Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
Alsion

DirectAccess - Beide NICs in DMZ - Welche Ports öffnen?

Empfohlene Beiträge

Hallo zusammen,

 

ich bin ins kalte Wasser geworfen worden und darf mich mit DirectAccess auf Server 2016 befassen.

Meine Installation funktioniert soweit auch. Aktuell habe ich eine NIC in der public DMZ hinter einem NAT-Device (Port-Weiterleitung 443) und eine NIC im internen Netz.

 

Letzteres soll nun geändert werden und die zweite NIC für mehr Sicherheit und Kontrolle in die private DMZ. Der Server stünde damit dann zwischen zwei Firewalls. Einmal der, die externen Verkehr regelt, einmal der Internen, die die private DMZ vom internen Netz trennt.

 

Nun stellt sich für mich die Frage: Bevor ich meinen Firewall-Kollegen ins Boot hole würde ich gerne wissen, welche Ports auf jeden Fall ins interne Netz geöffnet werden müssen. Sind das nur bestimmte und dadurch wird alles getunnelt? Wenn ja, welche?

Oder brauche ich für jede Anwendung im internen Netz ein eigenes Löchlein in der Firewall zum internen Netz? (RDP, Sharepoint, IIS, SQL, File Services, Print, SAP etc. pp.).

 

Kann mir hier jemand mit Erfahrungswerten weiterhelfen?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi,

 

AFAIK gilt da https://technet.microsoft.com/en-gb/library/jj574101.aspx

When using additional firewalls, apply the following internal network firewall exceptions for Remote Access traffic:

  • ISATAP—Protocol 41 inbound and outbound

  • TCP/UDP for all IPv4/IPv6 traffic

 

Ansonsten eben für alle benötigten Ressourcen / Applikationen die entsprechenden Regeln ;)

 

Gruß

Jan

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

 

Ansonsten eben für alle benötigten Ressourcen / Applikationen die entsprechenden Regeln ;)

 

Danke für Deine Antwort! Was in unserem Fall dann wahrscheinlich bedeuten würde die interne FW ordentlich zu durchlöchern...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

ist ja irgendwie auch logisch, dass auf der anderen Seite des VPN Tunnels eben alle Protokolle irgendwann "raus müssen", die auf der Startseite in den Tunnel reinkippe oder? ;)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Das Anbinden eines Gerätes in mehrere Netzwerkbereiche ist nur für Virtualisierungshosts erlaubt. Das was du machst und weiter vorhast ist ein nogo. Da kann man die Firewall auch gleich weg lassen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Das Anbinden eines Gerätes in mehrere Netzwerkbereiche ist nur für Virtualisierungshosts erlaubt. Das was du machst und weiter vorhast ist ein nogo. Da kann man die Firewall auch gleich weg lassen.

Vielleicht verstehe ich Deinen Einwand falsch, aber genau das macht MS mit DirectAccess doch sowieso. Normalerweise halt mit einer Karte in der DMZ mit der anderen im internen Netz. Ich versuche die zweite Karte auch in der DMZ (wenn auch in einem eigenen Bereich) zu lassen. In beiden Fällen sind das aber zwei Netzbereiche. In meinem Fall versuche ich ja gerade die zweite Firewall einzubeziehen. Deshalb die Frage.

In der von MS favorisierten Variante würde ich in der Tat die zweite Firewall umgehen.

 

Sollte meine angedachte Lösung funktionieren, hätte ich zwei Firewalls! Internet/Client => FW => public DMZ => DA Server => private DMZ => FW => internes Netz.

bearbeitet von Alsion

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Und wie kommst du von privater Dmz ins LAN? Das ist bei von Zugängen irgendwie hinderlich, oder verstehe ich da was falsch?

Da gibt es (wenn ich meinen FW-Kollegen richtig verstanden habe!) statische Routen auf dem Gateway der an der 2 NIC des DA-Servers eingetragen ist. Durch die FW durch sofern die Ports offen sind. Ich will jetzt eben testen welche Ports da geöffnet werden müssten.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Na alle die du brauchst im allgemeinen steuert man sowas am vpn Gateway aber direct access wird so nicht funktionieren.

Das befürchte ich auch ;-) Aber wenn "ein paar Etagen höher" möchten dass das getestet wird...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Vielleicht verstehe ich Deinen Einwand falsch, aber genau das macht MS mit DirectAccess doch sowieso. Normalerweise halt mit einer Karte in der DMZ mit der anderen im internen Netz.

Das wäre für mich ein klarer Grund das Produkt nicht einzusetzen.

Ich stell mit doch nicht eine sündhaft teure Firewall hin um unter anderem die internen Netze vor den anderen Netzen zu schützen, und nehme dann einen Server und hänge den in mehrere Netze.

Traffic der an der Firewall vorbei Netzwerkübergreifend läuft ist ein Nogo. Da kann man sich die Netztrennung gleich sparen.

Egal ob Microsoft das toll findet oder nicht.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Traffic der an der Firewall vorbei Netzwerkübergreifend läuft ist ein Nogo. Da kann man sich die Netztrennung gleich sparen.

 

Deshalb ja die Idee, die zweite NIC auch vor einer Firewall zu haben. Wie im Eingangsposting bereits geschrieben.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Das wäre für mich ein klarer Grund das Produkt nicht einzusetzen.

Ich stell mit doch nicht eine sündhaft teure Firewall hin um unter anderem die internen Netze vor den anderen Netzen zu schützen, und nehme dann einen Server und hänge den in mehrere Netze.

Traffic der an der Firewall vorbei Netzwerkübergreifend läuft ist ein Nogo. Da kann man sich die Netztrennung gleich sparen.

Egal ob Microsoft das toll findet oder nicht.

Was hat denn MS in dem Fall damit zu tun? Die Empfehlung ist afair immer noch Simple NAT auf den DA Server. Der steht dann natürlich im LAN.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich hab keine Ahnung was MS da sagt, ich nutze dieses Produkt nicht. Weiter oben stand aber:

 

Normalerweise halt mit einer Karte in der DMZ mit der anderen im internen Netz.

Und das ist das Nogo...

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×