locked
TMG 2010 Nat-Regeln anwenden vor S2S-VPN RRS feed

  • Frage

  • Hallo,

    wir planen TMG 2010 in unserem Netz als SecurityGateway zu nutzen. Aus diesem Grund mache ich mich gerade mit den Funktionen und der Konfiguration des TMGs vertraut. Ist es in der 2010er Version mittels Enhanced NAT möglich NAT-Regeln vor dem Routing in ein S2S-IPSecVPN anzuwenden.

    Die konkreten Anforderungen wären:
    Lokale Clients mit IP-Adressen z.B. im Bereich 192.x/24 sollen Services in einem Remote-Netz nutzen. Hierfür sind die lokalen Adressen in IP-Adressen aus einem bekannten, vordefnierten Adress-Pool im 172er-IP-Bereich per NAT zu ändern.

    Also: Client 192.x --> NAT auf 172.x --> IPSec-VPN --> RemoteNetz

     

    Bei dem TMG-Vorläuder ISA soll dies nach meiner Recherche nicht möglich gewesen sein? Ist ein solches Szenario mit EnhancedNAT im TMG 2010 möglich? Nachdem ich mit TMG schon ne Schlappe in Bezug auf Port/Protocoll-based Routing erlebt habe, hoffe ich stark, dass diese Funktion in TMG inplementiert ist.

     

    Gruss Alex :-)

     

    Donnerstag, 17. Februar 2011 15:44

Antworten

  • Hi Alex,

    wofuer man NAT in einem S2S Szenario braucht, weiss ich auch, wollte damit sagen, dass es mit TMG so wie es andere Gateways koennen, nicht moeglich ist


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Freitag, 18. Februar 2011 15:19

Alle Antworten

  • hi alex,

    1:1 nat ist mit tmg leider nicht möglich - wenn du das meinst.


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 17. Februar 2011 18:24
  • Hi,

    das E-NAT (Enhanced NAT) ist leider nur ein zaghafter Versuch, das was mach andere Firewalls schon seit etlichen Jahren koennen, in Ansaetzen umzusetzen. Es geht primaer darum in den Netzwerkregeln im TMG festzlegen welche ausgehende IP in einem NAT Szenario verwendet wird, wenn man mehrere IPs am externen Interface hat, also speziell bei Mail Server Publishing fuer REverse DNS Lookup Anfragen wegen Antispam etc. sinnvoll. In einem VON S2S Szenario macht NAT auch nur bedingt Sinn, je nach Protokoll was Du durchlassen willst.


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 17. Februar 2011 18:53
  • Hey,

    dank euch für die schnellen Antworten!

    @Marc --> Nat vor IPSec braucht man einfach wenn der lokale IP-Adressbereich im Remote-Netz schon genutz wird! In einem FirmenWAN kommt das sicherlich nicht vor.  Kommt jedoch ein weiteres "fremdes" Netz (natürlich entsprechend abgesichert) hinzu, sieht die Sache ganz anderst aus. 

    Schade! Offensichtlich ist TMG eben sehr auf Sicherheit ausgelegt und vernachlässigt elementare Gateway/Routing-Funktionen. Als EdgeGateway ist das TMG dadurch nur sehr bedingt einsetzbar (vorher genau prüfen)! Alleine dadurch, dass Protocollbased-Routing fehlt kann ich auf unseren Cisco-Router vor TMG nicht verzichten.

    Ich werde mein spezielles Szenario jedoch in VMs nachbilden und testen. Vlt funktioneirt es ja doch... Ansonsten ist für unsere Bedürfnisse der TMG als VPN-Server leider nicht zu gebrauchen.  Microsoft ist mit dem TMG (vorallem in anderen Bereichen) sicherlich auf dem richtigen Weg. Offensichtlich liegt aber noch ein gutes Stück Arbeit vor Microsft. Das man jedoch "einfache" aber elemare Gateway-Funktionen wie ein gescheites NAT oder port-based Rounting nicht implementiert hat...verstehe wer will! Cest la vie! Wie gesast -> Teste das ganze aber noch einmal!

     Thanx für eure Hilfe!

    Gruss Alex

    Freitag, 18. Februar 2011 10:07
  • Hi Alex,

    wofuer man NAT in einem S2S Szenario braucht, weiss ich auch, wollte damit sagen, dass es mit TMG so wie es andere Gateways koennen, nicht moeglich ist


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Freitag, 18. Februar 2011 15:19
  • Hallo Marc,

    bin mir nicht ganz sicher, ob ich die Anforderungen von Alex richtig verstanden habe, meine aber, dass es geht. Wir haben hier eine ähnliche Konstellation laufen:

    internes Netz -> NAT auf eine 172.xxx Adresse - > IPSEC VPN zum Kunden -> Kundennetz

    Der 'Trick' ist hier beschrieben:

    http://blog.ipsways.com/archive/2011/03/15/tmg-ipsec.aspx

    Viele Grüße,

    Markus

    Mittwoch, 28. November 2012 12:06