msVSme

Hallo Cisco Gemeide. Ich habe ein kleines Problem und zwar meine geringe Erfahrung mit Cisco Devices. Ich muß nun allerdings folgende Aufgabe lösen und komme nicht zum Ziel. Ich würd mich freuen, wenn ihr mir vielleicht ein paar Tips geben könnt. Ich muß einen AP1131 als Radius-Client mit einem Windows 2008 Server verbinden. Die Aufgabe ist, dass per WLAN am Ende nur zur Domäne gehörige Clients Zugang zum Netz bekommen sollen. Ich habe nun auf dem 2008 Domänencontroller den NAP (Netzwerkrichtlinienserver) installiert und im AD registriert. Hier habe ich dann auch den Client (ap1131) mit ip angelegt, Gerätehersteller CISCO eingetragen und einen shared secret hinterlegt. Als zweiten Step habe ich dann im NAP eine Richtlinie erstellt in der nur Domänen integrierte Clients für den Zugang akzeptiert werden. Als Authentifizierung habe ich EAP (PEAP) gewählt. Nun bin ich per Web-Interface auf den AP und habe im Server-Manager den RADIUS Server per IP angegeben, die Ports auf 1812,1813 gelegt und unter Server Priorities EAP, Accounting und Radius die IP des Radius eingetragen. Mein Problem ist, ich kann mich trotzdem mit einem nicht Domänenzugehörigen Gerät über den AP ans Netz verbinden. Habe ich noch was vergessen? EDIT: JA, ich habe den SSID Manager nicht konfiguriert... Dort habe ich nun Network EAP gewählt und EAP Servers meinen RADIUS Server angegeben. In diesem Schritt sagte mir der AP, dass ich im Encryption-Manager noch eine Key eintragen sollte. Getan: ich habe WEP gewählt und einen Key eingetragen. So, nun habe ich mit keinem Gerät mehr Zugang. Ich danke euch vielmals. Patrick

Hallo Forum. Ich habe wieder mal eine Frage zum ISA 2006. Ich habe einen ISA2006 Server mit zwei VLANs konfiguriert. Über eins der VLANs sollen sich Gäste mit dem Internet verbinden können. Dies funktioniert auch bereits - auch mit Standard Authentifizierung gegen das AD auf einem DC. Hier gibt es speziell eine Usergruppe "Gäste". Nun möchte ich allerdings, dass sich die User per https (SSL) am Proxy anmelden. Ich habe bereits ein Zertifikat erstellt und unter Netzwerke an dem VLAN die SSL Authentifizierung aktiviert. Anschließend habe ich einen Weblistener eingerichtet. Dieser ist an die VLAN Schnittstelle (LAN-Karte) gebunden, das Zertifikat konnte ich hier erfolgreich einbinden und ich habe angegeben, dass http zu https umgeleitet werden soll. Wie ihr annehmen könnt, klappt es aber leider noch nicht. Am Client wird nichts auf https umgeleitet und Seiten werden nicht aufgebaut. Was mache ich da noch falsch? Viele Grüße Patrick

VLAN2 ist das "Produktionsnetz" (IP Bereich 172.30.0.0/16) hier ist es nicht nötig, dass die user sich nochmals am Proxy anmelden, da die Clients hier zur Domäne gehören und bereits durch Windowsanmeldung authentifiziert sind. Allerdings sollen die Clients auch hier über den Proxy laufen, da die Internetnutzung geloggt werden soll. Wie wäre das lösbar? Geloggt wird immer. Nur wenn du keine Authentifizierung fordest, siehst du im Log nur die Client IP und nicht den Namen. Hallo Norbert, wenn jetzt die User bereits in der Domäne angemeldet sind und mit ihrem Benutzerprofil ohne weitere Anmeldung am ISA surfen, loggt dann der ISA auch Namenszugehörig? Oder ist bei Domänenzugehörigkeit trotzdem die Anmeldung am ISA fürs Userbezogene logging nötig? Danke dir vielmals...

Habe jetzt einen DHCP-Relay (Gäste-Netz zu DC1 ) über RRAS auf dem ISA eingerichtet. Dazu noch die TechNet Anleitung: Configuring the DHCP Relay Agent on ISA Server 2004. Und es klappt!!!!! Danke.

Da bin ich wieder. :) Ich habe mich gefragt, ob ich mir nicht eine DHCP Instanz sparen kann, wenn der ISA ein DHCP-Relay unterstützt. Meine Idee ist, da ja im VLAN30 (172.30.0.0/16) ein DHCP auf dem DC1 für das Netz vorhanden ist, hier gleich noch einen zweiten DHCP Bereich anzulegen. Dieser hält dann für das Gäste-VLAN20 (172.20.0.0/16) einfach auch einen Bereich. :) Unterstützt der ISA DHCP-Relay vom LAN zu LAN? An dem ISA habe ich ja zwei interne Schnittstellen (172.20.0.2 + 172.30.0.2). Einen sonnigen Nachmittag Patrick

