Jump to content
Sign in to follow this  
fazez

Forefront TMG Webzugriff für IP Bereich

Recommended Posts

Hallo zusammen,

 

habe einen TMG aufgesetzt der als Proxy fungiert.

 

Funktioniert soweit wunderbar wenn man sich im gleichen Netz wie die Interne NIC vom TMG befindet. Wenn man von einem anderem Netz den TMG als Proxy verwenden will verwirft TMG das Paket mit diesem Hinweis:

 

Ein Paket wurde verworfen, weil von Forefront TMG ermittelt wurde, dass die Quell-IP-Adresse gespooft ist.

 

Was muss ich machen, dass der TMG diese Pakete nicht verwirft?

 

Habe einen Router vor dem TMG stehen.

TMG NIC intern: IP, Subnetmask, DNS

TMG extern: IP, Subnetmask, GW.

 

wär super wenn mich jemand von meiner Unwissenheit befreien könnte :)

Danke,

 

MfG Fazez

Share this post


Link to post

Habe bereits versucht der Webzugriffsregel den anderen Adressbereich zuzuordnen. Ändert sich leider nichts.

 

Unter dem Status dass eine gespoofte Quell-Adresse erkannt wurde steht noch.

"Regel: keine - siehe Ergebniscode"

 

Wenn ich bei dieser Einstellung den TMGbpa laufen lasse bekomme ich eine Warnung, dass der internen NIC ein Adressbereich zugeordnet ist, der von dieser Nic nicht erreicht werden kann.

 

brauch ich nen Route eintrag?

 

MfG Fazez

Share this post


Link to post

Wie gesagt, das Problem ist, dass "Net behind Net" Szenario. Besteht seit ISA 2004, da damit erstmal auch das interne Interface stateful inspection besaß.

Network Behind A Network (2004) - v1.1 einfachste Lösung: TMG nicht als Default Gateway im LAN benutzen, sondern dem Default LAN dann die Default Route zum TMG konfigurieren.

 

Bye

Norbert

Share this post


Link to post

Nachdem der Zugriff aus dem anderen Netz bei mir nur vorübergehend ist, hab ich es mir einfach gemacht:

 

Das ist von hier: Before creating networks

Every time a network adapter receives a packet, Forefront TMG checks whether the packet's source IP address is a valid address for the specific network adapter that received it. If the address is not considered valid, Forefront TMG alerts that an IP spoofing attack has occurred. An IP address is considered valid for a specific network adapter if both of the following conditions are true:

 

The IP address resides in the network of the adapter through which it was received.

 

The routing table indicates that traffic destined to that address may be routed through the adapter belonging to that network.

 

A packet is considered spoofed (and therefore dropped) if one of the following is true:

 

The packet contains a source IP address that (according to the routing table) is not reachable through a network adapter associated with the network.

 

The packet contains a source IP address that does not belong to the address range of a network associated with the adapter.

 

Damit die zwei Kriterien erfüllt sind, ein Paket nicht als Spoofing einzustufen, hab ich lediglich dem internen NIC eine zweite IP im entsprechenden Netz gegeben.

 

Wenn dann später das andere Netz abgeschalten wird, muss ich nur an der NIC die zweite Adresse rauswerfen und muss in der Konfig vom TMG nichts weiter ändern.

 

MfG Fazez

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...