DerQ

Ich hab vorhin gesehen, dass der ISA wenn ich ihn als http Proxy in FileZilla eingetragen habe die Anfragen bekommt und alles richtig auflistet, aber dann versucht einen SSL-Tunnel aufzubauen! Warum??? Wie kann ich das abstellen? Ich hab mir schon die Finger wund gegoogelt, aber ich finde einfach keine Lösung.

Ich hab mal ein Bild hochgeladen, weils für den Anhang zu groß war!

Hier der direkte Link

Hab mir deinen Link durchgelesen, aber die sagen da drin auch, dass du die Proxy Einstellungen im Programm machen musst, damit es den Proxy auch korrekt anspricht.

Nun ja, aber damit hab ich auch Probleme, es funktioniert nur mit TCommander, NICHT mit FileZilla (2.2.32 oder 3.0), psftp, ffxp, smartftp. Cuteftp kann ich leider nicht testen, da meine trial schon angelaufen ist. und dass obwohl ich da auch bei einigen einen Http-Proxy einstellen kann. Gibt es denn keine andere Möglichkeit mehr, ausser ISA als DG oder DG auf ISA forwarden???

Ich mein, dass klingt irgendwie sehr eingeschränkt!

Weil das würde heißen, der Verkehr geht zum DG und dann vom DG zurück zum ISA und der ISA muss selbst wieder über das DG raus...das ergibt ja irgendwie keinen Sinn oder??

Aber Danke für deinen Aufwand!

Gruß

Den Firewall Client muss man ja auf dem Client Rechner installieren. Es soll aber keine Änderung für die User hier geben. Sie sollen den Proxy nicht mal bemerken. Mit dem Firewall Client sieht dies schon schwieriger aus. Außerdem müsste ich den bei allen Usern hier installieren, was meinem Chef zu zeitintensiv ist. Es geht mir im Moment ja auch nur darum, dass ich in FileZilla den Proxy so einstelle, dass er richtig angesprochen wird, ohne großartige Änderungen am ISA vorzunehmen.

P.S.: Danke für die schnelle Antwort!

Hi,

ja wir hatte uns in dem Thread schon drüber unterhalten, nur war da beim ISA das Problem. Das ist es jetzt nicht, deshalb hab ich auch einen neuen Thread eröffnet...

Ich hatte damals ja wenn ich mich recht erinnere den Rat befolgt, den ISA als Gateway einzutragen. Das Problem dabei ist, dass ich eine andere Lösung suchen soll, weil ich sonst auch bei allen Clients im LAN den ISA als Gateway eintragen müsste und alle Leute dementsprechend einen statische IP bekämen, was nicht gewünscht ist. Deshalb hab ich das ohne Gateway versucht, also mit dem anderen um genau zu sein. Und dabei hab ich das Problem, dass FileZilla den ISA nicht als Proxy anspricht und mit Fehler ausgibt. Wie gesagt bei TotalCommander mit den gleichen Einstellungen klappt es ohne Probleme. Deshalb meine Frage, ob ich bei FileZilla irgendwas bestimmtes beachten muss?

Hi Zusammen,

naja der Titel lässt viel Spielraum für mein Problem, aber im Endeffekt trifft er schon zu!

Folgendes:

Ich habe einen ISA als Proxy hier laufen. Soweit auch alles wunderbar. Nur komme ich wenn ich den ISA nicht bei mir als Default-Gateway eingetragen habe mit Filezilla und anderen netten FTP-Tools (die keinen Proxy-Konfiguration unterstützen) nicht auf externe FTP-Server. Logisch sie wissen ja nicht, dass es einen Proxy gibt über den sie gehen müssen.

FileZilla allerdings hat die Option einen Proxy einzustellen. Der ISA läuft ja mit FTP over HTTP, also stell ich einen HTTP-Proxy ein mit dem ISA Port 8080 und will auf einen externen Server. Er gibt mir allerdings Fehlermeldungen aus, dass es nicht klappt, da der Port nicht freigegeben wäre. Mit TotalCommander allerdings genau das Gleiche, und der kommt komischerweise auf alle externen und internen FTP-Server drauf. Ich hab bei FileZilla alles möglich probiert. Muss ich da noch irgendwas genaues beachten?

