w2k3srv Probleme mit Routing / Anbindung an ISA-proxy

[Foster´s 10]

Hy Leute,

 

brauche unbedingt eure Hilfe. Ich habe unserem windows 2003 DC eine weitere Netzwerkkarte für das (neue, zukünftige) WLAN spendiert. sieht nun so aus :

 

 

folgende Problematik :

 

1.) Wenn ich dem 192er Netz keinen GW zuweise, kann ich sie von den Notebooks nicht ereichen !? - Wieso ist das so ? :rolleyes:

-> eigentlich möchte ich den 192er Clients auch keinen GW zuweisen (Surfen per Proxy)

-> alternativ, also ohne GW, kann ich die Routingtabelle an den Clients anpassen -> dann funktioniert es auch. Kann ich dies (z.Bsp. per Gruppenr.) global "vergeben" ???

 

2.) Kann ich aus dem 172er Netz den ISA Server gar nicht erreichen. Kein Ping, keine Dateifreigabe - egal ob ich an diesem die Routingtabelle anpasse, eine Statische Route im RRAS hinterlege oder sonst irgendwas. Komm an diesen nicht "ran" .. nehme an, er verweigert es.

( das 172er Netz habe ich in der ISA-Verwaltung an die Interne Schnittstelle gebunden!)

 

 

- wer kann mir helfen, das Problem zu lösen ?? Welche Info´s baucht ihr noch ? :p

 

MFG & Vielen Dank schon mal

 

Foster´s

[thorgood 10]

Hi Foster´s,

 

deine Bilder sind nicht zu sehen.

 

thorgood

[Foster´s 10]

Hi Foster´s,

 

deine Bilder sind nicht zu sehen.

 

thorgood

 

Hallo,

 

ich hoffe jetzt !?

 

Gruß

Foster´s

[thorgood 10]

Ohne GW Eintrag ist den Hosts im Netz 192.168.0.0/24 das Netz 172.20.0.0/24 nicht bekannt.

Diese müssten mindestens eine Route für das Netz 172.20.0.0/24 erhalten.

route add 172.20.0.0 mask 255.255.255.0 192.168.0.1

 

Die gilt natürlich auch für den ISA Server.

route add 172.20.0.0 mask 255.255.255.0 192.168.0.1

 

Da du kein Gateway für die Clients im Netz 192.168.0.0 haben möchtest kann der DHCP

Server den o.g. Routingeintrag für dich vornehmen.

Dazu muss in den Bereichsoptionen für den Bereich 192.168.0.0 die DHCP Option 249

(statische Routen ohne Klassen) aktiviert werden und dort Netz, Maske, Gateway angegeben werden.

In deinem Beispiel 172.20.0.0 / 255.255.255.0 / 192.168.0.1

 

thorgood

[scotty23 10]

Hallo Foster´s,

 

soweit ich weiß darf der ISA Server kein RRAS Server sein. Die

Funkionalität die dir RRAS bietet kannst Du auch mit dem ISA Server

abdecken.

 

scotty23

[Foster´s 10]

Hy ihr,

 

Da du kein Gateway für die Clients im Netz 192.168.0.0 haben möchtest kann der DHCP

Server den o.g. Routingeintrag für dich vornehmen.

Dazu muss in den Bereichsoptionen für den Bereich 192.168.0.0 die DHCP Option 249

(statische Routen ohne Klassen) aktiviert werden und dort Netz, Maske, Gateway angegeben werden.

In deinem Beispiel 172.20.0.0 / 255.255.255.0 / 192.168.0.1

 

- ah ja, die alternative hört sich gut an !!!

 

Die gilt natürlich auch für den ISA Server.

route add 172.20.0.0 mask 255.255.255.0 192.168.0.1

 

- leider funktioniert genau dies von diesem nicht, nicht ganz.

 

"ping" vom ISA auf einen der 172er Clients :

 

Ohne Routing Eintrag -> Zieholst nicht erreichbar.

 

Mit Routing Eintrag -> Zeitüberschreitung der Anforderung.

 

scheinbar verweigert der ISA den Zugriff auf diese / von diesen Clients.

 

mhhh...

 

MFG Foster´s

[Foster´s 10]

Hallo Foster´s,

 

soweit ich weiß darf der ISA Server kein RRAS Server sein. Die

Funkionalität die dir RRAS bietet kannst Du auch mit dem ISA Server

abdecken.

 

scotty23

 

 

nur der Dienst "läuft" - er dient u.a. auch zur VPN Einwahl. NAT ist am RRAS deaktiviert, bzw. nicht eingerichtet.

 

Foster´s

[Foster´s 10]

keiner ne Idee ?

 

- wie erlaube ich den Zugriff für die Clients am ISA Server ?

 

wo sind die ISA Profis ? zeigt euch ! ;)

 

Gruß

Foster´s

[thorgood 10]

Kann ein Client aus dem 192.168.0.0 Netz ein Laptop pingen ?

