none
FTP und TMG Problem (nicht Upload ;-) RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen

    Ich konfiguriere, teste usw. Nun schon seit ca. Einer Woche am TMG Beta3/RC herum. Warum der Malware filter sich nicht mit Downloads von easynews verträgt muss ich noch verstehen, aber kann ich ja bei "Bedarf" kurz ausschalten. Anderes Thema ;-)

    Problem:
     FTP von Innen klappt, von aussen bis nach der Anmeldung und dann tote hose.
    (Also es kommt das anmelde Fenster und bei falschen eingaben auch gleich erneut, aber nach einer richtigen Eingabe von User/PW verschwindet das Fenster und nix weiter passiert mehr bis zum time out.)
    Der Aufbau/Umgebung:
    Es gibt einen dicken Hostrechner mit W2008R2 Hyper-v R2, zwei physische Netzwerkarten und viele weitere virtuelle systeme wie DC, DNS, DHCP, Web/FTP server. Das ganze ist eine Testumgebung und nur bedingt mit der Prod verbunden. Der TMG läuft als w2008r2 (64 bit) auch virtuell und benutzt die virtuellen Karten. (Vom Hostrechner)NIC des TMG intern mit fixer ip, und DNS. Externe NIC TMG mit fixer ip, kein DNS, aber Gateway. (also NAT Netzwerk Rule) Physikalisch steht noch ein Zyxel Router davor, der uns ans internet anbindet. (Auch NAT, aber statische NAT) Regeln gibt es erst recht wenig. Generelle Web Access Regel (Standart) ein paar DNS Regeln (Nur was notwendig ist, die System Policy eben nicht erlaubt) drei Web Server publishing Regeln und die Server publishing Regeln für FTP Server, ohne FTP Access Filter, sonst bekomme ich WSA_RWS_CONNECTION_KILLED or FWX_E_CONNECTION_KILLED 0x80074E24 (ISA Server killed a connection.)

    Nun bekomme ich aber immer noch FWX_E_ABORTIVE_SHUTDOWN 0x80074E21 (A connection was abortively closed after one of the peers sent a RST segment.)

    84.73.140.87 192.168.10.2 21 FTP Server Initiated Connection Publish FTP Server 0x0 SUCCESS   External Internal - TMG - Firewall   -   0 192.168.1.2 

    84.73.140.87 192.168.10.2 21 FTP Server Closed Connection Publish FTP Server 0x80074e21 FWX_E_ABORTIVE_SHUTDOWN   External Internal - TMG - Firewall   -   0 192.168.1.2 

    84.73.140.87 192.168.10.2 21 FTP Server Initiated Connection Publish FTP Server 0x0 SUCCESS   External Internal - TMG - Firewall   -   0 192.168.1.2 

    84.73.140.87 192.168.10.2 21 FTP Server Closed Connection Publish FTP Server 0x80074e21 FWX_E_ABORTIVE_SHUTDOWN   External Internal - TMG - Firewall   -   0 192.168.1.2 

    84.73.140.87 192.168.10.2 21 FTP Server Initiated Connection Publish FTP Server 0x0 SUCCESS   External Internal - TMG - Firewall   -   0 192.168.1.2 

    84.73.140.87 192.168.10.2 21 FTP Server Closed Connection Publish FTP Server 0x80074e21 FWX_E_ABORTIVE_SHUTDOWN   External Internal - TMG - Firewall   -   0 192.168.1.2 


    Was mich noch ein wenig verwirrt hat: „Overview of non-HTTP server publishing“  (http://technet.microsoft.com/en-us/library/cc995257.aspx) Da steht: You cannot authenticate user requests for server publishing rules. Frage: Das bezieht sich auf „interne User die vom internen Netz zugreifen“ und wenn nein wie geht das denn sonst?

    Bin ich auf dem richtigen Weg? Suche ich an der falschen stelle? Welche Infos braucht Ihr noch um mal drüber nach zu denken?
    Danke und Gruss,
    Thorsten

    Montag, 19. Oktober 2009 18:56
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hi Thorsten,

    >Problem:
     >FTP von Innen klappt, von aussen bis nach der Anmeldung und dann tote hose.

    Welche Anmeldung ? vom TMG oder FTPServer ?

    >You cannot authenticate user requests for server publishing rules.
    Was verstehst Du da nicht ?

