none
NichtWebserver-Veröffentlichung mit TMG klappt nicht RRS feed

  • Frage

  • Hallo, 

    ich habe das Problem, dass ich keine NichtWebserver-Veröffentlichung zum laufen bekomme. 

    Unser Netzaufbau sieht folgendermaßen aus:

    Internet <-> Kabelmodem (172.31.0.254) <-> (172.31.0.1) Forefront TMG (192.168.100.11) <-> (192.168.7.10) Server

    Nun möchte ich von außen (Testweise habe ich es auch aus dem Perimeter-Netz versucht) über Port 5634 auf den Server zugreifen.
    Da ich vom Kabelmodem nur Pakete im selben Netz (172.31.x.x) weiterleiten kann, muss ich im TMG die Netzwerkregel als NAT anlegen!?
    Also, ich habe im Kabelmodem eine Portweiterleitung für Port 5634 an die TMG-Umkreis-IP eingerichtet.
    Ich habe eine Netzwerkregel  zwischen Extern (und Umkreis) und Server-IP als NAT eingerichtet.
    Desweiteren habe ich eine Nicht-Webserver-Protokoll-Veröffentlichung für den betreffenden Port angelegt, welche als Ziel die Server-IP hat und als Listener Extern (und Umkreis) eingetragen.

    Im Protokoll sehe ich bei einem Verbindungsversuch dann eine Verweigerte Verbindung, welche an der Standardregel scheitert.

    Müsste TMG nicht den betreffenden Port "abhören", was ich eigentlich mit "nestat -an" sehen müsste? Das ist nicht der Fall...

    Über ein wenig Hilfe würde ich mich sehr freuen!

    Dienstag, 3. April 2012 09:15

Antworten

  • Hallo,

    ich wollte mich nur nochmal melden, da ich mein Problem jetzt lösen konnte.
    Das ganze hat erst funktioniert, nachdem ich die Beziehung zwischen Internem und Umkreis auf NAT gestellt habe...

    Gruß Quedel

    • Als Antwort markiert Quedel Montag, 18. Juni 2012 08:18
    Montag, 18. Juni 2012 08:18

Alle Antworten

  • moin Quedel,

    dein umkreis und das interne netzt waren über eine netzwerkregel bisher in route-relation? falls ja und falls die routing-tabellen überall korrekt gepflegt sind kannst du einfach mit einer zugriffsregel arbeiten.

    in genatteten verhältnissen verwendet man dann serververöffentlichungen. hierbei sollte idealerweise das standardgateway des zu veröffentlichenden servers auf den tmg gedreht sein.


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

    Dienstag, 3. April 2012 10:35
  • Hallo

    ja, Umkreis und Intern sind geroutet... da funktioniert dann auch eine Zugriffsregel... aber nur aus dem Umkreis! Dies habe ich aber nur zu Testzwecken genutzt...

    Extern zu Intern ist genattet ( habe explizit eine NAT-Verhältnis von Extern zu Server), deswegen ja auch die Serververöffentlichung. Am Server ist natürlich auch der tmg das Standardgateway... aber soweit kommt es ja leider gar nicht... die Pakete kommen ja durch TMG nicht durch...

    Um das NAT-Verhältnis komme ich ja auch nicht drumrum, da das Kabelmodem nicht mein Internes Netz kennt bzw. er nichts direkt (über TMG) dort hin schicken kann...

    Dienstag, 3. April 2012 10:56
  • hast du ein benutzerdefinierte protokolldefinition für deinen port 5634 inbound eingerichtet und dieses für die serververöffentlichung verwendet?

    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

    Dienstag, 3. April 2012 11:08
  • ja...
    Dienstag, 3. April 2012 11:11
  • hm, so langsam gehen mir die ideen aus ohne die kiste zu sehen. regel ist aktiv, tmg ist im sync mitm ad-lds?

    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

    Donnerstag, 5. April 2012 14:14
  • Ja, er ist noch aktuell...

    Regel ist aktiv... wie kann ich sehen, ob er sync mit dem ad-lds ist?

