s.k.

@mr.tobi: Das war aber nur 1/3 der erhofften Antwort... :(

Hallo mr.toby,

 

...ISA Problem...

Handelt es sich eigentlich um einen ISA2000 oder ISA2004?

 

...aber ich kann isa nicht installieren weil ich kein dhcp und dns installiert habe...

Anders als den ISA2000 habe ich den 2004er erst einmal produktiv und vorher höchstens 2-3mal testweise aufgesetzt. Das ist auch schon etwas her und ich kann mich nicht mehr an Einzelheiten erinnern, aber dass die Installation das Verhandensein des DNS- und des DHCP-Dienstes voraussetzen soll, kommt mir doch etwas "Spanisch" vor. Könntest Du hier einen Screenshot der Fehlermeldung verlinken?

 

ich möchte meinen isa dann vor den router hängen! ...und dann möchte ich mit den isa server in meinen swich gehen!

Das "vor den Router" ist etwas mißverständlich. Meinst Du das so:

Internet<-->Router<-->ISA-Server<-->Switch<-->Clients und weitere Server ?

 

Gruß

Steffen

Hallo Myst,

 

ich hatte vorgestern genau das gleiche "Problem".

Ich betreue u.a. mehrere kleine Remotestandorte welche per VPN mit einer Zentrale verbunden sind. An den Remotestandorten verwenden wir kleine SOHO-Firewalls. Unmittelbar nachdem ich auf diesen ein größeres Firmwareupgrade eingespielt hatte, welches es u.a. ermöglicht, verbotene Verbindungen nicht nur zu droppen, sondern auf Wunsch zu rejecten, hatte ich alle 40 Min diese Meldung in der Ereignisanzeige.

WINS sendet per default in diesem Intervall IGMP-Multicasts, um mögliche Replikationspartner zu finden. Die Firewall anwortete hierauf nach dem Firmwareupgrade mit ICMP "Port Unreachable", während sie früher diese Pakete einfach droppte. Dies verursachte die Einträge in der Ereignisanzeige.

Bzgl. der Konfigurierbarkeit der WINS-IGMP-Multicasts schau Dir den KB-Artikel 151761 an.

 

Gruß

Steffen

Hallo Fruranski,

 

hallo,

leider haben wir keine möglichkeit an den routern das setup zu verstellen da diese durch unsere provider gewartet werden.

Kannst du mir bitte die Einstelleung auf dem rechner erklären.

Fang nicht soetwas an! An allen Clients statische Routen zu konfigurieren ist wirklich nur etwas für SEHR kleine Netze (max. 5 PCs). Wir wissen doch alle, dass Netze mit der Zeit größer werden. :rolleyes: Irgendwann hast Du dann mal eine Unmenge Rechner mit statischen Routingeinträgen und es ändert sich eine Route... :shock:

 

Mein Vorschlag:

Stell Dir einen Router ins Netz, der lediglich dafür da ist, den Clients per ICMP Redirect den Weg zu weisen. Diesen gibst Du bei den Clients (per DHCP?) als Standardgateway vor. Dann musst Du künftig sämtliche Routen (bei den zweien wird es nicht bleiben...) nur noch auf diesem einen Router pflegen.

Für diese Aufgabe genügt die billigste Plastikbox, derer Du habhaft werden kannst. Wenn das Geld sehr knapp ist: Bei Ihbäh gibt es aufgrund des Siegeszugs der Breitbandzugänge massenhaft ausrangierte ISDN-Router. Er muss nur ICMP Redirect auf dem LAN-Interface unterstützen. Das ISDN-Interface bleibt ungenutzt. Hol Dir am Besten 2 identische Geräte: einen auf Reserve zwecks schnellem Recovery.

 

Gruß

Steffen

 

P.S. Laß bitte das Ausixxen der (privaten?!) IP-Adressen. Das sind schlicht keine schützenswerten Informationen.

Wenn Du Dich damit besser fühlst, kannst Du das etwas verfälschen. Aber nicht so! Die gelieferten Infos sind völlig unbrauchbar!

Hallo Mike,

 

eine Lösung über den Routing- und RAS-Dienst wäre natürlich das Naheliegenste. Abhängig von der gewünschten Funktionalität könnte aber auch ein Webproxy zu Einsatz kommen.

 

Gruß

Steffen

Hallo,

 

ob mann durch tunneln firewalls umgehen kann:

das wäre mir neu, berichtige mich bitte jemand falls ich falsch liege

Den Umstand, dass Dir das neu war, kann keiner ändern. Aber Deinen Kenntnisstand sehrwohl... ;)

 

Selbstverständlich ist es möglich, eine Firewall zu tunneln. Damit ist gemeint, eigentlich unerwünschten/verbotenen Datenverkehr gegenüber den zentralen Sicherheitseinrichtungen wie Packetfiltern und ALGs als zulässigen Datenverkehr erscheinen zu lassen, um diese unbemerkt zu passieren.

