt beim IP-Paketfilter noch das Protokoll 47 auf. Aber leider ohne Erfolg. Was habe ich denn da noch vergessen oder falsch gemacht? Vielen Dank

Hallo Grizzly, wenn Du das schreibst, dann wird es so sein ;) Im Skript steht nur, dass man eigentlich den Server erst auf seine Wünsche incl. RRAS einrichten soll. Aber OK, dann werde ich halt einfach nochmal den Server neu aufsetzen und gleich mit der ISA Installation weiter machen. Danke Dir

Hallo Leute, ich versuche gerade den ISA 2000 im Selbststudium zu machen. Endlich habe ich ein bisschen Luft. Die MOC Unterlage ist ja schon mal gut geschrieben. Da steht z.B. drin, dass man den 2k Server erst mal auf seine Wünsche vorbereiten soll und dann erst den ISA installieren soll. Gut, habe jetzt 3 Rechner da stehen. Einer soll der WAN sein, der Andere der LAN und der 3. ist ein Rechner mit 2 Netzwerkkarten. Auf dem läuft 2k Server. Jede Karte ist ein anderes Netz. 1. 192.168.1.1 2. 192.168.2.1 Im Routing und RAS habe ich den Assistenten für den NAT Router gesetzt. (Den Großen meine ich). Klappt - ich komme nun drüber. Jetzt wollte ich noch das VPN machen. Bei 2k3 Server gäbe es ja nen Assistenten, der würde einen Router und einen VPN einrichten. Aber nicht bei 2k. Also habe ich den Router über den Assistenten gemacht. Manuell bin ich in die Eigenschaften gegangen und dort das Häkchen "RAS-Server" gesetzt, den Punkt von "Nur LAN-Routing" auf "LAN und bei Bedarf wählendes Routing" gesetzt. Im Register IP habe ich noch nen statischen Pool vergeben. Natürlich einen aus der LAN Seite. Unten das Klappfenster wo es heißt "Der folgende Adapter wird verwendet, um DHCP usw. zu erhalten" habe ich auch schon alle 3 Möglichkeiten gewählt. Das Routing geht. Aber wenn ich versuche von meinem WAN Rechner ein VPN auf zu bauen kommt immer die Fehlermeldung: Fehler 913: Ein RAS-Client hat versucht, eine Verbindung über einen Port herzustellen, der ausschließlich für Router vorgesehen ist" Also scheinbar kollidiert nun der Router mit meinem händisch eingerichteten VPN. Was kann ich denn da bitte machen? Bitte helft, ich will mich ja nicht wirklich all zu lange bei dem Problem aufhalten sondern das nur für den ISA zum lernen vorbereiten. Besten Dank im voraus

Man stelle sich da drin eingebaut nen dicken Subwoofer vor und dann ne Runde krassen Techno. *lol*

So, jetzt hab ich mein Vorhaben mal gezeichnet. Alles was ich halt nun wissen möchte ist, wie man dem ISA sagt, wenn 1723 Anfragen vom Internet kommen sollen die auf 10.0.0.2 gehen. Den Rest übernimmt dann der VPN Server. Und das mit dem DMZ wäre noch ne super Sache, was man da eigentlich anschließen sollte und was es damit auf sich hat. Vielen 1000 Dank

Guten Morgen grizzly999, danke für Deine Antwort und nein, ich fühl mich nicht angegangen. Sagte ja bereits das ich im Firewall Sektor noch ziemliche defiziete habe. Bisher hab ich mich immer auf kleine Hardwarefirewalls verlassen, bei denen ich halt einen Port zu nem Rechner geleitet habe und das wars. Vermutlich hab ich mich gestern etwas falsch ausgedrückt. Nicht der ISA soll den VPN Server spielen, sondern ein eigenständiger PC mit 2k Server und installiertem RRAS. Der funktioniert soweit auch wunderbar. Rein zum Testen hab ich den einfach mal parallel zum ISA Server gestellt. Damit meine ich, Standleitung kommt ins Haus und von dort hab ich den Switch gehängt, davon geht ein Port auf den ISA (der ne öffentliche IP hat) und ein anderer Port des Switch auf meinen 2k Server RRAS (auch mit öffentlicher IP) auf der anderen Seite treffen sich die beiden Server dann wieder im LAN Switch der Firma. Meine Befürchtung ist halt jetzt, dass ich Hackern usw. Tür und Tor geöffnet habe. Die öffentliche IP, die am ISA gebunden ist, ist sicher. Davon geh ich aus, weil ich denke, der, der das Ding konfiguriert hat wusste, was er tut. Aber die andere öffentliche, die auf dem 2k Server RRAS ist macht doch alles auf. Aus dem Grund dachte ich mir, ich bau den VPN Server wieder von der öffentlichen Seite weg und schließ ihn hinter dem ISA Server an. Wenn ich das aber mache muss ich doch am ISA Server den Port 1723 dann auf den VPN Server umleiten, oder? Jedenfalls erscheint mir das wesentlich sicherer als die andere Lösung. Die Frage DMZ ist ne reine Verständnisfrage. Hab hier über suchen zwar ein bisschen was drüber gefunden. Aber nicht wirklich einfach mal ne simple Erklärung, was damit gemeint ist. Wir wollen in der Firma auch nicht unbedingt am Montag das realisiert haben. Cheffe will nur mal die Situation erklärt bekommen und wer weiß, vielleicht geht das Ganze ja dann doch schon am Montag. Wäre toll. Danke und Gruß Markus