Ich würde ja eigentlich weiter TotalCommander nutzen, wenn es a) kein Geld kosten würde und b) hier im Netzwerk nicht super viele Leute leider mit FileZilla arbeiten würden.

Hat irgendjemand eine Idee wie ich das hinbiegen kann?

Gruß

Alles klar!

Läuft!

Hab ihn deinstalliert komplett und sauber mit allen wirklich ALLEN Komponenten die dazu gehören! War teils schwerer als ich dachte! :D

Hab ihn danach 2x neuinstalliert. Einmal in Englisch einmal in Deutsch, da die englische Setup-Datei einige Probleme machte und (warum auch immer) instabil läuft.

Jetzt mit der deutschen Version klappt alles einwandfrei! Zumindest das was ich atm brauche!

Vielen Dank für eure Hilfe, war echt super!

LG Heiko

HA!

Ich hab doch noch was entdeckt!

Das Problem hatte ich vorher nicht.

Und zwar kommt ich nicht mehr in die DMZ!

Ich hatte vorher im ISA den IP-Range der DMZ mit ins interne Netz genommen.

Habe dieses mal wieder den 3-Leg Perimeter genommen, aber die DMZ als Perimeter explizit definiert!

Und obwohl ich definiert habe, dass der Range des internen Netzes und Rechner unserer Domain sowie der Range der DMZ nicht über den Proxy gehen sollen, versucht mein Rechner das über den Proxy zu machen, auch obwohl ich explizit im Browser gesagt habe, dass der Range nicht über den Proxy gehen soll. Der Proxy gibt mir daraufhin die Fehlermeldung aus, dass die URL gesperrt ist.

Wenn ich den Range wieder mit ins interne Netz nehmen würde, bin ich mir 100 prozentig sicher, dass es klappt, allerdings ist das ja nicht Sinn und Zweck des ISA.

Weiß hier jemand Rat?

edit:

Habe den Range wieder zu den Internen hinzugefügt, und wie gedacht klappt es auf anhieb. Hatte vorher mal mitloggen lassen, wie Christoph35 mich schon mal aufgefordert hat und da kommt als Fehlermeldung "Unreachable Adress".

Kann es sein, dass der Proxy es verbietet darauf zuzugreifen, obwohl du es so definierst?

Weiter habe ich das Problem, dass ich nicht auf LEO Deutsch-Englisches Wörterbuch komme. Ich komme zwar auf WWW leo.org aber selbst wenn ich da dann auf Dictionary klicke, klappt es nicht! Egal welche Sprache! Die Fehlermeldung ist: " 12006 Webproxydienst: Internet-Meldungen Der URL verwendet ein unbekanntes Protokoll..."

Hier noch jemand ne Idee?

edit2:

Hab auch so immer mal wieder ein paar Probleme mit dem Internet! Die ISA Management Console sagt mir, dass sie keine Verbindung mim ISA-Server aufbauen kann. Durch verändern der Host-ID kann ich das aber teils (temporär) beheben! Da ich als Host-ID aber nicht die 1 auswählen kann, kann es sein, dass der jetztige ISA denkt, er wär nicht der Hauptserver, sondern nur einer der mit dem ISA-Konfigurationsserver Verbindung aufnehmen muss?

Wenn ja, warum war das vorher nicht so? Liegt es daran, dass der ISA nicht "sauber" genug deinstalliert wurde?

Außerdem gibt er mir dauern Fehler zur Chaining Rule aus, ich habe meine aber gelöscht und die System Regel deckt alles ab was ich brauche. Sie soll alle Reqeust direkt im Internet abrufen, das sagt er mir aber, dass es eine Schleife ist, da Upstreamserver A zu B leitet und umgekehrt? Wie kann dass sein? Ich habe keinen Upstream eingetragen!

Ich werde einiges wohl löschen und neu definieren, bis ich hier einen sinnvolleren Vorschlag höre! :D

Gruß

Hi,

hab den ISA neu gemacht und alle Netzwerke und Regeln und alles drum und dran nochmal klar und deutlich und einzeln definiert!

Klappt bisher alles einwandfrei. Auch ftp! Ich glaub es lag an der Firewall, dass es da Probleme gab.