    An einer FTP Server Veröffentlichung hat sich seit Isa 2004 im Prinzip nichts geändert.
    Gruß Ralph Andreas Altermann
    Montag, 19. Oktober 2009 19:40
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi Ralph ANdreas

    Die Anmeldung vom FTP. (Sonst habe ich nix eingerichtet.) Die erfolgreiche anmeldung steht auch im Log des FTP Servers. (Das ist der gleiche wie die der Server auf den auch die Web Publish Rules zeigen)

    Nun ja, ich bin bei isa 2000 ausgestiegen und erst mit der Beta3 vom TMG wieder dazu gekommen. ;-) Also was ich nicht verstehe :"authenticate user requests" Welche authentification/von gegen/mit/welchem server/wer ist der User und was ist ein request?(technisch schon klar, aber meinen die auch das was ich meine?) Ich sehe da User des geschützten Netz mit Account im geschützten netz die aus dem geschützten Netz auf einen FTP Server zugreifen wollen und entweder integrated, oder sonst wie ...oder eben von aussen, aber welcher User ist das dann? AD User? Also wenn es nicht von bedeutung ist lassen wir das weg. Lese ich später mal genauer. Mit den Kapiteln darüber und darunter ;-)

    Hilft Dir das weiter? Willst Du mehr wissen?

    Danke und Gruss,
    Thorsten
    Montag, 19. Oktober 2009 19:57
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi Thorsten,

    >Nun ja, ich bin bei isa 2000 ausgestiegen und erst mit der Beta3 vom TMG wieder dazu gekommen
    Ups, das ist ein gewaltiger Sprung.

    Also, die FTP Server Veröffentlichung ist ISA/TMG seitig relativ easy.
    Assistent für Veröfentlichung Nicht-Webserverprotokolle (unter ISA) nehmen:
    Name
    IP-Adresse des FTP-Servers intern
    Protokoll FTP-Server
    Listener Extern (ggf. IP-Adresse definieren)
    Fertig stellen

    Eine ggf. erforderliche Authentifizierung muß der FTPServer übernehmen.

    Habe den TMG selbst noch nicht am Laufen, daher Beschreibung vom ISA2006, sollte aber gleich sein. (IMHO)

    Weitere Authentifizierungsmechanismen gibt es nicht auf Nicht-Webserverprotokolle.(Standard)
    Hier meistens gemeint LDAP (siehe oben)
    Gruß Ralph Andreas Altermann
    Montag, 19. Oktober 2009 20:20
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi Ralph Andreas
    Habe ich auch so gemacht. Assistent für Veröfentlichung Nicht-Webserverprotokolle gibt es auch noch unter TMG.

    Sonst noch eine Idee zum Problem? "FTP von Innen klappt, von aussen bis nach der Anmeldung und dann tote hose."???

    Danke und Gruss,
    Thorsten

    Montag, 19. Oktober 2009 20:44
    |
  • Question
    Anmelden
    0
    Anmelden
    Hit Thorsten

    >Sonst noch eine Idee zum Problem?
    Leider nein und ich kann es momentan nicht nachstellen :-(

    Frage doch mal bei Marc alias Jens unserem ISA Guru nach; unter NG

    microsoft.public.de.german.isaserver

    Gruß Ralph Andreas Altermann
    Dienstag, 20. Oktober 2009 07:48
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi Thorsten,

    so wie es scheint ist ganz einfach der FTP Port (von Außen) dicht. Nimm doch einfach mal eine Linux Kiste und lasse NMAP laufen. Ich bin mir ganz sicher, dass der Port 21 "closed" ist. Ansonsten geht nix über eine Linux/Unix Firewall, aber das darf ich ja garnicht so sagen ;-). Meine Empfehlung für die Zukunft ist IPfire. Aber psst...

    Gruß
    Martin
    Dienstag, 20. Oktober 2009 08:02
    |
  • Question
    Anmelden
    0
    Anmelden
    @Martin

    21 ist auf. Bitte oben lesen . (Ich komme von aussen zum FTP, sonst schreibt der das nämlich nicht ins Log) Für einen Portscanner brauche ich noch kein Linux. Danke für den immer wieder gerne gehörten "Bekehrungsversuch" zum Thema. 

    @Ralph Andreas
    Danke, ich wechsle mal zu microsoft.public.de.german.isaserver.
    Gruss,
    Thorsten
    Dienstag, 20. Oktober 2009 09:37
    |
  • Question
    Anmelden
    0
    Anmelden
    Hallo Thorsten,

    NMAP auf einen Portscanner zu reduzieren gleicht schon fast einer Majästetsbeleidigung ;-). Sorry, hab ich überlesen. Das Fehlerbild was du geschildert hast, passt ins Schema "Port nicht erreichbar".

    Gruß
    Martin
    Dienstag, 20. Oktober 2009 09:43
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi Thorsten,

    vielleicht gibt es ja ein Feedback von Dir.
    Gruß Ralph Andreas Altermann
    Dienstag, 20. Oktober 2009 15:42
    |
  • Question
    Anmelden
    0
    Anmelden
    Wenn es eine Lösung geben wird, dann eventuell hier: http://www.microsoft.com/communities/newsgroups/list/en-us/default.aspx?dg=microsoft.public.de.german.isaserver Unter: Subject: Suche Marc alias Jens den ISA Guru für FTP Problem
    Wenn nicht da, dann verlinke ich von dort weiter.
    Danke und Gruss,
    Thorsten
    Mittwoch, 21. Oktober 2009 16:01
    |