ISA 2006 port forwarding

[Parkesel 10]

Hallo Leute

 

 

Habe gestern einenIsa Server 2006 installiert .

 

Der Server hat 2 Nic

 

Eine Nic ist mit meinen pc verbunden die andere mit einen Server 2003 auf der ich test weise den Telnet Diest gestartet habe.

 

mein pc

192.168.0.20

gw 192.168.0.200

 

nic1 isa 192.168.0.50

gw 192.168.0.200

 

nic2 isa 10.10.10.10

kein gw

 

Server mit Telnet Dienst

ip 10.10.10.1

gw 10.10.10.10

 

ich wollte nun eine Server veroefentlichung machen (non webserver rule)

diese habe ich auf nic1 isa gebunden.

Doch irgendwie horcht da nix??

netstat -ano muesste doch port 23 anzeigen oder?

habe auch eine Route zwischen den 2 nics gemacht und einen firewal regel fuer Port 23, doch das port forwarding klappt nicht.

Hat jemand einen Tip fuer mich?

 

Vielen dank Leute

[Christoph35 10]

Also das 10er Netz ist für den ISA quasi das Interne Netz?

 

habe auch eine Route zwischen den 2 nics gemacht

 

Wozu`?

Und wie hast Du die Network Relationship zwischen internem und externem Netz definiert? Routing oder NAT?

 

Welche Zieladresse gibst Du an, wenn Du dich mit dem Telnet-Server verbinden willst?

 

Christoph

[Parkesel 10]

Hallo Leut

 

mein pc:

 

192.168.0.20

gw 192.168.0.200

|

isa externe schnittstelle

ip 192.168.0.30

gw 192.168.0.200

|

isa dmz schnittstelle

20.20.20.20

kein gw

 

Telnet server der mit schnittstelle 20.20.20.20 verbunden ist

ip 20.20.20.1

gw 20.20.20.20

 

von extern zu dmz habe ich route eingestellt.

 

Von meinen Client aus greife ich auf

telnet 192.168.0.30 zu

 

 

Vielen dank

[Christoph35 10]

Tja, meine Fragen beantwortet das aber nur teilweise ... :rolleyes:

 

Christoph

[Parkesel 10]

Hallo Christoph

 

Was brauchst du noch für infos?

 

Habe folgende konfiguration:

 

 

nun möchte ich das ein listener auf 192.168.0.251 horcht.

Mit einen webseite veröffentlichung geht mir zwar das Citrix Access Gateway login auf doch sobald ich eine App starte kommt eine fehlermeldung zwecks ssl 4 1494 Port.

 

Im inet habe ich nun gelesen das ich eine nicht server veröffentlichung machen muss und 443 bzw 1494 (ica) zum Cag biegen soll.

 

nun habe ich das gemacht nicht Webserver Veröffentlichung ip Adresse des CAG und port 443.

 

Doch nun öffnet sich die Seite nicht mehr wenn ich auf https://192.168.0.251 gehe.

 

Sag mir bitte wie ich den Isa konfigurieren muss damit eine nicht Webserver veröffentlichung funktioniert.

 

Danke dir.

[Christoph35 10]

Beantworte mir doch bitte noch die Frage nach den Netzwerkregeln und -definitionen.

 

Es ist nämlich für das Publishing ein Unterschied, ob da eine Routing- oder eine NAT-Regel konfiguriert ist.

 

siehe z.B. hier:

https://blogs.technet.com/isablog/archive/2008/06/24/server-publishing-with-isa-server-2004-2006-and-route-relationship-between-networks.aspx

oder hier:

http://blogs.isaserver.org/shinder/2008/05/14/server-publishing-rules-and-route-network-rules-for-isa-and-the-forefront-tmg/

 

Christoph

[Parkesel 10]

Hallo Christoph

 

Danke fuer deine Hilfe

Werde nun nochmal testen.

habe kurz ein Auge auf die Anleitung gemacht.

Laut anleitung mus ich ein NAT Netzwerk Regel von 192.168.0.251 schnittstelle

zu 10.10.10.10 Schnittstelle machen.

Wird schon schief gehen.

 

Wuerdest du den ISA anders plazieren?

 

Oder passt das so Wan Lan Dmz ?

Was sagst du?

 

Vielen dank nochmal

[Christoph35 10]

Nun ja, eine Konfig mit einem ISA mit NICs in allen 3 Netzen ist eine Möglichkeit; die andere wäre, mit 2 FWs (1x Internet<->DMZ, 1x DMZ<->LAN) zu arbeiten, ist aber von der Konfiguration her wahrscheinlich aufwändiger und nur bei korrekter Konfig. auch sicherer.

