hirnibus 10 Geschrieben 12. Oktober 2006 Melden Teilen Geschrieben 12. Oktober 2006 Hallo Community ich stehe wiedermal vor einem Problem wo ich kein Ausweg finde! Netzwerk: 2 Netzwerke, 2 Domänen, 2 Firewall, 2 IP-Range. Zyxel Zywall 35---IP-Range 20.20.20.0/24----Web, FTP etc. ----ISA 2004---IP-Range 10.10.10./24----File-Server, Datenbank, clients etc. Die Zywall verbindet ins Internet, der ISA routet die Anfragen der Clients zur Zywall weiter. Soweit so gut. Nun möchte ich aber gewisse Dienste von der Datenbank etc. anfordern folglich muss ich ins andere Netz rein. Ich habe nun bei der zywall eine statische route eingetragen für die server, die die Zywall als Gateway haben. Destination: 10.10.10.31 (fileserver) Mask 255.0.0.0 Gateway 20.20.20.20.33 (ISA). Die entsprechenen Dienste habe ich auf dem ISA auch eingestellt. Nur funktioniert das schienbar nicht wie ich es will! Kein ping nix! Mache ich einen grundlegenden Überlegungsfehler!? Oder habe ich falsch routen eingetragen!? danke und gruss! Zitieren Link zu diesem Kommentar
nightwatcher 10 Geschrieben 13. Oktober 2006 Melden Teilen Geschrieben 13. Oktober 2006 Hallo, also wenn ich das jetzt richtig verstehe hast Du die Route eingetragen, dass die System aus dem 20.20.20.0/24 in das Netz 10.10.10.0/24 kommen. Ist auch die Route für den Weg zurück eingetragen? Ansonste würde ich dich bitten das ganze nocheinmal ein wenig überschaulicher zu beschreiben. Gruß nightwatcher Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 13. Oktober 2006 Melden Teilen Geschrieben 13. Oktober 2006 Hi, Ist auch die Route für den Weg zurück eingetragen?Dessen bedarf es vermutlich nicht, weil der ISA im internen Netz das Defaultgateway sein dürfte. @hirnibus: Wie ist das "Netzwerkverhältnis" am ISA zwischen den beiden Netzen konfiguriert - sprich nattet der ISA? Gruß Steffen Zitieren Link zu diesem Kommentar
hirnibus 10 Geschrieben 13. Oktober 2006 Autor Melden Teilen Geschrieben 13. Oktober 2006 okm mein 2ter versuch:D. Hier noch zum veranschaulichen: http://img101.imageshack.us/img101/3903/drawing1as8.jpg @s.k. ja richtig es ist eine route bereits gesetzt da der ISA vom internen ins externe Netz routet! Und ja er nattet auch! Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 14. Oktober 2006 Melden Teilen Geschrieben 14. Oktober 2006 ...Und ja er nattet auch!Dann kannst Du die Route auf der Zywall wieder löschen.Wenn das Netzwerkverhältnis NAT ist, musst Du mit einer Serververöffentlichungsregel arbeiten. Du sprichst den Datenbankservice dann aus der DMZ heraus mit der DMZ-IP des ISA-Servers an. Dieser setzt dann um in die interne IP-Adresse. Anleitungen, wie man z.B. einen MS-SQL-Server oder einen Oracle-Server veröffentlicht, gibt es hier: Firewallrichtlinien Gruß Steffen Zitieren Link zu diesem Kommentar
hirnibus 10 Geschrieben 15. Oktober 2006 Autor Melden Teilen Geschrieben 15. Oktober 2006 Dann kannst Du die Route auf der Zywall wieder löschen.Wenn das Netzwerkverhältnis NAT ist, musst Du mit einer Serververöffentlichungsregel arbeiten. Du sprichst den Datenbankservice dann aus der DMZ heraus mit der DMZ-IP des ISA-Servers an. Dieser setzt dann um in die interne IP-Adresse. Anleitungen, wie man z.B. einen MS-SQL-Server oder einen Oracle-Server veröffentlicht, gibt es hier: Firewallrichtlinien Gruß Steffen Die entsprechende Firewallrichtlinie habe ich bereits auf dem ISA erstellt! Der ISA nattet aber nicht vom 20er netz ins 10er Netz sondern umgekehrt! Also 10er ins 20er intern nach extern! Ausserdem haben die Server nur den Zywall als Gateway eingetragen daher muss ich ja die route auf der Zywall definieren!?? Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 15. Oktober 2006 Melden Teilen Geschrieben 15. Oktober 2006 Hallo, Die entsprechende Firewallrichtlinie habe ich bereits auf dem ISA erstellt!Bitte genau darlegen, welche Dienste erlaubt sein sollen sowie die Regel und die Protokolldefinition genau beschreiben oder besser: Screenshots verlinken! Der ISA nattet aber nicht vom 20er netz ins 10er Netz sondern umgekehrt! Also 10er ins 20er intern nach extern!Eben! Ich zitiere aus der Onlinehilfe des ISA2004: "Ein Routeverhältnis gibt an, dass keine Adressübersetzung durchgeführt wird. Routingnetzwerke sind bidirektional. Wenn also ein Routeverhältnis von Netzwerk A zu Netzwerk B definiert wurde, existiert ebenfalls ein Routeverhältnis von Netzwerk B zu Netzwerk A. NAT-Verhältnisse sind hingegen eindeutig und unidirektional. Wenn ein NAT-Verhältnis von Netzwerk A zu Netzwerk B definiert wurde, kann kein Netzwerkverhältnis von Netzwerk B zu Netzwerk A definiert