Techniken gibt es derer viele. Der einfachste Fall wäre z.B. einen reinen Paketfilter dadurch zu umgehen, dass man seinen Datenverkehr über Port 80 leitet, obwohl es sich gar nicht um HTTP handelt. U.a. aus diesem Grunde werden schon seit langem HTTP-Proxys eingesetzt. Was aber auch nicht viel nützt: verpackt man halt seine unerlaubte Kommunikation in HTTP. Besonders beliebt für das Tunneln ist natürlich verschlüsselter Datenverkehr, da dieser von den zentralen Sicherheitseinrichtungen nicht auf Inhalt inspiziert werden kann. Mit der Connect-Methode bekommt man z.B. so ziemlich alles über einen Web-Proxy. Und das sind nur die auf den ersten Blick naheliegensten Möglichkeiten! Sobald ich irgendeine Kommunikation zwischen zwei Netzen zulasse, wird es auch einen Weg geben, unerwünschte Kommunikation über den erlaubten Übertragungsweg stattfinden zu lassen.

Auf weitere Erläuterungen diesbezüglich möchte ich an dieser Stelle verzichten. Zum Einen, weil ich zugegebener Maßen hierin gewiss kein Experte bin. Zum Anderen, weil dies häufig in seriösen Foren ungern gesehen wird. Wobei ich letzteres nicht so ganz verstehe: M.E. gehören auch die letzten Admins für dieses Thema sensibilisiert! Schließlich standen diesbezügliche Anleitungen in jüngster Vergangenheit bereits in weitverbreiteten PC-Zeitschriften - die User werden also geradezu dazu angeregt. Fehlt nur noch, dass dies in der ComputerBlo:d thematisiert wird. :rolleyes:

 

Wen es interessiert, der sollte also google quälen. Selbst die Boardsuche gibt etwas (wenn auch verhältnismäßig wenig) dazu her.

 

Gruß

Steffen

Hallo Buggy,

 

Sysprep selbst erstellt Dir kein Image. Dafür benötigst Du zusätzlich die Software eines Drittanbieters. Mit Sysprep kannst Du lediglich die Referenzinstallation für das Imagen bzw. für das spätere Rollout vorbereiten.

Siehe

http://www.heisig-it.de/sysprep.htm

http://support.microsoft.com/default.aspx?scid=kb;en-us;302577&sd=tech

 

 

Gruß

Steffen

Guten Morgen,

 

mann fangt Ihr füh an zu arbeiten! Ich bin gerade aus dem Bett gefallen... :cool:

 

Buggy:

Aber wenn ich die Fritzbox anpingen kann, warum kann ich dann nicht rauspingen ins Internet?

Entweder lässt die (Firewall der) Fritzbox den Datenverkehr von dieser Absender-IP nicht raus oder (wahrscheinlicher) der Vigor - bzw. je nach gewünschter Konfig der PC1 - hat keine oder nicht die richtige Nullroute (Default Geteway).

Mach mal bitte von PC1 aus einen Tracert auf eine öffentliche IP-Adresse und poste das Ergebnis!

 

Der funktionierende Ping von PC1 zur Fritzbox, ohne dass Du der Fritzbox die Route zu PC1 mitgeteilt hast, während gleichzeitig PC2 nicht nach PC1 pingen kann, deutet imho drauf hin, dass auf dem Vigor NAT aktiv ist.

Dass die Firewall auf dem Vigor und dem PC1 - zumindest für die Tests - deaktiviert sind, das setze ich schlicht voraus...

 

Gruß

Steffen

Hallo Buggy,

 

eins vorweg: ich kenne weder den verwendeten Vigor noch die Fritzbox.

 

Deshalb nur ein paar grundsätzliche Gedanken von mir:

 

1) Das WAN-Interface des Vigor muss eine IP-Adresse aus dem Netz 192.168.1.0/24 haben, als Standardgateway sollte die Fritzbox eingetragen und als DNS-Server ein solcher eingetragen sein, der öffentliche DNS-Namen aufllösen kann.

 

2) Wenn der Vigor nur weiterroutet, aber nicht nattet, dann muss die Fritzbox die Route zum PC1 kennen. Also entweder in der Fritzbox von Hand einen Routingeintrag machen oder dafür sorgen, dass sich die Router untereinander die Routen mitteilen (z.B. über RIP, OSPF oder was auch immer die Geräte unterstützen).

 

3) Abhängig davon, ob und wie Kontaktaufnahmen mit PC1 aus dem Netz 192.168.1.0/24 nötig sind, wäre es eventuell eine Option, den Vigor nicht nur routen/forwarden sondern auch natten zu lassen. Dann entfallen die Maßnahmen zu 2) weil Fritzbox-LAN und Vigor-WAN im gleichen Netz liegen.

 

Gruß

Steffen