Jump to content

w2k3srv Probleme mit Routing / Anbindung an ISA-proxy

Foster´s

Von Foster´s
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Foster´s Proficient

Foster´s   10

Geschrieben
Geschrieben

Hy Leute,

 

brauche unbedingt eure Hilfe. Ich habe unserem windows 2003 DC eine weitere Netzwerkkarte für das (neue, zukünftige) WLAN spendiert. sieht nun so aus :

 

Zeichnung2.jpg

 

folgende Problematik :

 

1.) Wenn ich dem 192er Netz keinen GW zuweise, kann ich sie von den Notebooks nicht ereichen !? - Wieso ist das so ? :rolleyes:

-> eigentlich möchte ich den 192er Clients auch keinen GW zuweisen (Surfen per Proxy)

-> alternativ, also ohne GW, kann ich die Routingtabelle an den Clients anpassen -> dann funktioniert es auch. Kann ich dies (z.Bsp. per Gruppenr.) global "vergeben" ???

 

2.) Kann ich aus dem 172er Netz den ISA Server gar nicht erreichen. Kein Ping, keine Dateifreigabe - egal ob ich an diesem die Routingtabelle anpasse, eine Statische Route im RRAS hinterlege oder sonst irgendwas. Komm an diesen nicht "ran" .. nehme an, er verweigert es.

( das 172er Netz habe ich in der ISA-Verwaltung an die Interne Schnittstelle gebunden!)

 

01.JPG

 

- wer kann mir helfen, das Problem zu lösen ?? Welche Info´s baucht ihr noch ? :p

 

MFG & Vielen Dank schon mal

 

Foster´s

Link zu diesem Kommentar
thorgood Veteran

thorgood   10

Geschrieben
Geschrieben

Ohne GW Eintrag ist den Hosts im Netz 192.168.0.0/24 das Netz 172.20.0.0/24 nicht bekannt.

Diese müssten mindestens eine Route für das Netz 172.20.0.0/24 erhalten.

route add 172.20.0.0 mask 255.255.255.0 192.168.0.1

 

Die gilt natürlich auch für den ISA Server.

route add 172.20.0.0 mask 255.255.255.0 192.168.0.1

 

Da du kein Gateway für die Clients im Netz 192.168.0.0 haben möchtest kann der DHCP

Server den o.g. Routingeintrag für dich vornehmen.

Dazu muss in den Bereichsoptionen für den Bereich 192.168.0.0 die DHCP Option 249

(statische Routen ohne Klassen) aktiviert werden und dort Netz, Maske, Gateway angegeben werden.

In deinem Beispiel 172.20.0.0 / 255.255.255.0 / 192.168.0.1

 

thorgood

Link zu diesem Kommentar
Foster´s Proficient

Foster´s   10

Geschrieben
  • Autor
Geschrieben

Hy ihr,

 

Da du kein Gateway für die Clients im Netz 192.168.0.0 haben möchtest kann der DHCP

Server den o.g. Routingeintrag für dich vornehmen.

Dazu muss in den Bereichsoptionen für den Bereich 192.168.0.0 die DHCP Option 249

(statische Routen ohne Klassen) aktiviert werden und dort Netz, Maske, Gateway angegeben werden.

In deinem Beispiel 172.20.0.0 / 255.255.255.0 / 192.168.0.1

 

- ah ja, die alternative hört sich gut an !!!

 

Die gilt natürlich auch für den ISA Server.

route add 172.20.0.0 mask 255.255.255.0 192.168.0.1

 

- leider funktioniert genau dies von diesem nicht, nicht ganz.

 

"ping" vom ISA auf einen der 172er Clients :

 

Ohne Routing Eintrag -> Zieholst nicht erreichbar.

 

Mit Routing Eintrag -> Zeitüberschreitung der Anforderung.

 

scheinbar verweigert der ISA den Zugriff auf diese / von diesen Clients.

 

mhhh... :confused:

 

MFG Foster´s

Link zu diesem Kommentar
Foster´s Proficient

Foster´s   10

Geschrieben
  • Autor
Geschrieben

so,

 

habe jetzt in anlehnung an diesen Artikel ...

 

h++p://www.msisafaq.de/Anleitungen/2004/Konfiguration/Netzwerke.htm

 

.... das Netz umkonfiguriert.

 

 

http://home.arcor.de/fosters85/public/pictures/s1.JPG

 

--------

 

http://home.arcor.de/fosters85/public/pictures/s2.JPG

 

- viel gändert hat sich nicht. :wink2: allerdings habe ich in der LogDatei folgendes gefunden :

 

 

http://home.arcor.de/fosters85/public/pictures/s3.JPG

 

- das Routing schein also zu passen. Aber wieso verweigert der ISA die Verbindung ?

