locked
TMG als Standard Gateway - Traffic Redirection RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo!

    Um SecureNAT verwenden zu können, möchte das TMG als Standardgateway für diverse Clients verwenden. Damit über ein anderes Gateway realisierte VPN-Verbindungen von den Clients erreichbar sind, habe ich entsprechende Routen auf dem TMG eingetragen und eine Regel erstellt, die Traffic zwischen den Netzen zulässt.

    Leider schlagen TCP-Verbindungen (ICMP z.B. funktioniert, mit dem Routing ist allso alles okay) mit folgendem Fehler im Log fehl:

      A non-SYN packet was dropped because it was sent by a source that does not have an established connection with the Forefront TMG computer. 
      FWX_E_TCP_NOT_SYN_PACKET_DROPPED

    Offensichtlich ist dies normal, da das TMG keine Traffic Redirection beherrscht und alle Verbindungen zwingend über das TMG laufen müssen: http://support.microsoft.com/kb/888042/en-us

    Gibt es da vielleicht noch einen Trick, oder ist das Statement aus dem KB-Artikel als final anzusehen?

    Danke!

    Donnerstag, 25. November 2010 12:55

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hi,

    ja, aber Obacht beim Firewallclient, der kann nur UDP/TCP und wenn VPN zum Bsp. PPTP macht, hast Du noch GRE und dann funzt es nicht:

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 25. November 2010 13:41
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    das geht ja auch weiterhin, wenn die Clients SecureNAT-Clients zum TMG sind. Wenn die Clients z.B. nach Extern SMTP müssen, dann erledigen sie das über den TMG und alles geht. Durch die statischen Routen an den Clients werden die VPN-Ziele über das andere Gateway gelotst.

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Donnerstag, 25. November 2010 14:39

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    du musst die Routen nicht am TMG eintragen, sondern am Client direkt, damit die Antworten nicht an den TMG gesendet werden.

    Gruß

    Christian

     

    Christian Groebner MVP Forefront
    Donnerstag, 25. November 2010 13:01
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    wenn Du SecureNAT verwendest, musst Du am Client ne Route erstellen, welche relevanten Traffic zum TMG routet udn die VPN Verbindungen zum VPN Server

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 25. November 2010 13:07
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    dass es so geht ist natürlich klar. Aber gerade das möchte ich ja vermeiden. Wenn ich z.B. einen bestimmten Dienst für alle Ziele im Internet via SecureNAT erreichbar machen möchte, wäre die Konfiguration mit TMG als Standardgateway wesentlich einfacher.

    Aber OK, es gibt ja noch den Firewallclient.

    Danke

    Donnerstag, 25. November 2010 13:20
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    ja, aber Obacht beim Firewallclient, der kann nur UDP/TCP und wenn VPN zum Bsp. PPTP macht, hast Du noch GRE und dann funzt es nicht:

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 25. November 2010 13:41
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    das geht ja auch weiterhin, wenn die Clients SecureNAT-Clients zum TMG sind. Wenn die Clients z.B. nach Extern SMTP müssen, dann erledigen sie das über den TMG und alles geht. Durch die statischen Routen an den Clients werden die VPN-Ziele über das andere Gateway gelotst.

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Donnerstag, 25. November 2010 14:39
  • Question
    Anmelden
    0
    Anmelden

    Anderes Thema (kann bei Bedarf auch einen neuen Thread aufmachen...)

    Kennt jemand das Problem, dass das FTP Directory Listing bei diversen FTP Clients nicht funktioniert, wenn diese eine Verbindung zum FTP-Server über den TMG Client herstellen?

    Aktives FTP ist aktiviert.

    Das Problem scheinen auch noch andere Anwender zu haben: http://social.technet.microsoft.com/Forums/en/Forefrontclientsetup/thread/bbb54a5f-63fb-43d8-83f6-a88f1f1e0215

    Ich kann es mir momentan nicht erklären. Trage ich im TMG Client einen ISA2006 Server ein, funktioniert es.

    /edit: Mit dem ISA 2006 Server funktioniert es auch nicht, hatte mich geirrt. Muss irgendwie mit dem TMG  Client zusammenhängen.

    /edit2: Mit dem ISA 2006 klappt es doch. Nur wenn MLSD im FTP Client eingestellt ist, klappt es auch damit nicht.

    ftp.exe funktioniert.

    Donnerstag, 25. November 2010 15:14
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    ich kenne das Problem :-). Hast du bei der entsprechenden Zugriffsregel über FTP konfigurieren den Haken bei "Nur Lesen" entfernt.

