Dieses Forum ist geschlossen. Vielen Dank für Ihre Beiträge.

Remove From My Forums

Verbindung zu Remote Server via Port 88 (Kerberos) funktioniert nicht

Frage
0

Anmelden

Hi Community,

TMG Forefront 2010

wir müssen zu einem Remote Server (name.homelinux.com) via Port 88 verbinden. Eine erstellte Regel die Quelle, Ziel und Protokoll (Kerberos Sec TCP) beinhaltet verweigert die Verbindung. Es funktioniert auch nicht wenn ich eine Regel die alles erlaubt aktiviere, demnach scheint es kein Problem mit der Regel zu sein sondern vielmehr eine grundlegende Einstellung. In den Systemregeln habe ich eine Regel mit Kerberos Authentifizierung gefunden aber die regelt nur den Verkehr von Intern zum TMG. Sie lässt sich auch nicht aktivieren (ist ausgegraut). Was muss ich einstellen, dass das klappt?

Verweigerte Verbindung TMG-2 26.04.2016 09:00:41
Protokolltyp: Firewalldienst
Status: Die Richtlinienregeln lassen die Benutzeranforderung nicht zu.
Regel: Standardregel
Quelle: VLAN_Verw (192.168.1.25:57977)
Ziel: Extern (p5b22ca67.dip0.t-ipconnect.de 91.34.202.103:88)
Protokoll: Kerberos-Sec (TCP)

Thx & Bye Tom

Dienstag, 26. April 2016 07:32

Alle Antworten

0

Anmelden

Nachtrag: Wir haben jetzt herausgefunden, dass da im Hintergrund gar keine Kerberos Authentifizierung erwartet wird, sondern ganz normal HTTP läuft. Die Remoteseite hat vermutlich den Port 88 verwendet um einen Konflikt mit einem anderen Dienst auf Port 80 aus dem Weg zu gehen.

Kann es sein, dass TMG so "schlau" ist und bei Verwendung von Port 88 auch eine Kerberos Verbindung erwartet? Kann man das irgendwie so hintricksen, dass TMG seine deep inspection für eine bestimmte Regel nicht anwendet?

Thx & Bye Tom

Dienstag, 26. April 2016 09:58
0

Anmelden

Hi,

normal sollte das gehen, wenn du eine Regel bastelst die den Traffic auf TCP Port 88 ausgehend erlaubt. Wie schaut denn deine Protokolldefinition aus?

Eine Inspection kann man eigentlich ausschließen, da du an das Protokoll keine Filter gebunden hast. Zumdem sagt die Fehlermeldung, dass keine passende Regel gefunden wurde die mit der Anfrage übereinstimmt und deshalb der Zugriff durch die Standardregel verweigert wurde.

Gruß

Christian
Christian Groebner MVP Forefront

Dienstag, 26. April 2016 11:19
0

Anmelden

Servus Christian,

>normal sollte das gehen, wenn du eine Regel bastelst die den Traffic auf TCP Port 88 ausgehend erlaubt. Wie schaut denn deine Protokolldefinition aus?

>Eine Inspection kann man eigentlich ausschließen, da du an das Protokoll keine Filter gebunden hast. Zumdem sagt die Fehlermeldung, dass keine passende Regel gefunden wurde die mit der Anfrage übereinstimmt und deshalb der Zugriff durch die Standardregel verweigert wurde.

Hm, ich war mir jetzt eigentlich sicher, dass mir da eine Inspection des Protokolls in die Suppe spukt. Wir haben Portdefinitionen eigentlich immer so wie oben definiert und hatten nie Probleme damit. Ist in diesem Fall etwas falsch an der Portdefinition?

Thx & Bye Tom

Dienstag, 26. April 2016 11:27
0

Anmelden

Servus Christian,

wir haben das Problem jetzt zwar nicht behoben aber dafür mit einem anderen Port umschifft. Die Remoteseite hat jetzt Port 8080 eingestellt und jetzt klappt die Verbindung. Es scheint wohl doch so, dass TMG bei privilegierten Ports sich nicht so einfach austricksen lässt.

Die Portdefinition für Port 88 gab es ja zweimal. Einmal von mir wie oben gezeigt angelegt und einmal bereits in TMG als Kerberos-Sec (TCP) vorhanden. Im Prinzip schaut die TMG Portdefinition genauso aus, wie die benutzerdefinierte aber die beiden Radiobutton bei "Zugeordnetes Standardprotokoll" sind ausgegraut.

Es mag an meiner Portdefinition vielleicht kein Filter gebunden sein aber vermutlich ist es das bei der bereits vorhandenen Portdefinition und TMG nimmt seine eigene Definition zuerst und ignoriert meine...?!

Thx & Bye Tom

Dienstag, 26. April 2016 12:49
0

Anmelden

Hi,

die Protokolldefinition sieht gut aus.

Könnte mir vorstellen, dass es daran liegt:

http://www.it-training-grote.de/blog/?p=5044

Gruß

Christian
Christian Groebner MVP Forefront

Dienstag, 26. April 2016 14:25