locked
Android / iOS hinter Forefront TMG RRS feed

  • Frage

  • Hallo zusammen,

    ich bin neu hier im Forum und arbeite derzeit an einem Test in meiner Firma, wo ich Forefront TMG als Proxy & Firewall teste.
    Besonderes Augenmerk liegt hierbei auf dem Bereich der mobilen Geräte. Bis jetzt funktioniert alles ganz gut, die Geräte (Android oder IPhone) können über den Proxy im Internet surfen, auf den entsprechenden Store zugreifen und auch Apps laden. Die Benutzerauthentifizierung ist dabei deaktiviert (Regel erlaubt alle Benutzer), somit sind die Geräte als SecureNAT Clients verbunden.

    Das Problem ist nun, dass keine Push-Nachrichten auf den Geräten ankommen. Ich habe bereits Ports wie 5223 oder 5228 freigegeben, welche Google und Apple für Push verwenden, allerdings kommt leider nichts an.
    Interessant ist, dass Push von z.B. der Mydealz App ankommen (möglicherweise gehen diese über Port 80)?!

    Zur Zeit komme ich leider nicht weiter und bitte euch um Hilfe? Habt ihr Ideen, was ich noch konfigurieren muss?

    Ich bin dankbar für alle Tipps ;)

    Donnerstag, 6. September 2012 08:21

Alle Antworten

  • Hi,

    im englischen Forefront Forum konnte Dir bisher keiner helfen?

    Zu Deiner Frage:
    Damit der Apple Push Notification Service auf Port 5228 funktioniert musst Du am TMG eine Firewallregel erstellen:
    Von MOBILE-DEVICES nach EXTERN oder gateway.push.apple.com fuer den Port 5228 TCP/UDP fuer Alle Benutzer.
    Du kannst im TMG Live Logging sehen, ob der TMG den Request von den Mobile Phones erlaubt oder verweigert:
    http://technet.microsoft.com/en-us/library/bb794937.aspx
    Die Mobile Devices sind wirklich SecureNAT Clients? (Du schriebst nur Authenti. ist aus, somit sind die SecureNAT Clients):
    http://technet.microsoft.com/en-us/library/bb794762.aspx


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Donnerstag, 6. September 2012 10:26
  • Hi,

    vielen Dank zuerst mal für die schnelle Antwort. Nein, bis jetzt habe ich da im englischen Forum noch keine Antwort bekommen.

    Ich werde den von dir beschriebenen Weg einmal ausprobieren und mir die Logs anschauen. Danke auch für den Link :)
    Bezüglich der SecureNAT Clients bin ich mir nicht ganz sicher. Aber es kann gut sein, dass ich falsch lag.
    Da man im Smartphone ja einen Proxy einträgt (und keine Authenti. erfolgen muss), müsste es ja ein Webproxy-Client sein, da er sonst als Standardgateway eingetragen würde. 

    Ich werde es nochmal versuchen und das Ergebnis hier berichten!

    Donnerstag, 6. September 2012 11:33
  • Hallo,

    mittlerweile habe ich einige Tests versucht, bin aber leider ziemlich verwirrt :-/

    Als erstes habe ich eine Firewall-Regel erstellt, wie Marc.Grote oben beschrieben hat. Bei einem Test mit einem IPhone hat Push dann auch funktioniert *freu* :)
    Allerdings war zum selben Zeitpunkt auch noch eine zweite Regel (eine Position dahinter) aktiv, welche ALLEN ausgehenden Datenverkehr zulässt. Als ich dann die erste Regel (s.o.) deaktiviert habe, ging Push immer noch. Ist ja eig auch logisch wenn sämtlicher Datenverkehr zugelassen ist.