Konnte in FileZilla einfach einen ftp://host -Request machen mit User und PWD OHNE einen Proxy angeben zu müssen oder einstellen zu müssen in den Optionen!

Vielen Dank, ihr habt mir sehr dabei geholfen!

LG Heiko

edit: @ Christoph:

Werd mir jetzt direkt nochmal alles exportieren und gut backuppen! Da es jetzt endlich mal klappt sollte ich mir das gut aufbewahren! Danke!

So, der ISA steht, genauso wie ich vor der Frage, Regeln und Netzwerke etc. importieren oder komplett neugestalten!?

Wenn neu erstellen, worauf sollte ich achten?

Hat jemand ein paar Tips für mich, damit das klappt?

Gruß

Ich dachte ich hab das Alles schon gemacht und richtig. Merke aber grad, dass es wohl noch andere Probleme mit dem ISA gibt, werde mir die neue Version ziehen und installieren, meld mich danach nochmal! Trotzdem schon mal vielen Danke für deine Hilfe!

Gruß

ja, beim bisherigen Server lief es so, dass wir den Ftp-Request an ihn geschickt haben und er es mit user@host aufgelöst hat und so die Verbindung zum externen FTP aufgebaut hat.

Im filezilla selber hab ich keine... wie gesagt wenn ich den einstelle, dann kommt beim verbinden: Connecting to ISA. Connected to ISA...

wenn ich ihn nicht einstelle und das per ftp://ISA mit user@host versuche, kommt nur:

Connecting to ISA...

Wenn ich nichts derartiges machen und einfach einen ftp://host user pwd etc mache, dann kommt Connecting to FTP... Connected to ISA...

Mehr nicht.

Die Regeln für den ISA an sich hab ich mit definiert um sicher zustellen, dass er ins Interne Netz und in die DMZ kommt.

Filezilla sollte doch eigentlich keine Probleme haben sich über den ISA ins Netz zu verbinden, wenn man es als WebProxyClient macht?! Ich bekomme allerdings keine Verbindung zum ISA mit Filezilla hin!

Muss ich denn den FW-Client dann auf jedem Rechner einzeln installieren???

Ich habe ihn manuell eingetragen. Hab die IP eingegeben und dann test laufen lassen. Name wird korrekt aufgelöst. Nach der Installation hab ich einiges geändert :>

Ich habe Regeln erstellt, dass Intern nach Intern klappt, Intern nach Localhost (also ISA), Intern und Localhost nach Extern und Intern und Localhost in DMZ. Vorerst steht alles noch auf alles erlaubt, auch nach Extern!

Werde mir die neue Version später installieren. Soll ich die Regeln etc exportieren oder lieber komplett neu anlegen?

Ja klar..

Also, ich versuche über Filezilla rauszugehen. Versuche mich als Anonymer User auf einem öffentlich FTP-Server anzumelden. Klappt auch über Browser zum Beispiel.

Gibt eine Regel, in der ich alles nach draußen erlaube. Habe da auch das Häkchen für FTP "Nur lesen" deaktiviert. Habe den FW-Client auf deine Anweisung hin installiert, wie ich aber schon sagte, habe ich damit Probleme -->

Ist der Firewallclient aktiviert?

[/Quote]

Ja, er erkennt auch den ISA, allerdings ist er in der Taskbar sichtbar, obwohl die Option "Hide, when connected to ISA" aktiviert ist. Und sagt immer noch "Not installed properly", weiß aber nicht warum!

[/Quote]

Hi Zusammen,

tut mir leid, dass ich so lange nix von mir hab hören lassen! War im "Urlaub" und hatte leider keine Zeit vorbeizuschaun!

Also ich hab den Tab Protokollierung gefunden. Danke! War schwer ihn zu finden :D

Hab es mal probiert wie du mir geraten hast @ Christoph, gibt mir 3 Zeilen aus:

Aktion......................................................Regel.......................................Ergebniscode

Getrennte Verbindung................................"leer"....................................0x80074e21 FWX_E_ABROTIVE_SHUTDOWN

Initiierte Verbindung.................................."leer"....................................0x0 ERROR_SUCCESS

Fehlgeschlagener Verbindungsversuch........"Regelname"..........................0x80074e21 WSAETIMEDOUT

Sagt mir natürlich erstmal nichts, werd mal schaun, was ich dazu rausbekomme...

