mixdeby 10 Geschrieben 13. Oktober 2008 Melden Teilen Geschrieben 13. Oktober 2008 Hallo zusammen! Ich habe folgendes Problem: Ich habe einen ISA Server 2004 auf W2k3 (172.18.0.1) installiert. Dieser Server hat 2 NICs. Er routet zwichen internem Netz (172.18.0.0) und dem Internet (über DFÜ). Außerdem stellt er eine Verbindung zu einem Remotestandort her (VPN). Nun möchte ich den Zugang auf den VPN regeln. Das ganze möchte ich mit Firewallregeln realisieren. Dazu habe ich auf einem separaten W2k3 Server (172.18.0.5) installiert. Dort habe ich einen DC inkl AD und IAS installiert. Im ISA Server habe ich dann als RADIUS Server 172.18.0.5 eingetragen. Alles in allem habe ich es so gemacht: RADIUS und ISA 2004 Die Firewallregel habe ich so angepasst, dass alle RADIUS User auf den Tunnel Zugriff haben. Nun wollte ich von einem angeschlossen Client WinXP (172.18.0.21). (Domändenmitglied, als User an Domäne angemeldet) einen Ping auf den VPN Tunnel machen. Ergebnis: Zeitüberschreitung Schaue ich im Protokoll des ISA Servers nach, sehe ich dort, dass die Verbindung verweigert wurde. Als Clientbenutzername steht hier nichts. Das ist das was mich stutzig macht. Ich habe auf dem Client den ISA Firewallclient installiert und den ISA Server hinzugefügt. Eine Verbindung ist DA! Wenn ich den http Verkehr in einer Firewallregel begrenze, muss ich im Browser den ISA Server als Proxy eintragen und dann beim Aufrufen einer Website an der Domäne anmelden. Bei einem reinen Ping springt logischerweise kein Anmeldefenster auf. Kann es sein, dass man nur den Webzugriff (also HTTP) durch Authentifizierung regeln kann? Ich habe aber gelesen, dass man den Zugriff auf alle Protokolle bzw. Verbindungen ( zb. Vpn-tunnel) mit Authentifizierung über den Firewallclient regeln kann. Warum meldet sich der Client nicht ordnungsgemäß am ISA Server an? Denn wenn er das machen würde, müsste er ja aufgrund der Firewallrichtlinie Zugriff auf den Tunnel haben! Gruß und Danke schonmal Daniel Zitieren Link zu diesem Kommentar
NorbertFe 1.812 Geschrieben 13. Oktober 2008 Melden Teilen Geschrieben 13. Oktober 2008 Bei einem reinen Ping springt logischerweise kein Anmeldefenster auf. Kann es sein, dass man nur den Webzugriff (also HTTP) durch Authentifizierung regeln kann? Authentifizierung funktioniert nur für Webprotokolle, oder du mußt auf den Clients dann den ISA Proxy Client installieren. Damit gehen dann auch alle anderen Protokolle zu authentifizieren. Bye Norbert Zitieren Link zu diesem Kommentar
mixdeby 10 Geschrieben 14. Oktober 2008 Autor Melden Teilen Geschrieben 14. Oktober 2008 OK. Das hört sich schonmal gut an! Welchen Client meinst Du genau? Den ISA Firewallclient habe ich ja auf dem XP Client installiert und es funktioniert nicht! Oder gibt es da noch einen anderen Client? Meinst Du den Web-Proxy Client? Wo bekomme ich den? Gruß Daniel Zitieren Link zu diesem Kommentar
NorbertFe 1.812 Geschrieben 15. Oktober 2008 Melden Teilen Geschrieben 15. Oktober 2008 OK. Das hört sich schonmal gut an! Welchen Client meinst Du genau? Den ISA Firewallclient habe ich ja auf dem XP Client installiert und es funktioniert nicht! Oder gibt es da noch einen anderen Client? Meinst Du den Web-Proxy Client? Wo bekomme ich den? Gruß Daniel Nein ich meine den Firewall Client. Eventuell fragst du mal in der deutschen ISA Server Newsgroup. Da treiben sich häufiger Leute rum, die den Client auch einsetzen. Bye Norbert Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 15. Oktober 2008 Melden Teilen Geschrieben 15. Oktober 2008 Wie schon richtig gesagt, der FW-Client liefert für die anderen TCP- und UDP-Protokolle außer HTTP die Benutzerauthentifizierung. Die Schlüsselstelle in meinem Satz liegt hier: .... die anderen TCP- und UDP-Protokolle..... Der FW-Client klinkt sich in den Netzwerkstack auf dem Client ein und fackelt alles, was TCP und UDP ist. Aber: ICMP und VPN-Verkehr, PPTP genauso wie L2TP, und reinrassige IP-Pakete natürlich auch), die sind davon nicht betroffen, denn die haben weder einen TCP- noch einen UDP-Header. Daher gibt es für diese Protokolle keine Benutzerauthentifizierung ;) grizzly999 Zitieren Link zu diesem Kommentar
