fazez 10 Geschrieben 21. Januar 2011 Melden Geschrieben 21. Januar 2011 Hallo zusammen, habe einen TMG aufgesetzt der als Proxy fungiert. Funktioniert soweit wunderbar wenn man sich im gleichen Netz wie die Interne NIC vom TMG befindet. Wenn man von einem anderem Netz den TMG als Proxy verwenden will verwirft TMG das Paket mit diesem Hinweis: Ein Paket wurde verworfen, weil von Forefront TMG ermittelt wurde, dass die Quell-IP-Adresse gespooft ist. Was muss ich machen, dass der TMG diese Pakete nicht verwirft? Habe einen Router vor dem TMG stehen. TMG NIC intern: IP, Subnetmask, DNS TMG extern: IP, Subnetmask, GW. wär super wenn mich jemand von meiner Unwissenheit befreien könnte :) Danke, MfG Fazez
NorbertFe 2.283 Geschrieben 21. Januar 2011 Melden Geschrieben 21. Januar 2011 Das andere Netz dem Internen Bereich zuordnen. Such mal nach "Net behind Net" und "ISA". Da solltest du Hinweise finden. Bye Norbert
fazez 10 Geschrieben 21. Januar 2011 Autor Melden Geschrieben 21. Januar 2011 Habe bereits versucht der Webzugriffsregel den anderen Adressbereich zuzuordnen. Ändert sich leider nichts. Unter dem Status dass eine gespoofte Quell-Adresse erkannt wurde steht noch. "Regel: keine - siehe Ergebniscode" Wenn ich bei dieser Einstellung den TMGbpa laufen lasse bekomme ich eine Warnung, dass der internen NIC ein Adressbereich zugeordnet ist, der von dieser Nic nicht erreicht werden kann. brauch ich nen Route eintrag? MfG Fazez
NorbertFe 2.283 Geschrieben 21. Januar 2011 Melden Geschrieben 21. Januar 2011 Wie gesagt, das Problem ist, dass "Net behind Net" Szenario. Besteht seit ISA 2004, da damit erstmal auch das interne Interface stateful inspection besaß. Network Behind A Network (2004) - v1.1 einfachste Lösung: TMG nicht als Default Gateway im LAN benutzen, sondern dem Default LAN dann die Default Route zum TMG konfigurieren. Bye Norbert
fazez 10 Geschrieben 21. Januar 2011 Autor Melden Geschrieben 21. Januar 2011 Perfekt, jetzt läufts! Danke.
NorbertFe 2.283 Geschrieben 21. Januar 2011 Melden Geschrieben 21. Januar 2011 Was genau hast du konfiguriert? Vielleicht noch interessant für alle Mitlesenden. Bye Norbert
fazez 10 Geschrieben 21. Januar 2011 Autor Melden Geschrieben 21. Januar 2011 Nachdem der Zugriff aus dem anderen Netz bei mir nur vorübergehend ist, hab ich es mir einfach gemacht: Das ist von hier: Before creating networks Every time a network adapter receives a packet, Forefront TMG checks whether the packet's source IP address is a valid address for the specific network adapter that received it. If the address is not considered valid, Forefront TMG alerts that an IP spoofing attack has occurred. An IP address is considered valid for a specific network adapter if both of the following conditions are true: The IP address resides in the network of the adapter through which it was received. The routing table indicates that traffic destined to that address may be routed through the adapter belonging to that network. A packet is considered spoofed (and therefore dropped) if one of the following is true: The packet contains a source IP address that (according to the routing table) is not reachable through a network adapter associated with the network. The packet contains a source IP address that does not belong to the address range of a network associated with the adapter. Damit die zwei Kriterien erfüllt sind, ein Paket nicht als Spoofing einzustufen, hab ich lediglich dem internen NIC eine zweite IP im entsprechenden Netz gegeben. Wenn dann später das andere Netz abgeschalten wird, muss ich nur an der NIC die zweite Adresse rauswerfen und muss in der Konfig vom TMG nichts weiter ändern. MfG Fazez
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden