Wildi 10 Geschrieben 30. März 2005 Melden Teilen Geschrieben 30. März 2005 Bei ISA 2000 war es in der Tat ein Problem, diesen gleich als Router im DSL über PPPoE zu verwenden. Der Grund lag da an der dynamischen Adressenzuweisung. Das hat ihn gerne mal durcheinander geworfen und nix mehr ging richtig. Dieses Problem ist beim ISA 2004 gelöst, da Du einfach bei den div. Regeln die ext. Karte ansprichst (also nicht mehr direkt die IP). Das kannst Du zwar beim ISA 2004 auch, dann hast Du aber wieder besagte ISA 2000 Probleme. Grundsätzlich würde ich aber diese Lösung alleine aus einem Grund schon nicht machen --> DynDNS!!! Die meisten, kleinen Hardwarerouter (gerade die billigen) besitzen bereits einen fest eingebauten DynDNS Client. Alleine daher würde ich schon eine kleine Hardwarelösung vorschalten. Denn bei nem reinen ISA 2004 musst Du dort nen DynDNS Client installiert haben und dann auch den rechten Port dazu freigeben. Diese Clients betrachte ich immer als nen kleinen Trojaner, weil dieser Client ja ein paar Infos MEINES Systems an den DynDNS Betreiber sendet, nämlich die IP. Ausserdem lässt sich der ISA2004 mit statischer, externer Adresse viel bequemer ansprechen (so meine Meinung) und ich kann der externen Karte auch noch weitere IP's geben, wo ich Test's über das Transfernetz testen kann. Stichwort: Szenarios!!!! Popelrouter mit DynDNS Client, diesen konfigurieren -> DMZ auf die ext. IP des ISA - fertig. Oder noch besser: Nur die Ports am Router forwarden, die ich auch wirklich nur brauche. Das ist nämlich schon Grund Nummer 2. Der gröbste Mist wird dann schon vom Router abgewehrt und nur die richtigen Ports kommen beim ISA an der diese halt dann handlen kann/soll. Somit hast Du schon mal nen gewissen Schutz vor dem ISA aufgebaut Zitieren Link zu diesem Kommentar
PAT 10 Geschrieben 30. März 2005 Autor Melden Teilen Geschrieben 30. März 2005 da Du einfach bei den div. Regeln die ext. Karte ansprichst (also nicht mehr direkt die IP). Kannst Du das mal genauer erklären. Im Grunde hast Du (und die anderen) nicht unrecht. Ein vorgeschalteter Router ist vielleicht schon besser. Aber wie jetzt schon mehrmals geschrieben, würde mein WLAN vor dem ISA sein und außerdem hab ich immer wieder Probleme mit ihm. Das würde bedeuten, ich müsste mir einen 2. Router anschaffen, den ich vorschalten kann und das wollte ich eigentlich vermeiden. Zitieren Link zu diesem Kommentar
Wildi 10 Geschrieben 31. März 2005 Melden Teilen Geschrieben 31. März 2005 Nö, wieso. In Zeiten, wo sowieso keiner mehr dem WEP des WLAN traut, ist die Konstellation ja sogar besser. Du nimmst den Router mit WLAN und verwendest ihn als DSL Router. Die DMZ machst Du zur ext. IP des ISA und erzeugst dort gleich ein VPN. Der WLAN Teil steht ja dann auf der Transfernetzseite. Also dort hast Du deine(n) WLAN Client(s) auch stehen mit WEP und allem drum und dran. Und wenn Du nun auf dein normales Netz zugreifen willst, kannst Du das dann per VPN machen. Somit hast Du sogar zwei Fliegen mit einer Klappe geschlagen ;) Wie man die externe Karte des ISA anspricht: Wenn Du ne Regel erstellst musst Du doch Quelle und Ziel angeben. Sagst Du nun z.B. Quelle ist INTERN und LOKALER HOST und Ziel ist EXTERN, dann bezieht sich das Ziel auf die externe Karte, egal welche IP's auf dieser gebunden sind Zitieren Link zu diesem Kommentar