    Hinzu kommt aber, dass z.B. bei Android kein Push funktioniert hat, egal welche Regel aktiv war (getestet habe ich das mit Google Mail).
    Ich habe dann folgenden Foreneintrag gefunden, welcher mir sehr hilfreich erschien:
    http://www.matrix42.com/forum/viewtopic.php?f=123&t=11589

    Als ich aber auch diese Konfiguration übernommen hatte, ging Push bei Android immer noch nicht.

    Hinzu kommt, dass bei dem Test mit dem IPhone keine Mails über die Standard Mail App abgerufen werden konnten, da keine Verbindung aufgebaut wurde. Und das, obwohl Push zu diesem Zeitpunkt funktioniert hat und sämtlicher ausgehender Datenverkehr zugelassen war.

    Irgendwie kann ich mir auf die ganze Sache keinen Reim machen. Ich erkenne einfach keine wirkliche Logik, welche Regel den Fehler verursacht.

    Die einzige geblockte Verbindung, die ich im Live-Logging während der Tests sehen konnte, war "Ein Nicht-SYN-Paket wurde verworfen, weil es von einer Quelle gesendet wurde, die über keine vorhandene Verbindung mit dem Forefront TMG-Computer verfügt."
    Bei Regel steht dort: Keine - siehe Ergebniscode

    Somit kann ich überhaupt nicht feststellen, welche Regel falsch konfiguriert sein könnte...

    Ich hoffe, jemand hat vllt. noch eine Idee, die mir helfen könnte. Mit raucht gerade ziemlich der Kopf ;)


    Gruß ST_Jan

    Donnerstag, 6. September 2012 14:40
  • Hi,

    also die neu erstellte Regel fuer Apple an lassen, die Regel die alles erlaubt loeschen.
    Wegen Android:
    Lt. dem Forum muessen da ja einige Port geoeffnet werden. Diese Ports hast Du auch geoeffnet? Kannst Du mal Deine regel posten!
    Du muesstest mal in Erfajrung bringen ob einer der Ports durch HTTPS getunnelt wird. Wenn ja, musst Du am TMG noch die Tunnel Port Range erweitern. 


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Donnerstag, 6. September 2012 18:02
  • Hi,

    vielen Dank nochmal für die Antwort.

    Ich werde das heute nicht mehr schaffen zu testen. Am Montag bin ich wieder in der Firma und werde mich dann wieder dran setzten.
    Kann auch dann mal ein Screenshot von der Regel posten.
    Zu der Sache mit Android:
    Ja, die Ports die auf der verlinkten Seite aufgeführt waren, habe ich alle geöffnet. Möglich, dass mir dabei noch ein Fehler unterlaufen ist ;)

    Werde mich dann nächste Woche nochmal melden!

    In diesem Sinne vielen Dank und ein schönes Wochenende :)


    Gruß ST_Jan

    Freitag, 7. September 2012 13:39
  • Hi,

    zuerst mal einen guten Start in die Woche :)

    Also zum Thema: Ich habe mal die neu erstellte Regel für Apple / Android stehenlassen und die alles erlauben gelöscht. Die andere Regel erlaubt nur http/https Zugriff. So funktionieren über das WLAN schon mal Apps wie z.B. facebook oder amazon ohne Probleme. Auch die Mails per Gmail lassen sich manuell abrufen (Android).
    Am IPhone kommen auch Push-Nachrichten von facebook an, aber z.B. nicht von WhatsApp. Über das Android Gerät habe ich noch gar kein Push bekommen :/

    Bezgl. des Tunnel Port Range: Wie kann ich am besten feststellen, ob einer dieser Ports über https getunnelt wird? Im Internet finde ich leider nichts dazu.
    Was ich im Live-Log sehe ist, dass fast alle Anforderungen an google, amazon, facebook etc. über SSL getunnelt werden, da hinter der URL :443 steht. Aber da die Default Tunnel Port Range ja 443 (SSL) und 563 (NNTP) enthält, geht das auch durch.
    Inwiefern müsste ich den TPR denn noch erweitern?

