locked
TMG bei internem Zugriff auf Weblistner RRS feed

  • Allgemeine Diskussion

  • Hi

    momentan haben wir folgendes Szenario:

    • 1 Watchguard Appliance die die DMZ und die Produktivnetze trennt
    • Virtueller 2008 R2 Server mit FTMG 2010 installiert, Mitglieder der Domäne produktiv.net
    • 2 Netzwerkkarten im Server
    • 1. Nic Extern mit Gateway auf die externe IP 80.80.80.80 (als Beispiel) der Watchguard
    • 2. Nic Intern mit Ip aus dem Produktivnetz 172.0.0/16 z.B. 172.0.0.10
    • Clients haben Intern z.B. die IP 172.0.1.x und als Gateway die interne IP der Watchguard 172.0.0.254
    • Am TMG-Server ist eine Route für 172.00.x.x/16 auf 172.0.0.254 eingetragen

    Die TMG veröffentlich den OWA und den EAS unseres Exchange-Servers.

    Von Extern ist es kein Problem beides zu erreichen.

    Sobald jedoch ein internes Gerät den OWA oder den EAS (oder jeden anderen Dienst der Angeboten wird) über die Externe Adresse z.B. https://owa.extern.net/ erreichen möchte schlägt, der Aufruf fehl und in der TMG wird ein Spoofing-Versuch geloggt.

    Der Weg den die Pakete nehmen ist folgender

    Client --> Gateway Watchguard --> Watchguard DMZ --> Externe IP Forefront

    Da die Pakete mit einer Interne IP-Adresse an der Externen Nic des TMG-Server ankommen erkennt er das als Spoofing.

    Wie kann ich dies abstellen?


    P.S. Wenn an den Clients den TMG als Gateway eintragen wird, funktioniert der Zugriff auf die Weblistner ohne Probleme

    • Typ geändert Alex Pitulice Dienstag, 20. März 2012 07:33 Warten auf Feedback
    Dienstag, 13. März 2012 15:31

Alle Antworten

  • Hi,

    solange die Clients mit der internen IP am externen Interface vom TMG ankommen wirst du die Warnung nie weg bekommen, da TMG das 172er Netz auf der internen NIC eingetragen hat. Erfolgt der Aufruf über die Watchguard so kommt das Paket mit der IP 172.xxx.xxx.xxx am TMG an, was für den TMG so eigentlich nicht sein kann, da das 172er Netz ja intern ist.

    Am einfachsten wäre es, in der Watchguard eine NAT-Regel zu basteln die den Bereich 172 mit der IP 80.80.80.80 zur externen IP vom TMG nattet.

    Gruß

    Christian


    Christian Groebner MVP Forefront

    Dienstag, 13. März 2012 16:12
  • Hi,

    arbeite mit Split DNS und erstell am internen DNS Server eine neue Forwardlookupzone fuer die DNS Domaene Extern.net mit den internen IP Adressen der Exchange Server. Wenn Du noch externe Ressourcen mit oeffentlichen IP Adressen hast, musst Du diese ebenfalls im DNS eintragen, da sonst von Intern die Ressourcen nicht zu erreichen sind.
    Split DNS hat dann auch den Vorteil, dass der Zugriff von Intern nicht durch den TMG laeuft


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Dienstag, 13. März 2012 16:33
  • Hallo Marc (Jens?),

    interessanter Vorschlag mit dem Split-DNS, werde mir das mal näher anschauen.

    Der einzige Nachteil den ich bissher sehe:

    An unserer TMG sind über Ports mehrere Dienste erreichbar die auf verschiedene Interne Server verteilt werden.
    Diese müsste ich dann aufdröseln.

    Eine andere Alternative wäre es für die betroffenen Geräte mit einer eingenen DHCP Zone zu arbeiten und dieser die TMG als Gateway mitzugeben.

    Die Idee von Christian mit dem NAT ist auch noch eine Überlegung wert. Nur müsste ich hier noch schauen welche Nachteile ich mir damit noch einfange.

    Ich melde mich wieder wenn wir uns für eine Lösung entschieden haben.

    Danke .

    Donnerstag, 15. März 2012 16:52
  • Hi Alex, Hi Marc,

    wir werden jetzt folgende pragmatische Lösung angehen:

    • Per DHCP wird den entsprechenden Geräten die TMG als Gateway zugewiesen.
      (Momentan erfolgt dies noch händisch über Reservierung und der entsprechnden Option 003 Router, Ziel ist es jedoch unseren Angebissenen Apfel-Geräten eine Hersteller oder Benutzerklasse mitzugeben / auszulesen anhand derer dies Automatisch geschieht)

    Danke für eure Vorschläge.

    Gruß Para el Mundo

    Mittwoch, 21. März 2012 09:12