locked
Erlaube alle Protokolle eingehend RRS feed

  • Frage

  • Hi Community,

    ich habe einen Server in einer Zweigstelle stehen, der via VPN mit uns verbunden ist. Der VPN Tunnel terminiert an unserem äußeren Router (Bintec), der TMG hingegen ist unser innerer Router. Der entfernte VPN Client muss in das vom TMG geschützte Netzwerk. Wie muss ich eine Regel formulieren, damit alle Protokolle vom VPN Client in das innere Netzwerk zugelassen sind? Einfach eine normale Regel welche den gesamten "ausgehenden" Datenverkehr behandelt, nur eben mit vertauschter Quelle und Ziel funktioniert irgendwie nicht und eine Option welche den gesamten "eingehenden" Datenverkehr behandelt gibt es im Assistenten nicht...

    Thx & Bye Tom 


    Montag, 9. März 2015 08:16

Antworten

  • Hi,

    wenn das VPN am Bintec terminiert wird, ist der Traffic fuer den TMG Server aus diesen Bereichen "Extern",sprich Untrusted.
    Standardmaessig ist die Netzwerkbeziehung im TMG zwischen dem Netzwerk INTERN (192.168.1.x) und EXTERN (u. a. 192.168.12.x) NAT, dass heisst, Du musst am TMG Server eine Serververoeffentlichungsregel erstellen, um von EXTERN Zugriffe auf Ressourcen INTERN zu ermoeglichen.
    Wenn das Netzwerkverhaeltnis ROUTE waere, koenntest Du eine normale Zugriffsregel fuer die notwendigen Protokolle erstellen


    best regards Marc Grote - www.it-training-grote.de

    Montag, 16. März 2015 11:41

Alle Antworten

  • Hi Community,

    hat dazu niemand eine Idee? Das Problem scheint zu eskalieren, denn jetzt kann sich der lokale Standort nicht mal mehr auf dem entfernten Server anmelden und die Synchronisation schlägt fehl:

    Ich vermute, dass der entfernte Server jetzt beleidigt ist, weil er keinen Domänencontroller mehr erreichen kann. Das Setup schaut wie folgt aus:

    Für jeden Hinweis dankbar Tom

    Montag, 16. März 2015 09:28
  • Hi,

    wenn das VPN am Bintec terminiert wird, ist der Traffic fuer den TMG Server aus diesen Bereichen "Extern",sprich Untrusted.
    Standardmaessig ist die Netzwerkbeziehung im TMG zwischen dem Netzwerk INTERN (192.168.1.x) und EXTERN (u. a. 192.168.12.x) NAT, dass heisst, Du musst am TMG Server eine Serververoeffentlichungsregel erstellen, um von EXTERN Zugriffe auf Ressourcen INTERN zu ermoeglichen.
    Wenn das Netzwerkverhaeltnis ROUTE waere, koenntest Du eine normale Zugriffsregel fuer die notwendigen Protokolle erstellen


    best regards Marc Grote - www.it-training-grote.de

    Montag, 16. März 2015 11:41
  • Servus Marc,

    > Wenn das Netzwerkverhaeltnis ROUTE waere,

    Das Netzwerkverhältnis ist ROUTE:

    > koenntest Du eine normale Zugriffsregel fuer die notwendigen Protokolle erstellen

    So eine Regel hätte ich schon aber es scheint nicht zu funktionieren:

    Dürfen da als Ziel nicht zwei Netzwerke angegeben werden? Das Routing in das VLAN_DTP funktioniert nämlich sogar stelle ich gerade fest. Nur in das VLAN_Verw komme ich nicht, da stehen aber die DCs...

    Thx & Bye Tom

    Montag, 16. März 2015 12:15
  • Servus Marc,

    warte mal noch bevor du dir über das Problem weiter Gedanken machst, ich glaube da stimmt das Routing vom entfernten Standort nicht. Ich habe die gerade angeschrieben, dass sie nachschauen aber das kann dauern, da ist ein externer Dienstleister am basteln...

    ...ich geb aber auf alle Fälle nochmal Bescheid, aber ich denke auf unserer Seite müsste das eigentlich passen.

    Thx & Bye Tom

    Montag, 16. März 2015 12:40
  • Servus Marc,

    > Wenn das Netzwerkverhaeltnis ROUTE waere, koenntest Du eine normale Zugriffsregel fuer die notwendigen Protokolle erstellen

    Also der Admin am Remotestandort hat die Route in unser zweites Netz jetzt in deren Firewall eingetragen und jetzt funktioniert die Kommunikation auch bidirektional, wobei ich noch einige DNS Probleme habe aber das ist imho eine andere Geschichte...

    Danke für deine Aufmerksamkeit & Bye Tom

    Mittwoch, 18. März 2015 08:21