    Ich hänge gleich noch ein paar Screenshots von meinen Regeln an...ich hoffe, ihr habt noch Ideen.
    Man erkennt in dem Live-Log (siehe nächster Post) z.B. wie die SSH-Tunnel Verbindungen zugelassen werden, aber auch eine seltsame rote Verbindung, welche verweigert wird und ich weiß nicht wirklich, was diese zu bedeuten hat.

    Es muss dafür doch eine Möglichkeit geben, wenn man TMG nutzt, mobile Devices zum Pushen zu bewegen?!



    Gruß ST_Jan

    Montag, 10. September 2012 12:21
  • So, hier nun noch die anderen zwei Screenshots:



    Gruß ST_Jan

    Montag, 10. September 2012 12:22
  • Hi,

    wenn die Ports die sind die Du brauchst dann sieht das gut aus.
    Bei den Firewallregeln hast Du bei NACH "Extern" und den Domain Name Set angegeben. "Extern" enthaelt somit schon alle externen Ziele und der Domain Name Set ist ueberfluessig, bzw. im Umkehrschluss solltest Du "Extern" entfernen, wenn Du den Zugriff der Geraete auf den Domain Name Set beschraenken willst


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Montag, 10. September 2012 12:55
  • Hi,

    >> Man erkennt in dem Live-Log (siehe nächster Post) z.B. wie die SSH-Tunnel Verbindungen zugelassen werden

    SSH Tunnel? Erlaubst Du auch SSH?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Montag, 10. September 2012 13:10
  • Hi,

    danke für die schnelle Reaktion. Da bin ich ja schon mal beruhigt, dass nicht schlecht aussieht.

    Ja, normalerweise reicht EXTERN dann aus. Zur Zeit sind eh nur Testgeräte, die diesen Proxy verwenden, somit werde ich den Domain Name Set wieder rausnehmen...die Beschränkung muss nicht sein. Ich dachte, es funktioniert evtl. besser wenn die URLs direkt angegeben werden.

    Sorry, Tippfehler! Ich meinte SSL-Tunnel. So wie im Screenshot zu sehen. SSH erlaube ich nicht!

    Ich habe eben noch rausgefunden, dass Google scheinbar GTalk über Port 5228 TCP/UDP auch für Push Notifications nutzt. Allerdings kann ich mich in der Google Talk nicht anmelden oder etwas verschicken. Store etc. funktioniert aber.
    Somit gilt es rauszufinden, woran das nun liegt, vielleicht geht dann auch Push?! Wäre zumindest mal logisch ;)


    Gruß ST_Jan

    Montag, 10. September 2012 13:31
  • Hallo,

    sorry, dass es länger keine Antwort mehr gab.

    Also ich bin leider zu keinem (positivem) Ergebnis gekommen. Da dieses Problem teil eines Projektes war, konnte ich mich damit nicht mehr länger beschäftigen, da es irgendwann zu zeitaufwändig war.

    Ich habe alles was Marc Grote oben geschrieben hat getestet (vielen Dank dafür!) und auch alle relevanten Google-Ports freigegeben. Leider ohne wirklichen Erfolg. Der letzte Stand war, dass zwar Play Store und App Downloads möglich waren, aber keine Nutzung von GTalk und damit auch Push-Notifications. Es scheint, als würden beide Dienste denselben Port benötigen.

    Letztlich nehme ich an, dass es an der fehlenden nativen Proxy-Unterstützung bei Android liegt. Mit iOS Geräten hat Push funktioniert. Android übernimmt die Proxy-Settings einfach nicht systemweit.

    Bei diesem Stand habe ich aufgehört. Wenn noch jemand eine Idee hat, welche ich evtl. übersehen habe, wäre ich dankbar. Ansonsten wird man wohl auf eine Android Version warten müssen, welche diese Funktion mitbringt ;)

    In diesem Sinne wünsche ich eine schönes Wochenende!


    Gruß ST_Jan

    Freitag, 28. September 2012 13:08