locked
TMG Routing Extern Internal RRS feed

  • Frage

  • Hallo,

     

    Die Infos, wir haben ein öffentliche Klasse C-Netz hinter einem CISCO Router. Dort habe ich nun 2 TMGs installiert die unsere interne Domain und die extern Domain trennt. Quasi DMZ.

    Die Firewalls haben beide eine öffentliche IP im Klasse C Netz. Das Routing zu der Firewall funktioniert Problemlos. Auch lässt sich die Interne Seite der Firewall pingen. In einem Test aufbau habe ich es auch schafft einen One-Way Domain Trust zu erzeugen und alles hat ohne Probleme funktioniert.

     

    Jetzt habe ich das ganze für die Produktivumgebung aufgebaut. Und es funktioniert erst, allerdings wenn ich dann die Firewall neustarte verliert die Firewall die Verbindung zur internen Seite.

    Ich habe dafür ein neues Netzwerk hinzugefügt und Route diese nach Intern. In dem Moment in dem ich das neue Netzwerk hinzufüge funktionierts. Wenn ich die Konfig dann wieder ändere, funktioniert es weiterhin bis ich die Firewall oder den Dienst neustarte.

    Der Request an einen Internen Server hinter der Firewall kommt auch an, allerdings wird dieser "Denied" durch eine "Network Rule".

    Das Problem lässt sich schwer beschreiben, aber ich hoffe, dass ihr mir trotzdem irgendwie Helfen könnt.

     

    Montag, 6. Juni 2011 13:42

Antworten

  • Hi,

    1) OK

    2) OK

    3) hmm, die Meldung ist ja eindeutig. Sieht fuer mich so aus, als kann der TMG die Konfig nicht korrekt syncen und erkennt die Netzwerkregel nicht sauber. Schau mal mit ADSIEDIT nach, ob die Netze korrekt da sind:
    http://www.isaserver.org/tutorials/Microsoft-Forefront-TMG-Storage-101.html

    Schau auch mal im ISA/TMG Diagnostic Logging nach was abgeht:
    http://www.it-training-grote.de/download/isaserver-tmg-troubleshooting.pdf

    Wegen der DC Kommunikation: Hast Du die Enforce Strict RPC Compliance fuer die AD Kommunikation in den Systemrichtlinien deaktiviert? Der TMG ist Standlone oder synct der gegen einen EMS?

    4) Eigentlich sollte alles so passen, weil es ja eigentlich funktioniert. Ich wuerde also an Sync Problemen mit dem AD-LDS ansetzen


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort markiert Sven_86 Dienstag, 7. Juni 2011 13:58
    Montag, 6. Juni 2011 15:45

Alle Antworten

  • Hi,

    hoert sich fuer mich also nicht nach einem Routing Problem an, sondern nach einem Problem, dass die Netzwerkkonfig im TMG nicht sauber geschrieben wird.
    Was heisst denn: "Wenn ich die Konfig dann wieder ändere"? Heisst dass, Du aenderst etwas an der Netzwerkkonfig am TMG (Network Topology Route, Netzwerkregeln, Netzwerkeigenschaften? Wenn Du dann auf "Apply" zur Konfigspeicherung klickst ist die Konfig auch konvergent (gruenes Symbool bei der Konfiguration) und alles funktioniert, bis Du den Server bootest, bzw. die Firewall Services durchstartest? Wenn der Zugriff aufgrund fehlender Network Rule angemeckert wird (kein Logeintrag bei Regel im TMG Logging), hast Du vermutlich ein Netzwerk/Routingproblem.
    Verliert der Server nur die Verbindung zu dem speziellen Netzwerk oder funktionieren auch andere TMG Funktionen nicht mehr

    Erste Ideen:
    TMG ist aktuell gepatched?
    Fehlermeldungen im TMG Dashboard?
    Fehlermeldungen in der Ereignisanzeige?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Montag, 6. Juni 2011 13:59
  • 1. Änderung der Konfiguration.

     

    Ich lösche Beispielsweise das hinzugefügte Netzwerk wieder oder deaktiviere die Network Rule die das Routing zwischen neuem Netzwerk und Internal Network übernimmt. Trotz dieser Änderungen funktioniert alles weiterhin.

     

    2. Sync Konfig

     

    Die Konfiguration ist in den Momenten in denen es funktioniert erfolgreich synchronisiert.

     

    3. Log Errors

     

    Nach einem Neustart der Maschine: "FWX_E_UNREACHABLE_ADDRESS" und es ist keine Verbindung mehr von der Firewall ins interne Netz möglich.