Wär trotzdem toll, wenn sich hier nochmal jemand zu Wort melden würde!!

Gruß

Sry, wenn ich heute was schwer von Begriff bin...

Aber mein ISA selbst ist leider auf deutsch und das Tab ganz rechts heißt Konnektivitätsprüfung. Hab ich mal gemacht für den ftp.fu-berlin, weiß aber nicht wo und wie ich mir die Ergebnisse anschaun kann und unter Übersicht ist ein kleines Fenster das heißt Systemleistung und zeigt zugelassene Pakete und verworfene Pakete an, da kann ich aber leider nichts einstellen und ich sehe in diesem Diagramm auch nicht -.-

Die anderen Tabs bei Monitoring (Überwachung) heißen, Übersicht (ganz links), Alarme, Sitzungen, Dienste, Konfiguration, Berichte und Konnektivitätsprüfung (ganz rechts).

Blockst Du ICMP am ISA?

Nein, ich nicht. Aber es wird durch die Hardware-Firewall die vorm ISA sitzt geblockt.

Meinst du die Berichte im Monitoring?

Ich find das auf Anhieb nichts!

Ist der Firewallclient aktiviert?

Ja, er erkennt auch den ISA, allerdings ist er in der Taskbar sichtbar, obwohl die Option "Hide, when connected to ISA" aktiviert ist. Und sagt immer noch "Not installed properly", weiß aber nicht warum!

Funktioniert ein Ping auf eine externe Adresse?

Nein, liegt aber daran, dass das allgemein nicht funktioniert. LAN etc.+

Hast Du in der Konfig der FTP-Programme die Proxy-Einstellung deaktiviert?

In Filezilla alle DEaktiviert. Sowohl Proxy als auch FTP-Proxy.

Also hab mir TCPView geladen und mal laufen lassen.

Wenn ich einen Verbindungsaufbau mache wird es angezeigt, wie es im Bild unter NORMAL steht, wenn die Verbindung geschlossen wird, wird es, wie zuerst zu sehen ist, doppelt angezeigt, verschwindet aber direkt wieder.

Hi,

also ich hab das jetzt installiert und versucht zu konfigurieren, insofern man das kann!

Allerdings klappt FTP immer noch nicht?!

Der Firewall Client sagt mir allerdings auch, dass er nicht richtig konifuriert sei. Meine Einstellung sind:

Haken bei Enable Firewall Client.

Manually specify: ISA-Name

Haken bei Enable automatic Web Browser config.

Mehr kann ich auch nicht einstellen!

Gruß

Habe grad Rücksprache mit meinem Chef gehalten!

Er meinte es liege def. nicht am DNS...weil ich ja n Request auf die IP machen und die IP auch pingen kann etc.

Wie genau installiere ich denn den Firewall-Client???

ich nutze den ISA als reinen Proxy... nicht als Firewall! Dann müsste es doch eigentlich klappen oder nicht?

Schon viel verständlicher :D

Ich habe den ISA auf meinem Rechner als Default-Gateway eingetragen und in den Internet Option als Proxy, im Firefox und diversen anderen Programmen nochmal explizit als Proxy definiert per IP. Mit Filezilla wurde es bisher so gehalten, dass man einen Requuest an den "alten" Proxy schickt: ftp://Proxy mit username@host. Das klappt allerdings beim ISA nicht, weil ich dann wie oben geschrieben: "Connecting to ftp.uni-heidelberg.de ...

Status: Connected with xxx.xxx.xxx.xxx:8080. Waiting for welcome message..." bekomme. Wenn ich den explpizit eintrage in den Einstellung von (z.B.) Filezilla, dann bekomme ich nur "Connecting to xxx.xxx.xxx.xxx ..."

Wow, sehr schnelle Antwort!

Ich bin mir allerdings nicht ganz sicher wie ich deine Frage verstehen darf!?

Ich habe im ISA diverse Regeln für das Verhalten des Proxy eingetragen, das Netzwerk von ehemal Single-Nic-Adapter-Konfiguration auf (zu Deutsch) 3-Abschnitt-Umkreisnetzwerk abgeändert und den Proxy auch aktiviert.