PAT 10 Geschrieben 31. März 2005 Autor Melden Teilen Geschrieben 31. März 2005 Nö, wieso. In Zeiten, wo sowieso keiner mehr dem WEP des WLAN traut, ist die Konstellation ja sogar besser. Du nimmst den Router mit WLAN und verwendest ihn als DSL Router. Die DMZ machst Du zur ext. IP des ISA und erzeugst dort gleich ein VPN. Der WLAN Teil steht ja dann auf der Transfernetzseite. Also dort hast Du deine(n) WLAN Client(s) auch stehen mit WEP und allem drum und dran. Und wenn Du nun auf dein normales Netz zugreifen willst, kannst Du das dann per VPN machen. Somit hast Du sogar zwei Fliegen mit einer Klappe geschlagen ;) Wie man die externe Karte des ISA anspricht: Wenn Du ne Regel erstellst musst Du doch Quelle und Ziel angeben. Sagst Du nun z.B. Quelle ist INTERN und LOKALER HOST und Ziel ist EXTERN, dann bezieht sich das Ziel auf die externe Karte, egal welche IP's auf dieser gebunden sind Hmm, kannst Du das genauer erleutern, bzw. kann ich das auch noch irgendwo genauer nachlesen? Ich hab nämlich absolut keine Ahnung von ISA 2004. Hab zwar die Lizenz, muss mich da aber erst noch "reinfuchsen". Vor allem erst mal installieren. Zitieren Link zu diesem Kommentar
Wildi 10 Geschrieben 31. März 2005 Melden Teilen Geschrieben 31. März 2005 Hm, also nachdem ich letztes Jahr einen Kurs vom Besten, der Besten, der Besten für den ISA 2000 verpasst bekommen hatte, habe ich einfach mal nen 2004'er installiert und versucht mein Wissen auf diesen abzuleiten. Was ich nicht wusste habe ich mir von hier noch geholt: http://www.msisafaq.de/ Die behandeln einfach alles zum Thema. So wie Du Deinen Wissenstand beschreibst würde ich Dir auf alle Fälle dringend empfehlen (bevor Du das produktiv machst) Dir erstmal ne Testumgebung dazu einzurichten. Am Besten 3 Rechner. Einer im öffentlichen, einer im internen und dazwischen halt den ISA. Dann spiel Dich rum. Nach der Installation ist der ISA zunächst vollkommen dicht. Er lässt nichts (absolut gar nichts!!!!!) weder in die eine, noch in die andere Richtung zu. Selbst der ISA kann nix. Einziges nach der Installation ist, dass die Domänenanmeldung funktioniert - aber das war es auch schon. Zum Beispiel kommt der ISA nicht ohne Konfig ins Internet (wie natürlich auch die ganzen Kisten im LAN). Da kannst Du als Gateway eintragen was Du willst. Minimum ist eine Zugriffsregel. Als ganz einfacher Schritt: Zugriffsregel - Aller Verkehr (ist zwar nicht so toll, aber für den Einstig würd ich das ma machen), Quelle: INTERN, LOKALER HOST, Ziel: EXTERN. Damit hast Du Deine 1. Regel: Alle internen und der lokale Host (ISA) kommen auf externe Netz (Internet). Die Sache ist halt, Du willst einen ISA 2004 von A bis Z konfigurieren. Das glaube ich würde hier den Rahmen des Boards sprengen. Lies Dir einfach mal die Seiten von MSISAFAQ durch. DIe sind klasse und Dir wird dort sicher gut geholfen Zitieren Link zu diesem Kommentar