    Nach dem hinzufügen des neuen Netzwerkes sind keine Logging-Einträge mehr für den ausgeführten und erflogreich ausgeführten Ping vom externen Netzwerk ins interne Netzwerk mehr vorhanden. Wenn ich die Network Rule und das neue Netzwerk nach einem Neustart lösche, ist eine Verbindung ins Interne Netz wieder möglich und auch die Pings von Extern gehen wieder durch. Auch wieder mit erfolgreich, sychronisierter Konfig.

    Nach einem erneuten Neustart ist die Verbindung ins Interne Netz immer noch vorhanden, aber von extern nicht mehr erreichbar.

    Fehlermeldung im Log ist: Status: the network Rules do not allow the connection requested. Rule: None, ResultCode: FWX_E_NETWORK_RULES_DENIED

     

    Alerts im Dashboard sind keine vorhanden. In den Momenten wo die Verbindung ins Interne Netz nicht möglich ist, kommt die Meldung, Config konnte nicht sychronisiert werden, da der DC nicht erreichbar sei.

     

     

    4. Welche Einstellungen muss ich machen?

     

    Ich habe auf der einen  Firewall die Route fürs DMZ Netz eingetragen, die über das externe Interface der Firewall erreich wird. Die Request kommen auf der 2. Firewall auch an.

    Was für Network Rules, Networks und Routing Einstellungen müssten vorgenommen werden? Normalerweise füge ich ein neues Network mit unserem Klasse C Netz hinzu und eine Network Rule die vom Klasse C Netz/1. Firewall ins Interne Netz routet.

     

    Patchstand ist aktuell. Version 7.0.9027.441 SP1 und Software RollUp 3

    Montag, 6. Juni 2011 14:35
  • Hi,

    1) OK

    2) OK

    3) hmm, die Meldung ist ja eindeutig. Sieht fuer mich so aus, als kann der TMG die Konfig nicht korrekt syncen und erkennt die Netzwerkregel nicht sauber. Schau mal mit ADSIEDIT nach, ob die Netze korrekt da sind:
    http://www.isaserver.org/tutorials/Microsoft-Forefront-TMG-Storage-101.html

    Schau auch mal im ISA/TMG Diagnostic Logging nach was abgeht:
    http://www.it-training-grote.de/download/isaserver-tmg-troubleshooting.pdf

    Wegen der DC Kommunikation: Hast Du die Enforce Strict RPC Compliance fuer die AD Kommunikation in den Systemrichtlinien deaktiviert? Der TMG ist Standlone oder synct der gegen einen EMS?

    4) Eigentlich sollte alles so passen, weil es ja eigentlich funktioniert. Ich wuerde also an Sync Problemen mit dem AD-LDS ansetzen


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort markiert Sven_86 Dienstag, 7. Juni 2011 13:58
    Montag, 6. Juni 2011 15:45
  • erst einmal schonmal vielen Dank für die Hilfe.

     

    Es ist auf der neuen Seite ein Stand-Alone Server, aber auf der alten Firmenseite wird es gegen ein EMS sychronisiert.

    Ich habe jetzt auf der neuen Seite die RPC Compliance deaktiviert und es scheint jetzt zu funktionieren. Auf der Firmenseite möchte ich die Sachen erst eintragen, wenn ich genau weiss was zu tun ist und es auf anhieb funktioniert. Deshalb habe ich es auf einer weiteren Testfirewall ausprobiert, dort hat es aber noch nicht funktioniert.

    Was genau bewirkt denn der Strict RPC Compliance?

    Und beim ADSIEDIT, werden mir die Netzwerke angezeigt, aber wodran erkenne, welches Netzwerk welches ist und ob es korrekt eingetragen ist?

     

     


    • Bearbeitet Sven_86 Dienstag, 7. Juni 2011 13:58
    Dienstag, 7. Juni 2011 08:09
  • Hi,

    zu Strict RPC Compliance: RPC ist ja eigentlich kein MS Standard, sondern ein RFC Standard. MS verwendet RPC/LPC in verschiedensten Varianten mit teiwleise Modifikationen (DCOM ist ein Beispiel). Mit dem Entschaerfen in der Systemrichtlinie laesst Du dann auch AD Traffic etc. zu. welcher nicht hundertprozentig reinen RPC Dialekt spricht.

    zu den Netzwerken: Die tauchen in ADSIEDIT ja mit der UID auf. wenn Du in die Eigenschaften des Netzes gehst, siehst Du den Namen unter msFPCname. Wann das Netzwerk anegelgt / geaendert wurde, siehst Du im Attribut whenChanged und WhenCreated


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Dienstag, 7. Juni 2011 08:16