locked
Proxy Absender IP RRS feed

  • Frage

  • Hallo Forum,

    ich möchte für eine bestimmte IP Adresse bei einer HTTP Verbindung nicht die Absender IP des Proxyserver haben.

    Der Hintergrund ist, dass ich diese IP auf einen Webserver in der nachgeschalteten ASA in eine S2S Verbindung route. Auf dieen Webserver haben nur bestimmte Clientszugriff nicht die Absender IP des Proxys.

     

    Gruß

     

    Michael

    Ich habe schon einige ausprobiert komme aber nicht weiter.

    Mittwoch, 14. September 2011 14:08

Antworten

  • Hi,

    dann musst du ein benutzerdefiniertes HTTP-Protokoll erstellen an das der HTTP-Filter nicht gebunden ist. Zusätzlich brauchst du noch eine Netzwerkbeziehung zwischen Intern und dem Webservernetz das auf Route steht, damit die original IP beibehalten wird. Auf der ASA muss zudem eine Route in das interne Netzwerk hinter dem TMG bestehen.

    Gruß

    Christian


    Christian Groebner MVP Forefront
    • Als Antwort markiert Michael Stemmer Mittwoch, 14. September 2011 15:01
    • Tag als Antwort aufgehoben Michael Stemmer Donnerstag, 15. September 2011 15:10
    • Als Antwort markiert Marc.Grote Freitag, 23. September 2011 21:13
    Mittwoch, 14. September 2011 14:35

Alle Antworten

  • Hi,

    mit welche IP-Adresse soll der Client denn ankommen?

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Mittwoch, 14. September 2011 14:27
  • Hallo Christian,

    mit seiner eigen IP Adresse.

    Ich habe eine Firewallregel erstellt wo ich den gesamten Datenverkehr aus dem entsprechenden Clientnetz zu diesem Server zulasse.

    Ping mässig ist der Server aus dem Clientnetz erreichbar. Bei einer HTTP Verbindung wird garnicht erst in den Tunnel geroutet da dort als Absender der Proxy erscheint.

    Gruß 

    • Als Antwort markiert Michael Stemmer Mittwoch, 14. September 2011 15:01
    • Tag als Antwort aufgehoben Michael Stemmer Mittwoch, 14. September 2011 15:01
    Mittwoch, 14. September 2011 14:32
  • Hi,

    dann musst du ein benutzerdefiniertes HTTP-Protokoll erstellen an das der HTTP-Filter nicht gebunden ist. Zusätzlich brauchst du noch eine Netzwerkbeziehung zwischen Intern und dem Webservernetz das auf Route steht, damit die original IP beibehalten wird. Auf der ASA muss zudem eine Route in das interne Netzwerk hinter dem TMG bestehen.

    Gruß

    Christian


    Christian Groebner MVP Forefront
    • Als Antwort markiert Michael Stemmer Mittwoch, 14. September 2011 15:01
    • Tag als Antwort aufgehoben Michael Stemmer Donnerstag, 15. September 2011 15:10
    • Als Antwort markiert Marc.Grote Freitag, 23. September 2011 21:13
    Mittwoch, 14. September 2011 14:35
  • Hi,

     

    das benutzerdefinierte HTTP Protokoll habe ich gemacht. Was meinst Du jetzt mit Netzwerkbeziehung? Der Proxy schickt alles was er nicht kennt auf sein externes Interface. Das Routing muß passen der Ping funktioniert und aus der Gegenrichtung funktioniert der Zugriff auf einen unserer Server, allesdings kommen die mit PCoIP da wir Zugriff eine VMware View PC geben. Wir müssen dort auf einen Citrix über HTTP zugreifen.

     

    Gruß


    Mittwoch, 14. September 2011 14:56
  • Hi Christian,

     

    danke jetzt gehts, war das benutzerdefinierte HTTP Protokoll der TMG braucht nur nen Augenblick.