PAT 10 Geschrieben 31. März 2005 Autor Melden Teilen Geschrieben 31. März 2005 Vielen Dank für die Beschreibung, sie hilft mir schon mal für den Einstieg. Die Seite hab ich schon mal angeschaut, ich bin sicher, sie hilft mir sehr weit. Mein Netzwerk ist sowieso eher eine Testumgebung, da kann ich ruhig rumtesten. Mit den Lizenzen aus dem MS Action Pack läßt sich da schon so einiges anfangen. Was mir aber nicht so ganz klar ist, ist das was Du über den WLAN-AP geschrieben hast. Nämlich wie ich den Router als solches nutzen und trotzdem den WLAN-Teil des Router durch den ISA schützen kann. Die WLAN-Clients sollen übrigens zusammen mit den "kabelgebundenen" Clients im gleichen Netzwerksegment verkehren. P.S. Ich glaub, ich steh irgendwie auf der Leitung. Zitieren Link zu diesem Kommentar
Wildi 10 Geschrieben 1. April 2005 Melden Teilen Geschrieben 1. April 2005 Also, dass die WLAN Clients dann im gleichen Netzwerksegment sind geht so wieder nicht. Das heißt, wenn sie 'dann' VPN Teilnehmer sind schon wieder :) INTERNET <--öffentlich--> ROUTER M. WLAN <--Transfernetz--> ISA <--sicheres Netz--> LOK. NETZ Zw. Internet und Router hängt das PPPoE (irgend ne öff. IP vom Provider) und das DynDNS (sehe ich als sehr positiv, da dieser 'Trojaner' ja noch vor dem ISA hängt) Der WLAN Teil des Routers hängt ja schon mal in einem 'sicheren' Netz, nämlich im Transfernetz (z.B. 192.168.0.x) Aktivier da meinetwegen den DHCP und stell Dein WLAN richtig ein und somit kommen die WLAN Clients schon mal ins Internet (direkt über den Router). Die Clienst erhalten dann natürlich auch ne IP im Bereich 192.168.0.x. Die externe Karte hat dann auch ne 192.168.0.x und im Router hast Du auf diese IP geDMZ'et bzw. die Ports, die die halt brauchst geforwardet. Die interne ISA Karte hat dann z.B. 192.168.1.x und natürlich auch alle Kisten im internen Netz. Jetzt richtest Du auf dem ISA ein VPN ein. Je nach Einstellungen des ISA sind somit die Kisten hinterm ISA (192.168.1.x im sicheren Netz, die WLAN Clients im Transfernetz (durch die Firewall, und sei es nur ne kleine NAT Firewall geschützt). Diese WLAN Clients kommen natürlich direkt ins Internet, da ja vor dem ISA und will ich nun in das interne Netz, muss ich halt ne VPN Verbindung herstellen. In Zeiten, wo alle schreien, das WEP des WLANS ist so unsicher, hast Du dieses Manko dann gleich mitbehoben. Wenn es Dir zu unsicher ist, die WLAN Clients im Transfernetz zu haben, hast Du mehrer Möglichkeiten. 1. INTERNET <--> ROUTER (ohne WLAN) <--> ISA <--> INT. NETZ (da aber dann noch nen Access Point, damit die WLAN Clients auch intern sind) 2. INTERNET <--> ROUTER (ohne WLAN) <--> ISA <-in diesem Strang nen AP-> ISA <----> INT. NETZ Naja, wems gefällt und für Sicherheitsfanatiker sicher ein muss :D Sind nur mal 2 Möglichkeiten. Gibt natürlich noch ne ganze Menge mehr Zitieren Link zu diesem Kommentar
PAT 10 Geschrieben 1. April 2005 Autor Melden Teilen Geschrieben 1. April 2005 Also, dass die WLAN Clients dann im gleichen Netzwerksegment sind geht so wieder nicht. Naja, hat ich mir schon halb gedacht. Dann hab ich Dich wohl erst missverstanden. Das mit dem gemeinsamen Netzwerksegment von Ethernet und WLAN muss schon sein. Da komm ich wohl doch nicht um einen 2. Router herum, wenn ich das so machen will. Da der vorhandene Router immer nur Probleme macht und auch mit VPN nicht so richtig will, sollte der eh zum WLAN-AP "heruntergestuft" werden. Aber irgendwie wiederstrebt es mit doch, einen weiteren Router zu kaufen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.