    Ich habe heute unter Alarme einen Serververöffentlichungsfehler, hatte eigentlich immer kontrolliert, ob dort was kommt....

    Serververöffentlichungsregel TestExtVeröffentlichung ist fehlgeschlagen, weil kein gültiger Netzwerklistener verfügbar war.
    Zwischen den ausgewählten Listenernetzwerken und dem veröffentlichten Server muss eine Netzwerkbeziehung bestehen, damit
    Anforderungen den veröffentlichten Server erreichen können.

    Fehlerposition 325.958.7.0.9193.500. Der Fehler wurde durch folgenden Fehler verursacht: Die Daten sind unzulässig. 

    Hmm... ich habe eine Netzwerkregel: Quellnetzwerk (Extern, Umkreis)->per NAT (Standardadresse) -> Zielnetzwerk (Server-IP)

    meckert er jetzt, weil TMG keine Adresse in Extern hat, und deshalb nicht weis, an welche IP-Adresse er sie binden soll?


    • Bearbeitet Quedel Dienstag, 10. April 2012 07:02
    Dienstag, 10. April 2012 07:01
  • hmm, also irgendwie raffe ich es nicht...

    Zum Testen habe ich jetzt folgendes gemacht:

    Um evtl. Probleme mit dem Port/Protokoll auszuschließen teste ich erstmal nur mit dem Protokoll "Telnetserver".
    Ich habe also eine Serververöffentlichung für "Telnetserver" Von/Listener "Umkreis"  Nach "Server-IP" eingerichtet.
    Dann habe ich die bestehende Netzbeziehung zwischen Umkreis und Intern als Route deaktiviert und eine neue als NAT angelegt. (Quelle:Umkreis -> Ziel:Intern, Standard-IP, NAT).

    Wenn ich das ganze übernehme, kommt der Serververöffentlichungsfehler aus vorherigem Post...
    Wenn ich nun die Netzbeziehung als Route angebe und NICHT als NAT, dann wird die Serververöffentlichung Wiederhergestellt.
    Dann funktioniert das Ganze insoweit, dass ich aus dem Umkreisnetz als Ziel die IP des Servers direkt angeben muss. Wenn ich die Umkreis-IP vom TMG nutze logischerweise nicht...

    Ich dachte, für Serververöffentlichungen muss die NetzBeziehung NAT sein und nicht Route??

    Donnerstag, 12. April 2012 10:18
  • sehe ich das richtig, das dein interner server im lan steht und nicht in einer dmz aka umkreis? falls ja, dann sollte die standard-netzwerkregel (intern zu extern) doch schon auf nat stehen?

    afaik: bei nat-relationen werden serververöffentlichungen eingesetzt oder halt webveröffentlichungen. bei route-relationen wird zugriffsregelwerk eingesetzt oder halt webveröffentlichungen.


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

    Donnerstag, 12. April 2012 13:32
  • Ja, der Server steht im Internen Netz. Standardmäßig gibt es Umkreis->Extern (NAT) & Intern->Umkreis (Route).
    Extern->Intern per NAT habe ich nachträglich angelegt.

    Hier mal die Netzwerkregeln:

    Mit der Serververöffentlichung und NAT müsste es ja dann so richtig sein... nur bringt er mir den oben genannten Serververöffentlichungsfehler...

    Also eigentlich müsste es so laufen:

    Client(internet) -> (Dyn-IP Provider:23) Kabelmodem (172.31.0.254) -> (172.31.0.1:23) Forefront TMG (192.168.100.11) -> (192.168.7.10:23) Server

    Donnerstag, 12. April 2012 13:57
  • Hallo,

    ich wollte mich nur nochmal melden, da ich mein Problem jetzt lösen konnte.
    Das ganze hat erst funktioniert, nachdem ich die Beziehung zwischen Internem und Umkreis auf NAT gestellt habe...

    Gruß Quedel

    • Als Antwort markiert Quedel Montag, 18. Juni 2012 08:18
    Montag, 18. Juni 2012 08:18