    Gruß

    Christian

    Christian Groebner MVP Forefront
    Donnerstag, 25. November 2010 15:28
  • Question
    Anmelden
    0
    Anmelden

    Hallo Christian,

    testweise habe ich den mal entfernt - hat leider nichts gebracht. Mit dem ISA 2006 Firewallclient funktioniert es übrigens ohne Probleme, auch wenn der Haken gesetzt ist. Nur die Kombination TMG Client und TMG Server funktioniert nicht. Komisch!

    /edit: Mit passivem FTP funktioniert es übrigens (auch mit MLSD...)! Benutzt ftp.exe ggf. standardmäßig auch passives FTP? Das würde zumindest erklären, warum es damit funktioniert.

    /edit2: In meiner Verzweifelung habe ich einfach mal den TMG Server neu gestartet und jetzt geht's. Offenbar hat er das Aktive FTP nach dem Setzen des Hakens und Speichern der Einstellungen nicht wirklich übernommen. Ist wohl ein Bug.

    /edit3: Wobei dann die Frage ist, warum es mit dem ISA2006 Client funktioniert hat. Also kann meine Erklärung ja nicht ganz stimmen ;)

    /edit4: Haken Read Only reingemacht, jetzt geht es wieder nicht. Haken wieder entfernt, drei Minuten gewartet, geht immer noch nicht...

    /edit5: Haken rausgemacht, neu gestartet....geht immer noch nicht. Ich verstehe es nicht...

    /edit6: So, ich habe jetzt noch mal etwas auführlicher getestet und mehrere Konstellationen durchgespielt. Aktives FTP funktioniert mit TMG und TMG Client überhaupt nicht. Dass ich vorhin dachte, dass es funktioniert, lag daran, dass nach einer passiven Verbindung alle weiteren Verbindungen vom FTP Client (Total Commander) automatisch passiv hergestellt worden sind - ohne das explizit zu aktivieren.

    Aktiviere ich explizit Aktives FTP, funktioniert es in keinem Fall und unabhängig davon, FTP Schreibzugriff aktiviert ist oder nicht. Mit dem ISA 2006 im TMG Client funktioniert aktivies FTP problemlos.

     

    Gruß

    Michael

    Donnerstag, 25. November 2010 15:43
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    FTP:
    http://www.isaserver.org/tutorials/Microsoft-Forefront-TMG-FTP-and-FTP-Server-publishing.html

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 25. November 2010 17:55
  • Question
    Anmelden
    0
    Anmelden

    Danke, aber das hilft leider nicht weiter. Was ich bis jetzt festgestellt habe:

    TMG 2010 + TMG Client == Aktives FTP funktioniert nicht (Active FTP im FTP Access Filter aktiviert, FTP Read Only in der Regel deaktiviert)
    TMG 2010 + ISA 2004 Cient == Aktives FTP funktioniert problemlos
    ISA 2006 + TMG Client == Aktives FTP funktioniert problemlos

    Könnte das vielleicht mal jemand testen? Einfach mal mit FileZilla z.B. ftp.f-secure.com (anonymous) hinzufügen, Verbindung auf aktiv stellen und gucken was passiert, wenn die Verbindung über TMG2010 SP1 und TMG Client hergestellt wird. Ich komme nicht zum Directory Listing!

    Ich kann mir eigentlich nicht vorstellen, irgendwo noch einen Fehler eingebaut zu haben. Warum würde es sonst mit dem ISA 2004 Client funktionieren?

    Donnerstag, 25. November 2010 18:17
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    hoert sich ja echt nach einem Bug an. Solltest Du dann mal an Microsoft PSS eskalieren, wenn sich hier keine mehr meldet oder das ganze bestaetigt.
    Kann ich bei mir leider nicht testen. Habe zwar einen TMG im Einsatz aber keinen TMG Client
    BTW: Benoetigst Du zwingend aktives FTP? Hat man in Forefront TMG aus Sicherheitsgruenden bewusst ausgeschaltet!

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 25. November 2010 18:27
  • Question
    Anmelden
    0
    Anmelden

    Hallo Marc,

    zwingend benötige ich das nicht. Selbst wenn, könnten wir erst mal mit dem alten Firewallclient weiterarbeiten. Trotzdem wäre es natürlich gut, wenn es mit dem neuen Client ebenfalls funktionieren würde.

    @ all: Wenn das jemand testen kann, wäre ich für eine kurze Info dankbar!

    Freitag, 26. November 2010 08:12