Hallo Board, da bin ich mal wieder mit einer Frage. Ihr seid mein letzter Ausweg. Soll am Montag in der Arbeit eine VPN Lösung liefern. Wir haben einen ISA Server direkt an einer 2MBit Leitung angeschlossen. In dem ISA Server stecken noch 3 zusätzliche Netzwerkkarten. Eine geht auf unseren LAN Switch, die anderen Beiden sind noch nicht angeschlossen, stehen aber jeweils mit DMZ1 und DMZ2 in der Netzwerkumgebung (sind so vom Installator genannt worden). Nun kenn ich mich überhaupt nicht mit dem ISA Server aus. Nun gut, um ehrlich zu sein, kenn ich mich mit Firewallsystemen im allgemeinen nicht sehr gut aus :( Was meint man überhaupt mit DMZ? Ich weiß, das heißt demilitarisierte Zone. Heißt das nun, dass Rechner, die dort angschlossen sind besonders geschützt sind? Aber mein eigentliches Problem. Wir wollen es Leuten von außen ermöglichen, auf das gesamte (!!!) Firmennetz zu kommen. Sprich, File, Datenbank, Mail usw. einfach alles. Habe deshalb einen 2k Server mit VPN eingerichtet und mal ausprobiert. Nur sicher ist die Lösung bestimmt nicht. Die Standleitung kommt zu uns ins Haus. Da hab ich einen kleinen Switch genommen und jeweils den ISA und den VPN angeschlossen. Der ISA hat ne öffentliche IP und der VPN auch. Auf der anderen Seite geht es dann vom ISA und vom VPN in den LAN Switch. Gehen tut das. Aber ich habe mir dch jetzt da selbst ein Loch gebaut, oder? Die IP die zum ISA geht ist gut geschützt (denk ich) aber über den Weg der VPN IP hab ich doch jetzt Sicherheitslöcher? Viel wohler wäre mir bei der Sache, wenn ich nur den ISA mit einem Fuss in der Öffentlichkeit hätte und der geht wiederum ins LAN. Dort (also hinter dem ISA) steht dann der VPN. Am ISA müsste ich dann nur den Port 1723 öffnen und auf den VPN laufen lassen. Das wäre doch wesentlich sicherer, oder? Und wenn ja, wie konfiguriert man den ISA, dass neben den bereits geöffneten Ports noch der 1723 geöffnet und weitergeleitet wird? Und zwar so, das am ISA nichts der anderen Dinge beeinträchtigt wird. Danke für Eure Hilfe

Hey, danke für die Links. Eine Frage hab ich aber jetzt noch. Nachdem ich mein OWA mit SSL habe, muss ich dann eigentlich nochmal das Lockdown Tool drüberlaufen lassen? Weil wenn ich die Zertifikatsstelle installiere macht er da noch was am IIS. Danke

Hallo Tobias, Erstmal danke für Deine Infos. Soweit sogut. Eine Zertifikatsstelle aus dem Internet. Schöne, bequeme Sache. Würde mir aber gerne selbst einen Zertifikatsserver installieren. Irgendwie habe ich immer den Drang alles selbst zu machen und nicht unbedingt von jemandem im Internet abhängig zu sein. Also eigene Zertifikatsstelle - mit dem IIS zusammenprimeln und egal wo ich bin auf der Welt, soll er dem Client (IE oder sonst ein Browser) das Zertifikat für diese Anfragen an mein OWA ausstellen, so dass ich gesichert OWA'en kann. Habe da zwar was gefunden: http://www.msisafaq.de/Anleitungen/Server/Exchange_OWA_SSL_1.htm Allerdings entspricht das Ganze nicht meiner Konfig. Viele Beschreibungen weichen dabei bei meinem Versuch ab. Gerade das Anfordern des Zertifikats stimmt bei mir mit der Beschreibung überhaupt nicht überein.

