locked
Forefront Firewall verbietet eine route RRS feed

  • Frage

  • Hallo zusammen!

     

    Mein ForeFront ist sauber installiert und läuft. Das surfen ist problemlos möglich und auch das routing zu internen Seiten (in der DMZ) klappt super.

    ABER es gibt genau eine Seite dich ums verplatzen nicht erreiche!

    Eine Seite in der DMZ hat (z.b.) die IP 192.168.100.1, dafür gibt es unter "Networking" -> "Routing" ja die möglichkeit eine Rule zu erstellen - was auch gemacht wurde. Außerdem wurde das Webchaining angepasst, dass er Zugriffe auf diese Seite nicht über den Proxy, sondern direkt auf die Seite leitet - und es funktioniert!

    Für die andere Seite in der DMZ (z.b.) IP 192.168.100.3 wurde - bis auf das Gateway - genau das selbe eingetragen und, es haut nicht hin...

    Wenn ich jetzt den Firewall Dienst beende, kann ich die IP's (erste und zweite) tracen, aber - logischerweiße - nicht per IE erreichen...

    Sobald ich den Firewall Dienst wieder starte, kann ich zwar die erste IP tracen und per IE erreichen, aber die zweite nicht mehr.

    An der Rule kann es nicht liegen. Da ich noch in der Testphase bin, habe ich nur eine Rule erstellt die mir sämtlichen Traffice von und an sämtliche Netze zu lässt.

    So und genau da hänge ich jetzt und weiß nicht weiter...

    any ideas?

    mfg

     

    Stefan

    Donnerstag, 14. April 2011 12:03

Antworten

  • Hi,

    jau, musst Du machen, eine Netzwerkregel zur DMZ vom Typ Route und eine Firewallregel welche den Traffic erlaubt. Die anderen Fehlermeldungen deuten bereits auf die fehlende Netzwerkregel hin!


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort markiert SDStef Donnerstag, 14. April 2011 12:58
    Donnerstag, 14. April 2011 12:45

Alle Antworten

  • Hi,

    Dein Forefront ist sauber installiert, welches denn :-):
    http://blog.forefront-tmg.de/?p=499
    Ich denke Du meinst Forefront TMG!
    Du hast also eine neue Route erstellt?
    Wie sehen denn die Netwzerkregeln aus? Wie ist das Netzwerkverhaeltnis zwischen dem internen Netz und der DMZ? Route oder NAT? Was sagt das TMG Logging. Wird der Traffic ohne Angabe der Regel protokolliert, dann hast Du ein Routingproblem.
    Was sagt Tracert?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 14. April 2011 12:21
  • Verdammt du hast natürlich recht :) Den TMG mein ich :)

    Ja eine neue Route, aber das Gateway über das ich die zweite Seite erreichen muss, ist auch gleichzeitig auf meiner externen Karte das Standardgateway. Also kann diese Routingrule ja "sterben" - was aber auch keine Besserung bringt...

    Ich habe in den NetworkRules 3 Sachen drin:

    1. Local Host Access Route Local Host All Networks (and Local Host)

    2. VPN Clients... Route Quarantined/VPN Clients Internal

    3. Internet Access NAT Internal/Quarantined/VPN Clients External

     

    Muss ich da noch ein 4tes einfügen, damit der TMG weiß, dass das Verhältnis zur DMZ Route ist?

     

    Tracert funktioniert sauber wenn der Firewall Dienst ausgeschaltet ist, da geht er direkt über das Gateway zu Seite (also 2 hops wie es sein soll). Sobald der Dienst wieder an ist, gibt es nur timeouts... 

    Die anderen Routen sind syncron, allerdings habe ich dort - wie gesagt ein anderes Gateway.

     

    Das TMG Logging sagt mir folgendes:

    Denied Connection PROXY 14.04.2011 14:38:06 

    Log type: Firewall service 

    Status: A packet was dropped because its destination IP address is unreachable.  

    Rule: None - see Result Code 

    Source: Local Host ([meine externe ip]:19375) 

    Destination: Internal ([die ip der seite]:80) 

    Protocol: HTTP 

     

    und danach:

     

    Closed Connection PROXY 14.04.2011 14:38:11 

    Log type: Firewall service 

    Status: A connection was gracefully closed in an orderly shutdown process with a three-way FIN-initiated handshake.  

    Source: Local Host ([meine externe ip]:19375) 

    Destination: Internal ([die ip der seite]:80) 

    Protocol: HTTP 

     

    und zum schluss:

     

    Initiated Connection PROXY 14.04.2011 14:38:11 

    Log type: Firewall service 

    Status: The operation completed successfully.  

    Source: Local Host ([meine externe ip]:19375) 

    Destination: Internal ([die ip der seite]:80) 

    Protocol: HTTP 

     

     

    und das geht immer so weiter...

    Donnerstag, 14. April 2011 12:40
  • Hi,

    jau, musst Du machen, eine Netzwerkregel zur DMZ vom Typ Route und eine Firewallregel welche den Traffic erlaubt. Die anderen Fehlermeldungen deuten bereits auf die fehlende Netzwerkregel hin!


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort markiert SDStef Donnerstag, 14. April 2011 12:58
    Donnerstag, 14. April 2011 12:45
  • Danke!

    Jetzt geht der Tracert sauber durch und der Zugriff klappt auch!

    Super Service hier :)

    Donnerstag, 14. April 2011 12:58