 

Vorausgesetzt, die Netzwerke und Netzwerk-Regeln sind sauber konfiguriert, kann das aber auch mit der dargestellten Konfig. funktionieren.

 

Christoph

[Parkesel 10]

Danke dir

 

Ich werde nun meinen test durch führen.

 

Ich bekam auch in der ereignissanzeige den Eintrag er kann keinen Listener erstellen wars***einlich weil die NAT Regel fehlte.

 

ich starte nun meine VM s danke ;)

[Christoph35 10]

Der ISA hat doch Templates, unter anderem auch eins für Deine Konfig mit 3 NICs auf dem ISA.

 

Da werden alle notwendigen Netze und Netzwerkregeln erstellt, aber es könnte sein, dass dieser Wizard eine Routing-Regel statt einer NAT-Regel für DMZ<->Internet oder DMZ<->LAN erstellt. Das kann man dann ja ändern.

 

Christoph

[Parkesel 10]

Hallo Christoph

 

Mir gefällt der Isa ja recht gut deshalb werde ich nicht aufgeben doch so einen listener erstellen??

 

Schrecklich.

 

Habe die 3er konfig genommen Nat von extern nach dmz es wird kein listener erzeugt kommt eine fehlermeldung in der ereignissanzeige :

The server publishing rule telnet failed because there was no valid network listener. For requests to reach the published server there must be a network relationship between the selected listener networks and the published server. Error location: 325.957.5.0.5720.100.

 

Habe schliesslich ein Neues Netz erzeugt Name: WAN und dort die externe Schnittstelle eingegeben.

Wieder eine Nat Regel von Wan to DMZ ich bekomme wieder die selbe Meldung.

Laut deinen schönen link sollte das auf anhieb klappen, doch bei mir horcht auf netstat -an nichts auf port 23??

 

Für jegliche Tips bin ich sehr dankbar.

 

Schönen Tag noch.

[Christoph35 10]

Check noch mal deine Netzwerke und deine Netzwerkregeln.

 

Kannst Du die hier bitte mal posten?

 

Einen Listener, wie bei einer Web-Publishing-Rule gibt es bei einer Non-Web-Server-Publishing-Rule auch gar nicht.

 

Dass auf dem ISA bei der Ausgabe von netstat -an der Port 23 nicht auftaucht, ist auch normal. Wenn alles korrekt eingerichtet ist, müsstest Du aber auf deinem Telnet-server eine entsprechende Ausgabe finden (mit netstat -an | findstr ":23" nachzuprüfen).

 

Christoph

[Parkesel 10]

Hallo Christoph

 

Vielen dank für deine Geduld

 

Ach so dachte immer ich seh auf den isa einen horchenden Port ;)

 

nun habe ich die Nat Regel so eingetellt :

 

 

 

 

 

ich bekam dann unter der Ereignisanzeige Anwendung Microsoft Firewall:

 

A problem preventing application of the server publishing rule telnet that maps 10.10.10.27:23:TCP to 192.168.0.251:23 for the protocol Telnet Server was resolved. This rule was previously ignored.

 

Doch wenn ich versuche auf telnet 192.168.0.251 von meinen Client aus zu zu greifen blockiert die Firewall Regel den Trafic.

Obwohl irgendwie passt es den man sieht source 192.168.0.206 (mein client) destination 10.10.10.27 (telnet Server).

 

Am Telnet Server sehe ich nur

C:\Documents and Settings\Administrator>netstat -an | findstr ":23"

TCP 0.0.0.0:23 0.0.0.0:0 LISTENING

 

Vielen dank für deine Hilfe

[Christoph35 10]

Ich sehe nicht, dass das blockiert wird, im Gegenteil. Zunächst mal wird die Verbindung akzeptiert.

 

Im log sieht man folgende Zeile:

192.168.0.206  10.10.10.27  23  Telnet Server Initiated telnet Success ...

 

Aber dann:

192.168.0.206  10.10.10.27  23  Telnet Server Denied  0xc0040017 fwx_e_tcp_not_syn_packet

 

Den Fehler musst Du beheben.

 

Vielleicht hilft Dir dieser Thread aus dem isaserver.org Forum weiter.

http://forums.isaserver.org/0xc0040017_FWX_E_TCP_NOT_SYN_PACKET_DROPPED/m_240015700/tm.htm

 

Christoph

[Parkesel 10]

Hallo

 

Danke für deine schnelle Hilfe

 

 

Also Listener mässig passt es oder?

netzwerkregel mässig auch, habe noch ein firewall Problem oder?

 

Vielen dank Christoph ;)