Hallo, aus meinem aktuellen Anlass, einen OWA über Portforwarding aus dem Internet zu erreichen, hat sich nun die Überlegung gestellt wie man das Ganze über https und nicht über http macht. Derzeit sieht es nämlich so aus, dass ich meinen IIS, der mit Lockdowntool abgesichert ist über den Port 80 (http) erreiche. Nun müsste ich doch für https den Port 80 wieder schließen und einen anderen Port öffnen. Nur welchen? Und wenn ich das gemacht habe, dann muss ich doch auch dem IIS sagen, dass er dem anfragenden IE ein Zertifikat ausstellt, oder? Also, welche Einstellungen müsste ich im IIS denn machen, dass das geht und wie muss ich einen Zertifikatsserver einrichten, das das geht? Hab mit dem Thema Zertifikate noch nie etwas am Hut gehabt. Hat vielleicht jemand eine Schritt für Schritt Anleitung für sowas. Besten Dank

Hallo zusammen, wirklich interessant diese Artikel hier. Ja, hast recht. Den OWA über http laufen zu lassen macht mir eh schon ne Weile Magenschmerzen. Wollte schon lange https einbauen. Nur wie mach ich das? Für das Thema wäre wohl ein neuer Thread angesagt, oder? Vielleicht hilft mir ja jemand ... Hier dann das mit dem Zertifikatsserver und https: http://www.mcseboard.de/showthread.php?s=&threadid=18243

Hallo MäD, danke für Deine Antwort. Ein Bierchen zischen? Können wir gerne tun :) Also, ich muss nach Zermatt. Da nehm ich mein Notebook und mein Handy mit. Im Notebook hab ich 'n Modem und ne PCMCIA Fritz!Card und natürlich LAN Anschluss. Mein Handy ist D1. Denke mal, wenn ich ein 1/2 Jahr in der Schweiz bin wird es richtig teuer mit telefonieren. Darum würde ich mir höchstwahrscheinlich eine Prepaid Karte holen und in mein Handy bauen. Oder ich kauf mir gleich ein Prepaid Set mit Handy. So teuer wird das ja wohl nicht sein. Bezüglich den Tarifen wären halt Infos ganz gut und welcher Anbieter da günsitg ist. Und wegen Internet wollte ich halt gerne wissen, welcher Anbieter da für call-by-call interessant ist? Und Analog, ISDN und DSL werdet ihr ja vermutlich genauso haben wie hier in Deutschland Ist bei Euch Analog über eine TAE-Dose? Ist bei Euch ISDN über RJ45-Dose? Ist bei Euch DSL über PPPoE oder wie in Österreich über PPTP erreichbar? Danke für Deine Bemühungen

Hallo Leute, ich muss demnächst für ein halbes Jahr in die Schweiz. Bekomm da ne Wohnung usw. Wer kann mir da ein bisschen weiterhelfen bzgl. der Normen? Analog: Welcher Anschluss? TAE? Standard wie Deutschland? ISDN: RJ45????? DSL: Wie T-DSL????? Handy: Prepaidkarte??? Gibts das? Und wenn ja, welche wäre da günstig/seriös um auch nach good old Germany zu telefonieren? Genauso Analog, ISDN, DSL. Welcher Anbieter? Ach ja. Und evtl. noch welcher Internetanbieter? Gibts da auch sowas wie Call-by-Call? Vielleicht hat ja auch jemand ne HP, wo man das evtl. nachlesen könnte. Danke für die Auskunft.

