Jump to content

ISA und Routing innerhalb des LANs

leg

Von leg
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

leg Community Regular

leg   10

Geschrieben
Geschrieben

Hallo zusammen,

 

ich habe da ein kleines Problem mit einem ISA Server, der nicht so routet wie ich das möchte.

 

Folgendes Szenario:

- Standort A mit 192.168.5.0 hat einen ISA 2004 (192.168.5.2) als Gateway an einem SDSL Anschluss

- Zusätzlich gibt es seit neuestem an Standort A eine Fortigate 60B (192.168.5.235) an einem ADSL Anschluss, die ein VPN zu Standort B mit dem Subnetz 192.168.100.0 unterhält (Fortigate zu Fortigate VPN)

 

Umgesetzte Einstellungen:

- statische Route auf dem ISA zu Standort B über 192.168.5.235

- 192.168.100.0 den Internen Netzen ("Intern") im ISA hinzugefügt

 

Aus Standort B kann ich astrein mit dem ISA Server kommunizieren.

Wenn ich allerdings mit einem anderen Server an Standort A kommunizieren möchte funktioniert dies nicht, Grund ist auch soweit klar:

Der ISA Server sieht nur eine Richtung der Kommunikation, daher gibt er die Pakete nicht weiter:

 

Standort B -> Fortigate -> Zielserver

Zielserver -> ISA -> Fortigate -> Standort B (Hier ist schluss beim ISA...)

 

Hat jemand eine Idee wie ich dem ISA beibringen kann jegliche Pakete zu routen?

 

Vielen Dank

Stephan

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Das funktioniert so nicht.

Der ISA sollte den internen Rechnern ein ICMP-Redirect schicken, wenn diese ein Netz über ein anderes GW im selben Netz schicken sollen (welches der ISA natürlich per Routingtable kennt).

Aber ICMP-Redirect Pakete werden auf dem ISA geblockt, auch solche von ihm ausgehende Pakete. Erstelle mal eine FW-Rule für ICMP-Redirect Pakete von LokalHost nach Intern.

 

Dann sollte es eigentlich gehen.

 

 

grizzly999

Link zu diesem Kommentar
leg Community Regular

leg   10

Geschrieben
  • Autor
Geschrieben

Danke dir für die Antwort.

 

Solche Regeln existieren schon, allerdings für "Gesamten ausgehenden Traffic".

Denkbar das ICMP Redirect nicht enthalten ist, da es nicht vordefiniert ist habe ich dann gesucht wie man das aktiviert.

Dabei bin ich dann auf verschiedene Artikel und Foreneinträge gestoßen, letztendlich diesen Artikel:

ISA Server 2004 and ISA Server 2006 do not support traffic redirection

 

Ich habs dann nochmal andersrum versucht und lasse jetzt die Fortigate alle Pakete über den ISA Server schicken (Policy Route) - funktioniert einwandfrei.

 

Danke!

stephan

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...