     

    Danke für die Hilfe

     

     

    Mittwoch, 14. September 2011 15:01
  • Hi,

    ich hatte eine Regel erstellt mit HTTP und den Webproxyfilter rausgenommen. Das hatte zur Auswirkung das der Webroxy auch in der Webzugriffsregel ausgeschaltet wurde.

    Ich habe jetzt ein benutzerdefiniertes HTTP Protokoll erstellt aber das greift nicht. Der TMG zieht hier die Webzugriffsregel an.

    Was muss ich da noch ändern?

     

    Gruß

    Donnerstag, 15. September 2011 11:57
  • Hi,

    es kommt auf die Reihenfolge drauf an. Die Regel für den Zugriff auf den Webserver muss in der Reihenfolge vor der Webzugriffsregel kommen, denn nur so kann TMG erkennen, dass das benutzerdefinierte Protokoll genommen werden soll.

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Donnerstag, 15. September 2011 12:03
  • die Regel steht vor der Webzugriffsregel. Es wird auch die richtige Regel erkannt aber trotzdem an Webproxy verwiesen

    Protokolltyp: Webproxy (Forward)
    Status: 10060 Ein Verbindungsversuch ist fehlgeschlagen, da die Gegenstelle nach einer bestimmten Zeitspanne nicht richtig reagiert hat, oder die hergestellte Verbindung war fehlerhaft, da der verbundene Host nicht reagiert hat.
    Regel: HTTP to  SZ
    Quelle: Intern (10.254.15.24:64709)
    Ziel: Extern (10.19.55.33:80)

    Anforderung: GET http://10.19.55.33/

     

    Gruß

    Michael

    Donnerstag, 15. September 2011 12:11
  • Hallo,

     

    habe im Log nur die nachfolgenden Einträge

    Getrennte Verbindung FF-FWP01 16.09.2011 11:34:39
    Protokolltyp: Firewalldienst
    Status: Getrennte Verbindung
    Regel: HTTP to SZ
    Quelle: Intern (10.254.10.31:49565)
    Ziel: Extern (10.19.55.33:80)
    Protokoll: HTTP ohne Webproxy
    Zusätzliche Informationen
    • Anzahl der gesendeten Bytes: 0 Anzahl der empfangenen Bytes:: 4718
    • Verarbeitungszeit: 63016ms Ursprüngliche Client-IP: 10.254.10.31
    Fehlgeschlagener Verbindungsversuch FF-FWP01 16.09.2011 11:34:40
    Protokolltyp: Webproxy (Forward)
    Status: 10060 Ein Verbindungsversuch ist fehlgeschlagen, da die Gegenstelle nach einer bestimmten Zeitspanne nicht richtig reagiert hat, oder die hergestellte Verbindung war fehlerhaft, da der verbundene Host nicht reagiert hat.
    Regel: HTTP to SZ
    Quelle: Intern (10.254.10.31:49566)
    Ziel: Extern (10.19.55.33:80)
    Anforderung: GET http://10.19.55.33/Citrix/MetaFrame/auth/login.aspx
    Filterinformationen: Req ID: 0fbd26d2; Compression: client=No, server=No, compress rate=0% decompress rate=0%
    Protokoll: http
    Benutzer: anonymous
    Zusätzliche Informationen
    • Client agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; MDDR; InfoPath.3; .NET4.0E)
    • Objektquelle: Internet (Quelle ist das Internet. Das Objekt wurde zum Cache hinzugefügt.)
    • Cacheinformationen: 0x0
    • Verarbeitungszeit: 63016 MIME type:

    Habe den Firewalldienst im TMG neu gestartet. Die Regel "HttP to SZ" steht vor dem Webregeln. Im IE ist die 10.* als Proxy-Ausnahme eingetragen

    Muss doch eine Möglichkeit geben ein HTTP Paket an eine bestimmte Adresse über fie Firewall zu senden ohne das der Webproxy greift.

    Jemand noch eine Idee was ich machen kann?

     

    Gruß

     

    Gruß

    Freitag, 16. September 2011 09:42