Hallo, wau - richtig viele Einträge :-) Vielen Dank! Nun gut, die Sachen klingen alle sehr interessant. Natürlich ist mein PRIVATES Netzwerk nicht unbedingt ein Luxusprodukt, wie vielleicht in einer Firma. Ich habe halt daheim 2 Servers rumquitschen, auf die ich bisher immer lokal zugegriffen habe. Aber durch den Komfort OWA und VPN möchte ich jetzt langsam auch nimma verzichten. Es geht ja alles super alles fit. Jetzt geht es einzig und alleine um ein bisschen Sicherheit die mich nicht auf Lebzeit für mein Hobby verschulden lässt. Momentan hab ich hier einen Switch auf dem alles gestöpselt ist. DSL Router, 2 Server, 2 Workstation, Notebook über W-LAN, 2 Printserver. Jetzt geht es um die Server. Möchte gerne über den Router auf meine beiden Server. Einmal OWA und einmal VPN. Es wäre kein Problem einen alten Rechner zu nehmen und da noch ne Firewall draufzuinstallieren. Nur, wo bau ich den dann hin: Router --- Firewall --- Switch und davon zum Rest oder Router --- Switch --- zu beiden Servern --- Switch --- Firewall --- Switch und da zum Rest oder so wie ich es jetzt habe: Router --- Switch und zum rest und irgendwo da FW-Software drauf. Wie Wildi schon meinte. Den Port 1723 kann ich ja eh ned Firewallen wegen dem Passthrought. Glaube hat was mit Protocolnummer 47 oder so zu zun, aber auch egal. Wenn, dann käme doch eh nur Port 80 in Frage. Und was soll ich da einschrenken?

Hallo und guten Morgen, ich spiele mit dem Gedanken, über DynDNS meine Server zu Hause zu erreichen. Meine Konfig: DSL mit Flat Rate Hardwarerouter (Teledat 130DSL) IP: 10.0.0.1 W2k Server (DC, DHCP, DNS, WINS, IIS, RRAS, TS, Fileserver, Printserver) IP: 10.0.1.1 W2k Server (DC, DNS, IIS, TS, Exchange) IP: 10.0.1.2 DynDNS auf dem Router aktiviert aber Port Forwarding ist noch dicht. So und jetzt möchte ich gerne folgendes: Auf dem Router Forwarden ... ... Port 80 --> 10.0.1.2 (Exchange OWA) ... Port 1723 --> 10.0.1.1 (VPN) Habs auch mal kurz getestet und es funktioniert einwandfrei. Allerdings hab ich ein bisschen Angst bezüglich der Sicherheit. Wenn ich hier über dieses Thema suche, lese ich immer 'aber pass auf, Du musst Sicherheit einbauen ... und blah und blub' Jetzt meine eigentliche Frage: Wenn auf dem Router alle Ports, ausser die beiden genannten (80 und 1723) geschlossen sind, muss ich mir doch um die eh keinen Kopp machen, oder? Ich muss mich dann doch nur auf die beiden offenen Ports konzentrieren: 80 --> 10.0.1.2 (IIS) Also IIS dort (also an Ort und Stelle) absichern. Da sollte doch als Sicherheit das Lockdown Tool und die aktuellsten MS Updates reichen? Oder nicht? 1723 --> 10.0.1.1 (VPN) Was soll man hier noch zu machen oder sichern? Aktuelle MS Updates und fertig. Oder denk ich da falsch? Was hätte ich denn von einer zusätzlichen Firewall? Der Router hält eh alle Ports dicht. Jetzt noch ne Firewall hinterm Router wo alle Ports nochmal dicht sind ist doch ein Quatsch. Das wäre ja so als baute ich eine Haustür ein und nach der Haustür nochmal eine. Port 80 und 1723 muss ich am Router öffnen. Das wäre dann in der Haustür eine Katzenklappe. Und weil ich ja ne Firewall nochmal hätte wäre in der zweiten Haustür nochmal ne Katzenklappe. Also, warum evtl. noch ne Firewall? Ich kappiers nicht. Gehts hier um doppelte Absicherung oder was? Oder hat so ein Teil wirklich mehr Sinn wie zwei Haustüren hintereinander?

Hallo, hab von einem Kumpel erfahren, dass dieses Board hier total super ist und da dacht ich mir einfach mal, vielleicht kann ja hier mein Wissensdurst gestillt werden. Ich habe da mal ne prinzipielle Frage zum Routing. Bisher habe ich ein Routing immer mit Hardwareroutern gemacht. Jetzt würde ich das aber gerne auch mal verstehen. :-) Wer kann mir vielleicht mal anständig Erklären, wie das Routing funktioniert bzw. wie man das vollkommen manuell einrichtett. Zum Beispiel: LAN 1 (192.168.1.) ----- Rechner als Router ----- LAN 2 (192.168.2.) ----- Rechner als Router ----- LAN3 (192.168.3.) Und wie sieht nun eine Konfiguration aus? Alle Rechner sollen mit allen können. Die Kisten im LAN 1 verwenden als GW die Schnittstelle des Routers im LAN1. Genauso die Kisten im LAN 3. Aber was ist mit den Kisten im LAN2? Welches GW haben denn die? Und wie müssten die Router konfiguriert werden? Das ist kein Projekt was ich hier habe. Das ist einfach mal zum Verständnis. Danke im vorraus Markus