locked
TMG 2010 "Spoofing packet dropped" mit APN Netzwerk RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    nach langem Suchen stelle ich meine Frage hier ein.

    Unsere externen Mitarbeitern sind mit Endgeräten (Smartphones, Notebooks) mit unserem Netzwerk verbunden über ein T-Mobile APN (IPSEC) Netzwerk.

    Intern verwenden wir folgende IP Range: 192.168.1.0 - 192.168.1.254

    die externen Geräte bekommen von T-Mobile eine fixe IP zugewiesen in der Range: 192.168.100.1 - 192.168.103.248

    Die externen Geräte können mit den Domain-Controllern sowie (1.19; 1.29) den DNS Servern (1.19; 1.29) ohne Probleme kommunizieren. Der Datenbankabgleich mit dem SQL Server klappt ohne Probleme. Auch Exchange Zugriff ist kein Problem.

    Leider klappt's aber mit dem Surfen nicht. Der TMG (1.21) ist vice-versa weder pingbar, noch erreichbar. In der Protokollierung sieht es mit einem Beispielgerät (SIM Karte ist in einem Notebook) folgendermaßen aus:

    Was kann man beim TMG weiter einstellen, damit die Pakete nicht als spoof verworfen werden?

    vielen Dank für die Info

    Dienstag, 11. September 2012 12:28

Alle Antworten

  • Discussion
    Anmelden
    1
    Anmelden

    Hi,

    TMG verweigert das Datenpaket mit der Anzeige "keine Regel", sprich es fehlt dem TMG Server ein Netzwerk / Netzwerkregel um den Traffic dann vom Firewallregelwerk evaluieren zu lassen.
    du hast mehrere Moeglichkeiten:
    1) neues Netzwerk fuer den IP Addressbereich des T-Mobile APN erstellen und fuer das neue Netzwerk eine Netzwerkregel vom TypNAT nach EXTERN zu erstellen. basierend darauf kannst Du dann Firewallregeln erstellen
    http://technet.microsoft.com/en-us/library/bb794774.aspx
    2) Network behind a network. Fuege den T-Mobile APN IP Adressbereich zum Netzwerk INTERNAL hinzu:
    http://www.isaserver.org/articles/2004netinnet.html

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Dienstag, 11. September 2012 12:58
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    Vielen Dank für die Hilfe. Möglichkeit 1 hatte ich bereits implementiert und mithilfe des Technet Artikels nochmals neu erstellt. Leider kein Erfolg damit.

    Aber Möglichkeit 2 hat eingeschlagen. Das hat sofort geklappt. Dass es so einfach wäre, habe ich nicht vermutet.

    Danke nochmal!

    Mittwoch, 12. September 2012 14:26