ISA: Probleme mit LAT

[roxor 10]

hi leute

 

hab ein kleines problemchen mit meiner LAT.

bei meiner konfiguration benutze ich einen IP range von x.y.z.41 - x.y.z.50!

so...

 

meine externe NIC hat die IP: x.y.z.41

meine interne NIC hat die IP: x.y.z.42

die LAT umfasst alle adressen von: x.y.z.42 - x.y.z.50

 

wenn ich die LAT jedoch manuell erstellen will, schiebt er mir dort falsche einträge rein, wie z.b. "from: x.y.0.0 to x.y.255.255" --> dies ist ziemlich gefährlich bei mir, da diese adressen andersweitig genutzt und produktiv eingesetzt werden, also kann dies bestimmt nicht die lösung sein. ich editiere die lat dann immer von hand, trotzdem hab ich das gefühl, das etwas nicht stimmt.

 

wenn ich "incoming web requests" (properties auf isa-server) einen listener-eintrag adden will, zeigt er mir beim interface leider nur das interne interface an, das externe erscheint gar nicht auf der liste!=(

 

hat da jemand ne ahnung, was ich falsch mache oder was ich ändern muss?

 

mfg

rox

[roxor 10]

hi

 

nochmals ich....ich stress jetzt ein bisschen rum! =))

 

wenn ich die clients "hinter" die firewall stellen will, wie mache ich das?

einfach die tcp/ip einstellungen ändern oder was?

selbst wenn sie physikalisch nicht am selben switch sind?

muss der default gateway danach auf die interne nic der FW zeigen?? weiss die FW automatisch, dass sie diese anfrage an die externe nic weiterleiten muss?

 

wäre für hilfe echt dankbar!

 

mfg

rox

[grizzly999 11]

meine externe NIC hat die IP: x.y.z.41

meine interne NIC hat die IP: x.y.z.42

 

bei meiner konfiguration benutze ich einen IP range von x.y.z.41 - x.y.z.50!

Mit welcher Subnetmask machst du die zwei (oder mehr?) Netze bzw das interne Netz?

 

grizzly999

[roxor 10]

hi grizzly

 

thx für die antworten! =)

 

alle haben subnetzmaske 255.255.255.0, von dem her sollte dies kein prob sein...

 

nun...dies ist momentan aber gar nicht mehr mein problem!

hab mal ein tutorial durchgearbeitet (http://isaserver.org/tutorials/pubowa2003toc.html), mit welchem ich per ssl auf OWA zugreifen soll.

 

wenn ich nun das OWA testen will, erhalte ich die aufforderung, das zertifikat anzunehmen, anschliessend erscheint aber Page under construction bla bla bla

 

hmm...an was könnte das nun liegen? falsche SSL konfiguration, zertifikatsfehler irgendwo?

 

mfg

rox

[grizzly999 11]

Vermutlich falsche Webveröffentlichungsregel. Anforderung umgeleitet auf die Standardwebsite auf dem Exchange, und nicht auf die Exchange Site ?! Nur eine Vermutung. Bei mir ging's problemlos.

 

 

grizzly999

[roxor 10]

was meinst du mit "Anforderung umgeleitet auf die Standardwebsite auf dem Exchange, und nicht auf die Exchange Site" ?

 

meinst du bei der webveröffentlichungsregel unter "action", dass ich dort etwas falsch eingegeben hätte?

nun, meine eingabe dort ist der FQDN der externen netzwerkschnittstelle (derselbe FQDN, welcher ich im common name verwendet habe), wie im tut (http://isaserver.org/articles/pubowa2003part5.html) beschrieben.

 

wenn ich anschliessend im IE "https://owa.meineDomain.ext/exchange/" eingebe, kann er mir die site ned anzeigen.

hab im dns einen eintrag auf das externe interface der FW gelegt, owa.meineDomain.ext wäre das.

da ich aus testzwecken nicht "von aussen" komme, sondern einfach die LAT so gemacht hab, das ein teil des netzes als "intern" gilt, musste ich noch einen eintrag im hosts file des ISA machen:

Adresse des Exchange(liegt innerhalb LAT) owa.meineDomain.ext

 

hmm...weiss echt ned, was ich falsch machen könnte??

habt ihr ne ahnung, woran es liegen könnte?

 

mfg

rox

[solinske 10]

kann an dem zugriff von "innen" liegen, denn wenn du einen server veröffentlichst soltest du auch von"aussen" auf das owa zugreifen. die lat ist da sehr empfindlich.

[grizzly999 11]

da ich aus testzwecken nicht "von aussen" komme, sondern einfach die LAT so gemacht hab, das ein teil des netzes als "intern" gilt,

So wie ganz oben von dir beschrieben? Das wäre schon mal der erste Fehler, deshalb fragte ich in meiner ersten Antwort nach.