Habe das Problem gefunden. Ich hatte das Standard "Intern" Netzwerk aufgebrochen. Also die ersten zehn IPs abgetrennt und diese Zehn als extra "Server" Netzwerk benutzt. Es waren also 172.30.0.1 - 172.30.0.9/16 als Netz "Server" und 172.30.0.10 - 172.30.255.255 als Netz "Intern" bestimmt. Keine der IPs aus dem Bereich "Intern" kamen dadurch auf den ISA und ins www. Nur die aus dem Netz "Server". Nun habe ich das Netz Intern wieder auf 172.30.0.1- 172.30.255.255 und die Server nun über die Firewall als Computergruppe Server vom Netz Intern "abgetrennt". Puh, das habe ich nun geschnallt. Ich glaube, jetzt den ISA in der Hinsicht verstanden zu haben. Norbert, danke für deine Mühe. Du hast mir wirklich die Wege gezeigt. Danke dir. Patrick

Ich habe nun den ISA soweit eingerichtet, die VLANs auf der NIC gebunden und habe auch zwischen den Servern soweit den gewünschten Zugriff. Könnt ihr kurz noch mal auf meine Config schauen. Denn wenn ich einen Client in das VLAN30 hänge, die VLANs habe ich jetzt zur Übersicht nach den IP-Kreisen benannt, bekommt dieser Rechner vom DC1 eine IP. Dieser Client ist dann in der Lage den DC1 per Ping und RDP zu erreichen, allerdings erreicht er auf keinem Weg den ISA1. Weder per RDP noch per Ping. Die Protokollierung meldet unerlaubten Zugriff, allerdings ohne eine Regel zu nennen... Was ist da falsch? Wie gesagt, der DC1 hängt im selben VLAN, kann aber vollwertig auf den ISA zugreifen. Der Client hat eine IP vom DC bezogen, kann diesen auch vollwertig erreichen. oh.. ich sehe grad, Screenshots werden nicht freigegeben... Ich hänge mal Ausschnitte an, vielleicht klappts ja. Grüße Patrick

Vielen, vielen, vielen Dank. Ich werde mich da morgen gleich durcharbeiten. Vielleicht melde ich mich nochmal. ;) Danke für alle Tipps. Toll... Beste Grüße Patrick

Hallo und vielen Dank für eure Antworten. Gleich vorweg zur offenen Firewall: ich wollte erstmal herausfinden, wie der Proxy arbeitet und die Firewall als zweiten Step konfigurieren, um Probleme in den Regeln auszuschließen. Beide Server sind mit festen IPs konfiguriert. Der DC1 hält einen DHCP für Clients. Es gibt scheinbar einige Wege im ISA zum Ziel. Darf ich euch nochmal meine Problem genauer beschreiben? Ich muß über den ISA am Ende zwei VLANs laufen lassen. Hierzu wird die LAN Schnittstelle für zwei VLANs konfiguriert. VLAN1 (IP Bereich 172.20.0.0/16) ist ein WLAN über das sich User verbinden dürfen, um ins Internet zu kommen. Nur sollen sich diese User über den ISA am AD authentifizieren, um surfen zu dürfen. Ansonsten bekommen sie keinerlei Zugang zum restlichen Netz. Die Clients gehören nicht zur lokalen Domäne. Hier möchte ich also den Client-Webproxy nutzen, und User über den Proxy gegen das AD auf dem DC zu authentifizieren. Ich muß es hinbekommen, dass diese Clients halt ausschließlich über die Authentifizierung des Proxy gehen. Könnt ihr mir dazu eine Idee geben? VLAN2 ist das "Produktionsnetz" (IP Bereich 172.30.0.0/16) hier ist es nicht nötig, dass die user sich nochmals am Proxy anmelden, da die Clients hier zur Domäne gehören und bereits durch Windowsanmeldung authentifiziert sind. Allerdings sollen die Clients auch hier über den Proxy laufen, da die Internetnutzung geloggt werden soll. Wie wäre das lösbar? Und zu guter letzt halt die Server ohne Proxy, damit diese ohne Probleme jegliche Software über das Netz aktualisieren können. Ich habe mit der Standard NAT Regel auch schon rumgespielt, also sie mal deaktiviert. Dann habe ich eine Neue erstellt die ich mit einem neuem Netz "Server" (IPs der Server) verknüpft habe. Das hat auch geklappt, Server kamen ins Internet. Jedoch war es dann über die Clients mit dem Webproxy Eintrag nicht mehr möglich zu surfen, obwohl ich Firewall technisch das Client-Netz - gesamter ausgehender Verkehr -> Clients -> Extern alles erlaubt hatte. Tut mir leid, wenn ich so viel scheibe, aber ich durchschaue den ISA noch nicht so richtig. Ich danke euch für eure Hilfe. Viele Grüße und schönen Sonntag euch Patrick

Erstmal herzliches Hallo, ich bin der Neue!!! :) Mein erster Post! :) Ein paar Fragen habe ich zum ISA2006 auf einem W2k3 Std. Der Server ist Mitgleid in einer Domäne. DC ist ein W2k8 R2 im selben Netz. Extern am ISA hängt noch ein Router. Ich habe im ISA die Firewall erstmal offen dh. alle Protokolle -> Netz intern an Extern accept. Nun zu meinem Problem: Das surfen funktioniert, jedoch ist es egal, ob ich am Client einen Proxy eintrage oder nicht. Ich möchte gern über Client-Webproxy arbeiten. Wie bekomme ich den ISA dazu, dass alle Clients nur über Proxy raus kommen? Der nächste Wunsch ist, das die Server keinen Proxy nutzen sollen. Gibt es dazu von euch ein paar Tipps? Ich wäre euch sehr dankbar. Patrick