locked
TMG 2010 - Fehlercode 10061: Verbindung zurückgewiesen RRS feed

  • Frage

  • Hallo zusammen,

    îch brauche mal etwas Hilfe für folgende Situation:

    Wir haben ein TMG-Array (SP2), das wir intern als Proxy nutzen. Als internen Proxy-Port haben wir Port 8080 genutzt, mit dem Effekt, dass wir externe Webserver nicht auf Port 8080 (Standard HTTP - kein HTTPS) ansprechen können. Das TMG meldet dabei "Fehlercode 10061: Verbindung zurückgewiesen". Um das Problem zu lösen habe ich folgendes versucht:

    1. Regel eingerichtet, die ausgehenden TCP-Verkehr auf Port 8080 erlaubt. Am Anfang mit einem URL-Satz als Ziel, später mit dem externen Netzwerk.
    2. Internen Proxy-Port geändert.

    Beides einzeln als auch im Zusammenspiel haben das Problem nicht behoben. Jetzt stehe ich ein bisschen auf dem Schlauch, was ich noch versuchen könnte. Habt Ihr Tipps für mich?

    Danke und viele Grüße
    Stefan


    Freitag, 24. August 2012 19:15

Antworten

  • Problem gelöst, war ein selbst gemachtes. Das TMG wird bei uns eigentlich nur als Proxy genutzt und hat keinen direkten Zugriff auf das Internet. Davor steht noch eine Firewall Appliance (wichtige Info, die ich unterschlagen habe --> SORRY!), die wiederrum Port 8080 aus der DMZ nach Extern verweigert hat. Nachdem das freigegeben wurde, funktionierts auch.

    Auch wenn Dein letzter Post nicht direkt die Lösung brachte, hat er doch den richtigen Hinweis gegeben. Danke.

    Aber eins verstehe ich noch nicht:
    Ich habe testhalber alle Regeln auf dem TMG entfernt, die Port 8080 nach extern erlauben würden. Und trotzdem funktioniert der Zugriff. Laut Prokollierung auf dem TMG erlaubt die Standard-Zurgiffsregel "Webzugriff für alle Benutzer zulassen" den Zugriff, obwohl diese nur HTTP und HTTPS erlauben sollte. Wie kann das sein?

    Donnerstag, 30. August 2012 08:19

Alle Antworten

  • Hi,

    mit einer Firewallregel welche Port 8080 TCP erlaubt sollte das funktionieren.
    Die Clients sind Webproxy Clients?
    Was sagt das TMG live logging zum Zeitpunkt des Verbindungsversuchs? Welche Regel blockt den Traffic?
    Wie sieht die Zugriffsregel im Detail aus?
    Kannst Du den Webserver auf Port 8080 vom TMG aus erreichen?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Samstag, 25. August 2012 04:06
  • Guten Morgen,

    sorry wegen der späten Rückmeldung, war gestern leider verhindert...

    Die Protokollierung des TMG zeigt das hier (ich habe einige Stellen anonymisiert):

    Protokolltyp: Webproxy (Forward)
    Status: 10061 Es konnte keine Verbindung hergestellt werden, da der Zielcomputer die Verbindung verweigerte. 
    Regel: Webzugriff für alle Benutzer zulassen
    Quelle: Intern (IP des Clients)
    Ziel: Extern (nb2533.virtualhosts.netbuild.net 87.237.122.37:8080)
    Anforderung: GET http://startext.net-build.de:8080/barch/MidosaSEARCH/search.htm
    Filterinformationen: Req ID: 08ae799a; Compression: client=No, server=No, compress rate=0% decompress rate=0%
    Protokoll: http
    Benutzer: Domäne\Benutzer

    Bislang hatte ich eine eigene Regel mit folgenden Werten definiert:
    Quelle: Intern
    Ziel: URL-Satz (enthält  http://startext.net-build.de:8080/*) - später habe ich hier auch extern eingetragen
    Protokoll: Selbstdefiniert (Portbereich 8080, TCP, ausgehend, Webproxyfilter)
    Bedingung: Alle Benutzer

    Nachdem ich den oben beschriebenen Protkolleintrag gelesen und herausgefunden habe, dass meine Regel ignoriert wird, habe ich mein selbstdefiniertes Protokoll auch in die Regel "Webzugriff für alle Benutzer zulassen" aufgenommen. Geholfen hat es leider nicht.

    Vom TMG aus erhalte ich die gleiche Meldung.

    Die Clients sind IE9 und erhalten ihre Konfiguration per WPAD. Den TMG-Client haben wir nicht installiert.

    Dienstag, 28. August 2012 08:50
  • Hi,

    die Meldung lautet: "Es konnte keine Verbindung hergestellt werden, da der Zielcomputer die Verbindung verweigerte". Also wuerde ich sagen, die Anfrage kommt an, aber der Zielserver verweigert die Anfrage wegen ACL/Berechtigungen/UserAccount etc. Kann das sein?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Dienstag, 28. August 2012 17:52
  • Hatte ich auch erst gedacht. Aber wenn ich meinen Browser für den direkten Internetzugriff ohne Proxy konfiguriere, wird die Seite ohne Probleme angezeigt.
    Mittwoch, 29. August 2012 06:56
  • Hi,

    wenn Du mit dem Client ohne Proxy zugreifst taucht auf dem Zielsystem ja eine andere IP auf. Evtl. blockt die Gegenseite die IP vom TMG?!


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Mittwoch, 29. August 2012 09:43
  • Problem gelöst, war ein selbst gemachtes. Das TMG wird bei uns eigentlich nur als Proxy genutzt und hat keinen direkten Zugriff auf das Internet. Davor steht noch eine Firewall Appliance (wichtige Info, die ich unterschlagen habe --> SORRY!), die wiederrum Port 8080 aus der DMZ nach Extern verweigert hat. Nachdem das freigegeben wurde, funktionierts auch.

    Auch wenn Dein letzter Post nicht direkt die Lösung brachte, hat er doch den richtigen Hinweis gegeben. Danke.

    Aber eins verstehe ich noch nicht:
    Ich habe testhalber alle Regeln auf dem TMG entfernt, die Port 8080 nach extern erlauben würden. Und trotzdem funktioniert der Zugriff. Laut Prokollierung auf dem TMG erlaubt die Standard-Zurgiffsregel "Webzugriff für alle Benutzer zulassen" den Zugriff, obwohl diese nur HTTP und HTTPS erlauben sollte. Wie kann das sein?

    Donnerstag, 30. August 2012 08:19
  • Hi,

    der TMG Webproxyfilter erlaubt Zugriff auf Port 80 und 443. Da die Webproxy Settings aber auf Port 8080 lauschen impliziert das, dass auch Port 8080 erlaubt ist


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Donnerstag, 30. August 2012 08:46
  • Alles klar, danke!

    Donnerstag, 30. August 2012 09:25