Es gehört mehr dazu, als nur eine IP-Adresse in die LAT einzutragen, und die andere nicht. Der ISA ist eine Firewall, eine Firewall ist ein Router, und der zeichnet sich quer durch alle Systeme dadurch aus, dass er zwei IP-Entze voneineander trennt. Das ist bei dir nicht der Fall.

 

Hast du zum Einrichten des OWA den Wizard vom FP1 benutzt?

 

grizzly999

[roxor 10]

daran hab ich eben auch schon gedacht, nur meinte mein vorgesetzter und betreuer, dass dies keine probleme geben sollte, also testete ich es mal auf diese weise.

 

dann meinst du also, dass es an den IP konfigurationen liegen könnte?

ich würde demnach folgendes probieren (als beispiel):

Externe IP: x.y.20.40 255.255.255.0

Interne IP: x.y.21.40 255.255.255.0

 

dann im dns den eintrag owa.meineDomain.ext auf die externe IP anpassen.

könnte es so funzen?

 

nein, ich hab das wizard nicht benutzt, habs "von hand" gemacht.

würdest du mir die benützung empfehlen?

 

thx

[grizzly999 11]

Nun, da kann man nicht viel falsch machen. Hier ist alles genau erklärt: http://www.msisafaq.de/Anleitungen/Server/index.htm

 

daran hab ich eben auch schon gedacht, nur meinte mein vorgesetzter und betreuer, dass dies keine probleme geben sollte, also testete ich es mal auf diese weise.

Stellt sich mir die Frage nach der Qualifikation deines Betreuers/Vorgesetzten, zumindest im Bereich Firewall/Routing/ISA :rolleyes:

 

Nimm zwei verschiedene Netze, innen und außen. ;)

 

grizzly999

[roxor 10]

ups, hehe

hast grad nen momentchen früher geschrieben, siehe oben! hab noch was angefügt...

 

thx für den link, jetzt is alles klar!

Zum besseren und klareren Verständnis hier zuerst kurz die Konfigurationsdaten des für dieses Beispiel verwendeten Netzwerkes:

 

ISA Server:

externe IP-Adresse: 192.168.69.99

default Gateway: 192.168.69.1

interne IP-Adresse: 192.168.133.1

DNS-Eintrag mail.msisafaq.de zeigt auf 192.168.69.99

Exchange Server:

interne IP-Adresse: 192.168.133.2

default Gateway: 192.168.133.1

[grizzly999 11]

Ja, so sieht das schon besser aus mit den IP-Adressen als am Anfang. Das interne Defaultgateway muss weg ;) nur die externe NIC bekommt ein DG

 

grizzly999

[roxor 10]

okay, dann werd ichs so mal ausprobieren, danke, hast mir sehr geholfen.

 

jo, das mit dem default gateway war mir bekannt!

(ich glaube du hast übersehen, dass der DG des exchange servers beim zitat oben gemeint war ;))

 

cu

[grizzly999 11]

:o

[roxor 10]

hi grizzly

 

habs jetzt mal umkonfiguriert, doch leider scheints noch immer ned zu funzen, weiss langsam ned mehr, was ich noch alles falsch machen könnte! =((

 

sieht nun folgendermassen aus:

 

External Interface: x.y.186.41

Default Gateway: x.y.186.1

 

Internal Interface: x.y.185.42

kein DG

 

LAT: x.y.185.42 - x.y.185.49

 

Hosts-file Eintrag auf dem ISA:

x.y.185.43 owa.meineDomain.ext (x.y.185.43 entsprich dem Exchange, auf welchem OWA läuft!)

 

Action in Web Pub Rule:

Redirect to owa.meineDomain.ext

 

Destination Set:

owa.meineDomain.ext /exchange*

owa.meineDomain.ext /exchweb*

owa.meineDomain.ext /public*

 

Das Zertifikat vom Exchange hab ich ebenfalls auf den ISA importiert und diese erscheinen auch an den richtigen Orten (Personal und Trustet Root Certification Authority)!

 

Getestet hab ich das ganze mit https://x.y.186.41/exchange (der DNS Eintrag wurde vom Admin noch nicht geändert!), jedoch erscheint mir genau dasselbe leere Bild wie vorhin, nicht mal die Aufforderung zum Annehmen des Zertifikats erscheint!

 

Kann es damit zu tun haben, dass ich das externe IF nicht pingen kann? Wie du mal früher geschrieben hast, ist dies standardmässig unterbunden, sollte jedoch an einer SSL anfrage nichts änder richtig?

 

Danke für die Mühe!

 

cu

rox