Jump to content

Forefront TMG Webzugriff für IP Bereich


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

habe einen TMG aufgesetzt der als Proxy fungiert.

 

Funktioniert soweit wunderbar wenn man sich im gleichen Netz wie die Interne NIC vom TMG befindet. Wenn man von einem anderem Netz den TMG als Proxy verwenden will verwirft TMG das Paket mit diesem Hinweis:

 

Ein Paket wurde verworfen, weil von Forefront TMG ermittelt wurde, dass die Quell-IP-Adresse gespooft ist.

 

Was muss ich machen, dass der TMG diese Pakete nicht verwirft?

 

Habe einen Router vor dem TMG stehen.

TMG NIC intern: IP, Subnetmask, DNS

TMG extern: IP, Subnetmask, GW.

 

wär super wenn mich jemand von meiner Unwissenheit befreien könnte :)

Danke,

 

MfG Fazez

Link zu diesem Kommentar

Habe bereits versucht der Webzugriffsregel den anderen Adressbereich zuzuordnen. Ändert sich leider nichts.

 

Unter dem Status dass eine gespoofte Quell-Adresse erkannt wurde steht noch.

"Regel: keine - siehe Ergebniscode"

 

Wenn ich bei dieser Einstellung den TMGbpa laufen lasse bekomme ich eine Warnung, dass der internen NIC ein Adressbereich zugeordnet ist, der von dieser Nic nicht erreicht werden kann.

 

brauch ich nen Route eintrag?

 

MfG Fazez

Link zu diesem Kommentar

Wie gesagt, das Problem ist, dass "Net behind Net" Szenario. Besteht seit ISA 2004, da damit erstmal auch das interne Interface stateful inspection besaß.

Network Behind A Network (2004) - v1.1 einfachste Lösung: TMG nicht als Default Gateway im LAN benutzen, sondern dem Default LAN dann die Default Route zum TMG konfigurieren.

 

Bye

Norbert

Link zu diesem Kommentar

Nachdem der Zugriff aus dem anderen Netz bei mir nur vorübergehend ist, hab ich es mir einfach gemacht:

 

Das ist von hier: Before creating networks

Every time a network adapter receives a packet, Forefront TMG checks whether the packet's source IP address is a valid address for the specific network adapter that received it. If the address is not considered valid, Forefront TMG alerts that an IP spoofing attack has occurred. An IP address is considered valid for a specific network adapter if both of the following conditions are true:

 

The IP address resides in the network of the adapter through which it was received.

 

The routing table indicates that traffic destined to that address may be routed through the adapter belonging to that network.

 

A packet is considered spoofed (and therefore dropped) if one of the following is true:

 

The packet contains a source IP address that (according to the routing table) is not reachable through a network adapter associated with the network.

 

The packet contains a source IP address that does not belong to the address range of a network associated with the adapter.

 

Damit die zwei Kriterien erfüllt sind, ein Paket nicht als Spoofing einzustufen, hab ich lediglich dem internen NIC eine zweite IP im entsprechenden Netz gegeben.

 

Wenn dann später das andere Netz abgeschalten wird, muss ich nur an der NIC die zweite Adresse rauswerfen und muss in der Konfig vom TMG nichts weiter ändern.

 

MfG Fazez

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...