mixdeby 10 Geschrieben 15. Oktober 2008 Autor Melden Teilen Geschrieben 15. Oktober 2008 Ok, den Firewall Client habe ich ja installiert. Den Ping habe ich nur testweise gemacht. Und da habe ich gemerkt, dass er unauthentifiziert geblockt wird. In der Praxis geht es natürlich nicht um einen Ping sondern um so Sachen wie Netzlaufwerke, Netzwerkdrucker oder Serverbasierte Anwendungen. Kann man das steuern?? (Ich werde es morgen testen!) Jetzt weiß ich nicht genau was Du mit reinrassigen IP-Paketen meinst. Im Grunde haben doch alle Pakete einen IP Header?! BTW: VPN-Verkehr habe ich so gesehen ja nicht, da der Tunnel erst vom ISA Server aufgebaut wird. Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 15. Oktober 2008 Melden Teilen Geschrieben 15. Oktober 2008 Jetzt weiß ich nicht genau was Du mit reinrassigen IP-Paketen meinst. Im Grunde haben doch alle Pakete einen IP Header?! Sorry, ***** ausgedrückt :o Es gibt selten auch Pakete, die nur einen IP-Header haben (und einen Layer2-header), sonst nichts. Zum Beispiel "Fragmentation Needed - DF Flag set" Pakete u.ä., also Steuermeldungen vom IP-Stack selber. In der Praxis geht es natürlich nicht um einen Ping sondern um so Sachen wie Netzlaufwerke, Netzwerkdrucker oder Serverbasierte Anwendungen. Kann man das steuern?? Wie gesagt, alles, was einen TCP- oder UDP Header hat, ausgenommen Pakete des Webproxy Clients und was über die entsprechende .INI-Datei ausgenommen ist, krallt sich der FW-Client und setzt den Benutzerservus drunter. grizzly999 Zitieren Link zu diesem Kommentar
NorbertFe 1.812 Geschrieben 15. Oktober 2008 Melden Teilen Geschrieben 15. Oktober 2008 Wie schon richtig gesagt, der FW-Client liefert für die anderen TCP- und UDP-Protokolle außer HTTP die Benutzerauthentifizierung.Die Schlüsselstelle in meinem Satz liegt hier: .... die anderen TCP- und UDP-Protokolle..... Mift, dass ich das immer vergesse :) Danke für den Hinweis Bye Norbert Zitieren Link zu diesem Kommentar
mixdeby 10 Geschrieben 16. Oktober 2008 Autor Melden Teilen Geschrieben 16. Oktober 2008 Ok, Also ich habe das mal getestet. Habe versucht mich mit einem Netzlaufwerk des anderen Standorts zu verbinden. Ergebnis: Der ISA Server blockt die Verbindung und sie ist nicht authentifiziert! Kann es sein, dass Netzlaufwerke über NETBIOS verbunden werden? Das ließe sich ja dann wohl nicht authentifizieren oder?! Damit wäre nämlich die tolle Radius Zugangssteuerung gestorben und ich müsste auf IP-basierte Firwallregeln umschwenken, was sicherlich nicht gerade die sicherste Variante ist. Oder kann es sein, dass mir irgendetwas in der Konfiguration fehlt. Wie oben erwähnt habe ich mich genau an das HOW TO von msisafaq gehalten. Außerdem passiert eine Authentifizierung per RADIUS wenn ich als Proxy den ISA Server im Browser eintrage und dann eben das Fenster zur Authentifizierung aufspringt. Denn dann sehe ich im Protokoll des ISA Servers, dass die Verbdindung authentifiziert ist. Gruß Daniel Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 16. Oktober 2008 Melden Teilen Geschrieben 16. Oktober 2008 Wie sehen denn die entsprechenden Regeln aus? Nun, du musst ja irgendeine Tunnelregel als Firewallrule haben. Dort kannst du die benutzer/-gruppen eintragen, die berechtigt sein sollen. Du kannst auch mit mehreren unterschiedlichen Tunnelregeln arbeiten. BTW: Mit Radius hat das ga ze nichts zu tun, das ist nur für den Webproxy-Client. Der FW-Client macht eine normale Windows-Authentifizeirung, also Kerberos oder NTLM grizzly999 Zitieren Link zu diesem Kommentar
mixdeby 10 Geschrieben 16. Oktober 2008 Autor Melden Teilen Geschrieben 16. Oktober 2008 Wie sehen denn die entsprechenden Regeln aus?Nun, du musst ja irgendeine Tunnelregel als Firewallrule haben. Ich habe eine Regel hinzugefügt, dass alle Radius User Zugriff auf den Tunnel haben. BTW: Mit Radius hat das ga ze nichts zu tun, das ist nur für den Webproxy-Client. Der FW-Client macht eine normale Windows-Authentifizeirung, also Kerberos oder NTLM ahhhh. Also müsste ich dazu auf dem ISA Server ne AD anlegen? Und dann würde das ganze funktionieren? Ich dachte nämlich ich könnte das ganze über RADIUS steuern. Deshalb habe ich nämlich nen separaten W2K3 mit AD aufgesetzt und den IAS installiert und dem ISA Server dann gesagt, er soll Benutzerauthentifizierung über den IAS machen. Hab mich sowieso gewundert warum das unter Webproxy einzustellen ist. :confused: Update: Ne AD auf dem ISA Server anzulegen geht nciht nachträglich?! Gruß Daniel Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.