 

Bitte um Hilfe ! wer weiß rat ?

 

Foster´s

Link zu diesem Kommentar
frauke Rising Star

frauke   10

Geschrieben
Geschrieben

Hallo Foster's,

leider sieht man in der Protokollierung nicht, welche Regel den Zugriff verweigert. Du kannst Dir alle Felder anzeigen lassen (rechter Mausklick auf die Spaltenüberschrift), das wäre sicherlich hilfreich.

Damit Clients den ISA-Server selber anpingen können, müssen sie in der Gruppe der Remoteverwaltungscomputer sein.

Hast Du die Adresseinträge des internen Netzwerkes selbst vorgenommen oder automatisch eintragen lassen? Die sehen etwas merkwürdig aus, das könnte daran liegen, dass Du auf der 192.168.0.10 Schnittstelle ein Gateway eingetragen hast.

Ist die Kommunikation vom und zum ISA-Server selbst betroffen (sieht in der Protokollierung so aus, als sei das interne Netz das WLAN und das Ziel der Local Host), dann sind nicht die Firewall-, sondern die Systemrichtlinien betroffen.

Viel Glück,

Frauke

Link zu diesem Kommentar
Foster´s Proficient

Foster´s   10

Geschrieben
  • Autor
Geschrieben

Hallo,

 

leider sieht man in der Protokollierung nicht, welche Regel den Zugriff verweigert. Du kannst Dir alle Felder anzeigen lassen (rechter Mausklick auf die Spaltenüberschrift), das wäre sicherlich hilfreich.

 

habe das geändert. Ich hoffe es hilft !?

 

http://home.arcor.de/fosters85/public/pictures/s5.JPGhttp://home.arcor.de/fosters85/public/pictures/s6.JPG

 

Damit Clients den ISA-Server selber anpingen können, müssen sie in der Gruppe der Remoteverwaltungscomputer sein.

 

Sind sie. Das ganze "WLAN" Netz

 

Hast Du die Adresseinträge des internen Netzwerkes selbst vorgenommen oder automatisch eintragen lassen? Die sehen etwas merkwürdig aus, das könnte daran liegen, dass Du auf der 192.168.0.10 Schnittstelle ein Gateway eingetragen hast.

 

Ja hatte ich (manuell) eingetragen. Habe jetzt auf der Internen Schnittstelle per "Adapter hinzufügen" die Adressen zugewiesen, und für das "Netz" WLAN den folgenden Adressbereich "zugeordnet" :

 

http://home.arcor.de/fosters85/public/pictures/s7.JPG

 

 

 

- wie meinst du das mit dem Gateway ? habe auf der 192.er Karte kein Standard-Gateway eingetragen.

 

hier die Routing Tabelle des ISA Servers :

 

http://home.arcor.de/fosters85/public/pictures/s8.JPG

 

für weitere Vorschläge bin aber immer offen !!!

 

MFG

 

Foster´s

Link zu diesem Kommentar
frauke Rising Star

frauke   10

Geschrieben
Geschrieben

Hallo Foster's,

Dein ISA-Server denkt, dass es sich um einen Spoofing-Angriff handelt. Das siehst Du am Ergebniscode "Spoofing package dropped".

Ich schicke Dir mal einen link, wo es auch um spoofing geht. http://groups.google.de/groups?hl=de&lr=&threadm=uV%24aXiT%24EHA.2876%40TK2MSFTNGP12.phx.gbl&rnum=3&prev=/groups%3Fq%3Dspoofing%2B2004%26hl%3Dde%26lr%3D%26group%3Dmicrosoft.public.isaserver%26selm%3DuV%2524aXiT%2524EHA.2876%2540TK2MSFTNGP12.phx.gbl%26rnum%3D3.

 

Hast Du die Erkennung von Eindringversuchen aktiviert? Falls ja, erhältst Du entsprechende Alarme?

Hast Du in den Systemrichtlinien die Ausführung des ping-Befehls und den sonstigen Zugriff auf den ISA-Server erlaubt?

 

Das Surfen von Deinen Laptops aus funktioniert aber, oder? Das wäre ja ein Hinweis, dass die Ursache wirklich in den System- und nicht in den Firewallrichtlinien zu suchen ist.

 

Schade, dass ich Dir nicht den einen Schalter nennen kann. Ich finde Dein Problem aber durchaus spannend.

Viel Glück,

Frauke

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...