[Foster´s 10]

hy,

 

ja kann es. auch umgekehrt.

 

Gruß

Foster´s

[thorgood 10]

Dann warten wir auf die ISA Profis.

[Foster´s 10]

so,

 

habe jetzt in anlehnung an diesen Artikel ...

 

h++p://www.msisafaq.de/Anleitungen/2004/Konfiguration/Netzwerke.htm

 

.... das Netz umkonfiguriert.

 

 

http://home.arcor.de/fosters85/public/pictures/s1.JPG

 

--------

 

http://home.arcor.de/fosters85/public/pictures/s2.JPG

 

- viel gändert hat sich nicht. :wink2: allerdings habe ich in der LogDatei folgendes gefunden :

 

 

http://home.arcor.de/fosters85/public/pictures/s3.JPG

 

- das Routing schein also zu passen. Aber wieso verweigert der ISA die Verbindung ?

 

Bitte um Hilfe ! wer weiß rat ?

 

Foster´s

[frauke 10]

Hallo Foster's,

leider sieht man in der Protokollierung nicht, welche Regel den Zugriff verweigert. Du kannst Dir alle Felder anzeigen lassen (rechter Mausklick auf die Spaltenüberschrift), das wäre sicherlich hilfreich.

Damit Clients den ISA-Server selber anpingen können, müssen sie in der Gruppe der Remoteverwaltungscomputer sein.

Hast Du die Adresseinträge des internen Netzwerkes selbst vorgenommen oder automatisch eintragen lassen? Die sehen etwas merkwürdig aus, das könnte daran liegen, dass Du auf der 192.168.0.10 Schnittstelle ein Gateway eingetragen hast.

Ist die Kommunikation vom und zum ISA-Server selbst betroffen (sieht in der Protokollierung so aus, als sei das interne Netz das WLAN und das Ziel der Local Host), dann sind nicht die Firewall-, sondern die Systemrichtlinien betroffen.

Viel Glück,

Frauke

[Foster´s 10]

Hallo,

 

leider sieht man in der Protokollierung nicht, welche Regel den Zugriff verweigert. Du kannst Dir alle Felder anzeigen lassen (rechter Mausklick auf die Spaltenüberschrift), das wäre sicherlich hilfreich.

 

habe das geändert. Ich hoffe es hilft !?

 

http://home.arcor.de/fosters85/public/pictures/s5.JPGhttp://home.arcor.de/fosters85/public/pictures/s6.JPG

 

Damit Clients den ISA-Server selber anpingen können, müssen sie in der Gruppe der Remoteverwaltungscomputer sein.

 

Sind sie. Das ganze "WLAN" Netz

 

Hast Du die Adresseinträge des internen Netzwerkes selbst vorgenommen oder automatisch eintragen lassen? Die sehen etwas merkwürdig aus, das könnte daran liegen, dass Du auf der 192.168.0.10 Schnittstelle ein Gateway eingetragen hast.

 

Ja hatte ich (manuell) eingetragen. Habe jetzt auf der Internen Schnittstelle per "Adapter hinzufügen" die Adressen zugewiesen, und für das "Netz" WLAN den folgenden Adressbereich "zugeordnet" :

 

http://home.arcor.de/fosters85/public/pictures/s7.JPG

 

 

 

- wie meinst du das mit dem Gateway ? habe auf der 192.er Karte kein Standard-Gateway eingetragen.

 

hier die Routing Tabelle des ISA Servers :

 

http://home.arcor.de/fosters85/public/pictures/s8.JPG

 

für weitere Vorschläge bin aber immer offen !!!

 

MFG

 

Foster´s

[frauke 10]

Hallo Foster's,

Dein ISA-Server denkt, dass es sich um einen Spoofing-Angriff handelt. Das siehst Du am Ergebniscode "Spoofing package dropped".

Ich schicke Dir mal einen link, wo es auch um spoofing geht. http://groups.google.de/groups?hl=de&lr=&threadm=uV%24aXiT%24EHA.2876%40TK2MSFTNGP12.phx.gbl&rnum=3&prev=/groups%3Fq%3Dspoofing%2B2004%26hl%3Dde%26lr%3D%26group%3Dmicrosoft.public.isaserver%26selm%3DuV%2524aXiT%2524EHA.2876%2540TK2MSFTNGP12.phx.gbl%26rnum%3D3.

 

Hast Du die Erkennung von Eindringversuchen aktiviert? Falls ja, erhältst Du entsprechende Alarme?

Hast Du in den Systemrichtlinien die Ausführung des ping-Befehls und den sonstigen Zugriff auf den ISA-Server erlaubt?

 

Das Surfen von Deinen Laptops aus funktioniert aber, oder? Das wäre ja ein Hinweis, dass die Ursache wirklich in den System- und nicht in den Firewallrichtlinien zu suchen ist.

 

Schade, dass ich Dir nicht den einen Schalter nennen kann. Ich finde Dein Problem aber durchaus spannend.

Viel Glück,

Frauke