none
TMG 2010 - Netzwerk trotz Netzwerkregel und Co. nicht zu erreichen RRS feed

  • Frage

  • Hallo Zusammen!

    Ich habe mal wieder ein Problem / mehrere Probleme mit meinem TMG.

    Kurze Erläuterung zum Umfeld:

    - Das TMG besitzt drei NICs (Intern, DMZ, Intra-Array)

    - Das Interne Netz geht von 172.31.100.0/24 - 172.31.119.0/24 - ingesamt 19 Subnetze

    - Im 100er Netz steht ein Router der eine VPN Verbindung zu einem externen Dienstleister aufbaut

    - Netz des Dienstleisters das über diesen Router erreicht wird/werden soll hat die 172.20.0.0/16

    Soviel zum Umfeld.

    Was ich bis jetzt gemacht habe:

    - Über die neue Funktion des TMG Folgende Route eingetragen: 172.20.0.0 | 255.255.0.0 | 172.31.100.20

    - Ein neues Netzwerk erstellt "Externer Dienstleister"

    - Diesem Netzwerk die IP Range 172.20.0.0 - 172.20.255.255 zugeteilt

    - Eine Netzwerkregel erstellt "Beziehung: Route | Quelle: Intern | Ziel: Externer Dienstleister"

    - Eine Zugriffsregel erstellt die den gesamten Datenverkehr zu und von diesem Netz erlaubt

     

    Mein Problem ist (wie man sich jetzt schon denken kann), dass ich keine Verbindung in das externe Netz bekomme. Kein Ping,tracert etc. möglich. Wenn ich mir den Spaß im Protokoll anschaue, sieht man nur "Ein Paket wurde verworfen, weil die IP-Zieladresse nicht erreichbar ist."

    Ich habe testweise die Range des externen Netzes mal in das Netzwerk "Intern" aufgenommen(vorher das Netzwerk "Externer Dienstleister" gelöscht), dann funktioniert die Verbindung wunderbar. Sobald ich es wieder umstelle, geht gar nichts mehr zwischen diesen Netzen. Muss ich sonst noch irgendwo was eintragen oder geht das einfach nicht so, wie ich mir das vorstelle?

    Gruß,

    Tobias

    Donnerstag, 21. April 2011 11:20

Antworten

  • Hi,

    das geht deshalb nicht, weil Dein Router schon im Netzwerk Intern enthalten ist. Deswegen schlaegt das Routing/Firewalling ISA/TMG technisch fehl. Du musst die Konstellation also so lassen oder den Router in einen IP Kreis packen, welcher nicht im Netzwerk Intern enthalten ist und darueber mit einer statischen Route arbeiten.


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort markiert Tobias.Br Freitag, 22. April 2011 09:01
    Donnerstag, 21. April 2011 11:33
    Moderator

Alle Antworten

  • Hi,

    das geht deshalb nicht, weil Dein Router schon im Netzwerk Intern enthalten ist. Deswegen schlaegt das Routing/Firewalling ISA/TMG technisch fehl. Du musst die Konstellation also so lassen oder den Router in einen IP Kreis packen, welcher nicht im Netzwerk Intern enthalten ist und darueber mit einer statischen Route arbeiten.


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de
    • Als Antwort markiert Tobias.Br Freitag, 22. April 2011 09:01
    Donnerstag, 21. April 2011 11:33
    Moderator
  • Hi Tobias,

    guckst du hier :-)

    http://www.msisafaq.de/Anleitungen/TMG/Konfiguration/2ndVPNGw.htm

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Donnerstag, 21. April 2011 11:50
    Moderator
  • so seh ich das auch! die netze beissen sich und müssen klar ip-technisch voneinander getrennt laufen.
    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Donnerstag, 21. April 2011 12:27
  • Hmm...bitter :-/ Auch wenn ich gestehen muss, dass ich das nicht zu 100% verstehe. Ich müsste den Router in ein Netz hängen, welches nicht als"Intern" definiert ist, dann würde es funktionieren? Beispielsweise wenn der Router im Netzwerk "Umkreis" zu finden wäre, könnte ich mir ein Netz erstellen und auch so darauf zugreifen wie ich das möchte?
    Donnerstag, 21. April 2011 13:37
  • Hallo Tobias,

    nicht unbedingt wie ich dir ja schon hiermit http://www.msisafaq.de/Anleitungen/TMG/Konfiguration/2ndVPNGw.htm genannt habe.

    Wenn du den Router in eine DMZ stellst, dann funktioniert das mit der Route wieder. Das Remotenetzwerk muss dann mit in den Adressbereich der DMZ aufgenommen werden.

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Donnerstag, 21. April 2011 13:46
    Moderator
  • Ok, ich glaube jetzt hat's klick gemacht :-)

    Nochmals vielen Dank!
    Donnerstag, 21. April 2011 13:57