werden." Und weiter heisst es: "Wenn keine Beziehung zwischen den Netzwerken konfiguriert ist, wird von ISA Server kein Datenverkehr zwischen den beiden Netzwerken zugelassen." Traffic von Netz B nach Netz A - welcher nicht aus Antwortpaketen auf Anfragen von A nach B besteht (für diese gibt es einen korrepondierenden Eintrag in der NAT-Tabelle) - wird also verworfen. Genau deshalb benötigst Du eine Serververöffentlichungsregel - bei anderen Systemen bekannt als "virtueller Server" oder "Portforwarding". Der ISA gaukelt dann sozusagen nach extern vor, selbst den betreffenden Service anzubieten, nimmt den an ihn gerichteten Traffic an, ersetzt die Ziel-IP durch die eigentliche (interne) Zielserver-IP-Adresse und leitet ihn dann erst weiter. Die IP-Adresse des internen Servers ist nur dem ISA bekannt - nicht dem anfragenden Server in der DMZ. Ausserdem haben die Server nur den Zywall als Gateway eingetragen daher muss ich ja die route auf der Zywall definieren!??Wozu? In dieser Konfig muss der Server in der DMZ doch den ISA (mit seiner DMZ-IP-Adresse) als Ziel ansprechen. Also Kommunikation innerhalb des selben Subnetzes - dafür brauchst Du keine Route! Das Netz hinter dem ISA ist maskiert und für die Server in der DMZ deshalb nicht adressierbar. Du könntest natürlich alternativ das Netzwerkverhältnis zwischen LAN und DMZ auf "Route" umstellen. Wenn möglich, würde ich diesen Weg sogar favorisieren, denn nicht alle Anwendungsprotokolle sind "NAT-friendly". Gruß Steffen Zitieren Link zu diesem Kommentar
hirnibus 10 Geschrieben 20. Oktober 2006 Autor Melden Teilen Geschrieben 20. Oktober 2006 Du könntest natürlich alternativ das Netzwerkverhältnis zwischen LAN und DMZ auf "Route" umstellen. Wenn möglich, würde ich diesen Weg sogar favorisieren, denn nicht alle Anwendungsprotokolle sind "NAT-friendly". Gruß Steffen Ich habe nie von einer DMZ gesprochen! Der ISA besteht lediglich aus: Interne und Extern..also nur 2 Netzwerkkarten. Demmnach kann ich keine Veröffentlichungsregel erstellen! gruss Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 20. Oktober 2006 Melden Teilen Geschrieben 20. Oktober 2006 Ich habe nie von einer DMZ gesprochen! Der ISA besteht lediglich aus: Interne und Extern..also nur 2 Netzwerkkarten. Demmnach kann ich keine Veröffentlichungsregel erstellen!Ist mir klar, dass Du keinen trihomed ISA hast. Mit DMZ meine ich das Netz zwischen der Zywall35 (=Frontendfirewall) und dem ISA-Server (=Backendfirewall) - also das "20er Netz". Im Übrigen ist die Möglichkeit, eine Serververöffentlichungsregel zu erstellen, nicht davon abhängig, ob man eine DMZ-Zone hat. Wenn Dir die Sache so nicht ganz durchsichtig ist, dann stell doch am ISA das Netzwerkverhältnis zwischen "intern" und "extern" auf Routing um. Dann benötigst Du auf der Zywall zusätzlich die Route ins LAN (10.10.10.0/24 GW=20.20.20.33.). Am ISA würde ich einen Adressbereich mit Namen "DMZ" anlegen (20.20.20.1-20.20.20.254), damit man darauf die Firewallregeln LAN->DMZ und DMZ->LAN aufbauen kann. Am Besten Du sicherst die Konfig des ISA und wendest dann mal die Vorlage "Backfirewall" mit dem Standardfirewallrichtliniensatz "Eingeschränkten Webzugriff zulassen, Zugriffe auf Netzwerkdienste im Umkreisnetzwerk zulassen" an . Dann siehst Du, wie man das konfiguriert und kannst die Regeln nach Deinen Erfordernissen anpassen. Nach Anwendung der Vorlage musst Du allerdings noch das Netzwerkverhältnis von "NAT" auf "Route" umstellen sowie den vordefinierten Adresssatz "Umkreisnetzwerk" (=DMZ) und das vordefinierte Hostobjekt "Frontfirewall" (=Zywall35) mit IP-Adressen versehen. Gruß Steffen Zitieren Link zu diesem Kommentar
hirnibus 10 Geschrieben 22. Oktober 2006 Autor Melden Teilen Geschrieben 22. Oktober 2006 ok gut dann werde ich das mal so versuchen!! Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 28. Oktober 2006 Melden Teilen Geschrieben 28. Oktober 2006 ...stell doch am ISA das Netzwerkverhältnis zwischen "intern" und "extern" auf Routing um. Dann benötigst Du auf der Zywall zusätzlich die Route ins LAN (10.10.10.0/24 GW=20.20.20.33.).Was ich vergass: Wenn Du in dieser Konfiguration nur auf der Zywall die Route ins LAN setzt, dann musst Du auf der Zywall noch die Option "Allow Asymmetrical Route" aktivieren. Sonst macht Dir deren SPI-Firewall einen Strich durch die Rechnung, weil sie nur den Traffic DMZ-->LAN - nicht jedoch den Traffic LAN-->DMZ zu sehen bekommt. Ich würde es aber bevorzugen, auf den DMZ-Servern statt dessen eine statische Route ins LAN einzutragen. Gruß Steffen Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.