none
TMG - Wie SSL durchreichen? RRS feed

  • Frage

  • Hallo zusammen,

    wie kann man beim TMG erreichen, dass HTTPS á la Portforwarding durchgereicht wird?

    Hintergrund: Hier ist ein CitrixAccessGateway hinter einem TMG, wo zwar die Anmeldung und das Laden der ICA-Datei gelingt, dann aber ein 'unbekannter Netzwerkfehler' kommt. Im TMG-Log sieht man noch, dass im Moment des ICA-Starts eine neue Verbindung aufgemacht wird, die aber nicht mehr den internen CAG zum Ziel hat, sondern nur noch die externe IP des TMG (was auch in der ICA-Datei via DNS-Name als SSL-Proxy eingetragen ist.

    Daher will ich versuchen den HTTPS-Verkehr ungefiltert durchzureichen, um zu sehen, ob das Problem dann behoben ist. Eine erste Nicht-Webserver-Regel `von Extern-IP HTTPS-Server nach interne CAG-IP weiterleiten' funktioniert nicht.

    Vorschläge?


    Grüße/Regards, Jens Klein

    Mittwoch, 12. Februar 2014 15:01

Antworten

Alle Antworten

  • Eine Serververöffentlichungsregel wie von dir beschrieben sollte es tun - Hat der CAG das Standardgate auf den TMG gedreht?

    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

    Mittwoch, 12. Februar 2014 15:14
  • Hallo Karsten,

    Gateway: Nach meinen Infos ja.

    Regel: HTTPS-Server von Extern-IP (auf die der DNS-Name zeigt) nach Interne CAG-IP greift leider nicht. Der Verbindungsversuch wird von der Standard-Regel gekillt...  Was kann an der Regel falsch sein?


    Grüße/Regards, Jens Klein

    Mittwoch, 12. Februar 2014 15:28
  • Hi,

    ein Socket Port Konflikt? Lauscht ein anderer Prozess auf den HTTPS Port am TMG?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.galileocomputing.de/3276?GPP=MarcGrote

    Mittwoch, 12. Februar 2014 18:01
    Moderator
  • Moin Jens,

    hast du KB2888049 installiert? Falls ja, dann mal bitte deinstallieren. Ich hatte das gleiche Phänomen bei einem meiner Bestandskunden. Dort ist TMG im Blech und nach Installation des Patches ging ein simples Serverpublish auf einen CAG nimmer.


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

    Mittwoch, 12. Februar 2014 19:07
  • Hallo Marc,

    hmm, ja, es gibt diverse externe IPs und mindestens noch eine (ältere) Nicht-Webserver-Regel, die so aufgebaut ist/auf HTTPS-Server lauscht. Allerdings kommt der Verkehr auf verschiedenen IPs für jede Regel an.

    Aber das kann man ja nicht so richtig zuordnen, oder?


    Grüße/Regards, Jens Klein

    Mittwoch, 12. Februar 2014 22:01
  • Hallo Karsten,

    ja, kb2888049 ist installiert.

    Werde ich mal im nächsten Support-Fenster probieren und demnächst berichten.

    Aber mal im Ernst: Wie habt Ihr den dieses Update identifizieren können?


    Grüße/Regards, Jens Klein

    Mittwoch, 12. Februar 2014 22:08
  • Hi, Netstat -ANO sollte zeigen ob HTTPS evtl. auf Listen All steht


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.galileocomputing.de/3276?GPP=MarcGrote

    Donnerstag, 13. Februar 2014 04:24
    Moderator
  • Hallo Marc,

    5:30 Uhr, das ist früh... (Der frühe Vogel fängt den Wurm)   ;-)

    Ich sehe  externe-(CAG)-IP:443   0.0.0.0:0  Abhören

    (Diese externe IP wird nur genau dafür genutzt)

    Daneben auf diversen anderen externen IPs das selbe 0.0.0.0:0-Abhören.

    Ein 'Abhören Alles' habe ich bei den weit über 3000 Ergebnissen auf die schnelle nicht entdeckt.

    Was sagt mir das jetzt?


    Grüße/Regards, Jens Klein

    Donnerstag, 13. Februar 2014 07:23
  • Hi,

    OT: 05:30 - jau frisch nach dem Joggen an die Arbeit :-)
    0.0.0.0 heisst, dass HTTPS auf allen IP Adressen lauscht.
    Pruef mal bitte in den Publishing Regeln ob da irgendwo steht "Alle IP Adressen" und aendere das auf die dedizierte IP.


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.galileocomputing.de/3276?GPP=MarcGrote

    Donnerstag, 13. Februar 2014 07:40
    Moderator
  • OT: Joggen ist super, aber um 5:30 ist hart. Ich bevorzuge etwas mehr Licht im Wald...   ;-)

    Wenn ich Dich richtig verstehe, soll ich alle Weblistener danach untersuchen, ob bei einem keine einzelne IP (von den vielen vorhandenen) ausgewählt wurde, richtig?


    Grüße/Regards, Jens Klein

    Donnerstag, 13. Februar 2014 07:44
  • alle Web-Listener bis auf einen haben individuelle IPs hinterlegt.

    Werde klären, ob das so sein muss und berichten was heraus gekommen ist.

    Danke schon einmal für die Hinweise!


    Grüße/Regards, Jens Klein

    Donnerstag, 13. Februar 2014 09:11
  • Frag nicht! :-)


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

    Donnerstag, 13. Februar 2014 10:10
  • Alle Weblistener haben jetzt dedizierte IPs -> keine Änderung, Problem bleibt bestehen.

    Weitere Ideen?


    Grüße/Regards, Jens Klein

    Donnerstag, 13. Februar 2014 21:51
  • kb2888049 deinstalliert, Problem bleibt (trotz Neustart) bestehen.

    Was kann ich noch versuchen?


    Grüße/Regards, Jens Klein

    Donnerstag, 13. Februar 2014 21:52
  • hm - hast du andere serververöffentlichungen die funktionieren?

    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|

    Samstag, 15. Februar 2014 17:04
  • Problem-Lösung:

    Es fehlte die NAT-Routingregel, in der die Verbindung zw. der externen IP-Adr. und dem Ziel Extern hergestellt wird...

    Siehe auch:

    http://www.isaserver.org/articles-tutorials/configuration-general/Configuring-One-to-One-NAT-TMG-2010.html

    Danke für Eure Unterstützung.


    Grüße/Regards, Jens Klein


    • Als Antwort markiert Jens Klein_ Montag, 3. März 2014 11:00
    • Bearbeitet Jens Klein_ Montag, 3. März 2014 11:06 Ergänzung
    Montag, 3. März 2014 10:59