locked
Forefront TMG Problem mit Webproxy von VPN RRS feed

  • Frage

  • Hi, 

    Wir sind gerade dabei unsere Firewall durch einen Forfront TMG zu tauschen. Jetzt steh ich im Moment vor einem Problem mit dem Webproxy. Und Zwar ist meine erste Firewall eine ASA die auch meine S2S VPN´s Konzentriert. Nach der ASA Richtung Intern kommt der Forefront welcher auch gleichzeitig der Proxy ist. Nun ist mein Problem das der Proxy für meine Clients die aus den VPN´s kommen nicht funktioniert. Ist das überhaupt möglich? Im Log bekomme ich keine Richtige Aussage. Nur einen Unbekannten Fehler. 

    Protokolltyp: Firewalldienst

    Status: Der Vorgang wurde erfolgreich beendet. 

    Regel: S2S to Proxy

    Protokoll: HTTP-Proxy

     

    Protokolltyp: Firewalldienst Status:

    Unbekannter Fehler Regel: S2S to Proxy

    Quelle: Extern (10.253.9.10:63105)

    Ziel: Lokaler Host (10.254.254.19:8080)

    Protokoll: HTTP-Proxy

    Donnerstag, 4. August 2011 07:56

Alle Antworten

  • Hi,

    wenn die ASA den VPN Tunnel terminiert, kommt der Client ja vor dem TMG Server an und somit kann dieser auch kein webproxy Client sein, weil er ja aus TMG Sicht ein externer Client ist und keine IP Adresse aus dem internen Netzwerk hat, wo der Webproxy fuer das Netzwerk INTERNAL aktiviert ist


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    Donnerstag, 4. August 2011 08:01
  • Danke für die schnelle Antwort.

     

    Ja das hab ich mir schon fast gedacht. Aber ich kann ja das VPN Netz als Intern definieren da ich sonst spoofing Meldungen bekommen. Das heist ich komme nicht drum herum einen eigenen Webproxy für die VPN´s in die DMZ ztu stellen? Oder gibt es noch eine andere Möglcihkeit?

     

    MfG

    Stefan

    Donnerstag, 4. August 2011 08:07
  • moin stefan,

    alternativ könntest du das vpn auf dem tmg terminieren. oder halt wie von dir erwähnt die client-vpn-ips mit in ein bekanntest netz packen. ich habe das mal bei einem kunden mit einer art von transfernetz realisiert.


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 4. August 2011 08:38
  • Das hab mit dem in ein bekanntes Netz packen hab ich auch schon probiert. Aber sobald ich die Adressen vom VPN als intern definiere bekomme ich eine Meldung das die Adressen gespooft sind. Ich hab auch probiert einen neuen Adapter für die VPN Netze anzulegen aber mit dme gleichen Effekt. Muss man da noch irgendwas anderes Konfigurieren?
    Donnerstag, 4. August 2011 08:57
  • ich habe dafür z.b. ein neues dmz-netz angelegt und dann die ips des transfernetzes, sowie der vpn-ip-range reingepackt. dies dann in route-relation zum internen netz gesetzt und darauf firewallregelwerk aufgebaut.
    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 4. August 2011 09:03
  • Danke, Ich werde das mal ausprobieren!

    MfG Stefan

    Donnerstag, 4. August 2011 10:41
  • Hast du dann dafür einen eigenen Physikalischen Netzwerkadapter genommen? Weil irgendwie haut das alles nicht hin ;) hab jetzt ein neues Netz angelegt und diesem den Adressbereich des VPN´s zugewiesen. Hat erst mal nus soviel gebracht das dann im Log die Meldung kommt das die Adressen gespooft sind. Dananch hab ich dem Adapter auch den Externen Adapter zugewiesen. Nun ist alles wieder beim alten. Selbe Meldung im Log wie ich oben gepostet hab.

     

    MfG 

    Donnerstag, 4. August 2011 12:47