none
Forefront TMG Quell-Ip Adresse gespooft. 0xc0040014 RRS feed

  • Frage

  • Hey Leute ich habe mit folgendem Netz folgendes Problem:

    Habe zurzeit 2 Server laufen (einen für die Firewall und einen für die Domäne).

    Alle sind derweil über einen switch verbunden, der TMG Server soll das Internet für den anderen Server und die Clients zur verfügung stellen.

    Das Problem: Ich bekomme auf dem TMG-Server folgende Fehlermeldung, wenn ich auf einem Client versuche auf das Internet zuzugreifen: Ein Paket wurde verworfen, weil von Forefront TMG ermittelt wurde, dass die Qell-Ip-Adresse gespooft ist. (Fehlercode 0xc0040014)

    Windows Updates sind keine nach der Installation gemacht worden, da es zuvor zu Fehlern geführt hat.

    IP-Adressen des TMG (Netzwerkkartenkonfiguration):

    Intern:

    IP-Adresse: 192.168.0.1    DNS: 192.168.0.254    Gateway: 192.168.0.254  (Diese Verbindung hat keine Probleme, der Rechner ist in der Domäne und hat auch sonst keine Probleme mit dem anderen Server).

    Extern:

    IP-Adresse: 192.168.253.8   DNS: 192.168.253.2     Gateway: 192.168.253.2 (Die Internetverbindung funktioniert auf dem TMG, jedoch nur wenn der proxxy nicht benutzt wird).

    So ich hoffe damit könnt ihr was anfangen ;-).


    • Bearbeitet Max Lau Montag, 19. März 2012 10:20
    Montag, 19. März 2012 10:20

Alle Antworten

  • Hi,

    INTERN: Kein Gateway
    EXTERN: Kein DNS setzen.
    Am besten hiermit abgleichen:
    http://social.technet.microsoft.com/wiki/contents/articles/recommended-network-adapter-configuration-for-forefront-tmg-standard-edition-servers.aspx


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Montag, 19. März 2012 13:26
    Moderator
  • Ok die Einstellungen hab ich jetzt so vorgenommen, nur weiß ich leider nicht wo ich:

    • "Client for Microsoft Networks binding – Disabled  
    • File and Print Sharing for Microsoft Networks binding – Disabled*
    • Register this connection’s address in DNS – Disabled
    • Enable LMHOSTS Lookup – Disabled
    • NetBIOS over TCP/IP – Disabled"

    diese Einstellungen finden kann. Sry hab nicht so viel Erfahrung mit dem ganzen Kram ^^.

    Übrigens hab ich jetzt ein neues Problem:

    Ich habe einen Rechner zwichen dem Internet und Intranet, welcher vor dem TMG hängt. Ich kann weder eine Remoteverbindung von diesem Rechner zum TMG aufbauen noch in's Internet kommen solange ich die Verbindung zum Internen Netz an habe (Den Netzwekradapter aktiviert/deaktiviert). Dieser Rechner befindet sich nicht in der Domäne und soll das auch nicht.

    Mfg,

    Max Lau

    Mittwoch, 21. März 2012 07:47
  • Hi,

    Network and Sharing Center - Change Adapter settings - Adapter auswaehlen - Properties und IPv4 auswaehlen und auf Erweitert klicken

    Du hast einen Rechner der zwischen dem Internet und dem Intranet haengt der vor dem TMG steht? Wenn der vor dem TMG steht steht der Client doch im "Internet"?! Wenn Du von dem Client zum TMG per RDP drauf willst, musst Du am TMG Server eine nicht Webserver Protokollveroeffentlichungsregel fuer das Protokoll RDP-Server erstellen.
    Wenn der Client vor dem TMG steht und keine Internet Verbindung hat vermute ich falsche DNS Server / IP-Adresseinstellungen / Gatewayeinstellungen


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Mittwoch, 21. März 2012 08:08
    Moderator
  • Thx ich schau mir mal die Einstellungen an, obwohl ich da ja schon geschaut hab.

    Mal sehn ob ich nen kleinen Netzplan entwerfen kann das dürfte die Sache sehr erleichtern.

    so hier der Netzplan, hatte leider kein Visio zur Hand. ^^


    • Bearbeitet Max Lau Donnerstag, 22. März 2012 07:50
    Mittwoch, 21. März 2012 08:15
  • Hi Max,

    das hört sich nach einem ähnlichen Problem an, wie wir haben / hatten. Siehe hier

    Nach dem du auf dern Internen NIC, wie Marc vorschlägt,  das Gateway ausgetragen hast, solltest du auf jeden Fall prüfen ob die Pakete an der TMG auf der Externen IP ankommen.

    Alternativ kannst du an einem Client die TMG als Gateway eintragen (mit der entsprechenden Firewallrichtlinine an der TMG konfiguriert) und schauen ob das dann funktioniert.

    Gruß

    Para el Mundo

    Mittwoch, 21. März 2012 08:59
  • Hey,

    ich werde mich heute erstmal um den Rechner vor dem TMG kümmern, morgen bekomme ich verstärkung =), wie vorgeschlagen werde ich mal die DNS und Gateway Einstellungen prüfen. Über "nicht Webserver Protokollveröffentlichungsregel für das Protokoll RDP-Server" werde ich mich auch nochmal erkundigen.

    EDIT: Hier die momentane Konfiguration des Rechners VOR dem TMG:

    Mfg,

    Max Lau


    • Bearbeitet Max Lau Mittwoch, 21. März 2012 12:05
    Mittwoch, 21. März 2012 09:46
  • Ok leutz das 1. Problem mit dem Internet wäre gelößt: Habe in der Ip-Konfiguration unter erweitert die Schnittstellenmetrik angepasst  (Intern auf 8000 und extern auf 7000).
    Mittwoch, 21. März 2012 11:48
  • Hallo, also ich bin dann die Verstärkung.

    Hi Max,

    das hört sich nach einem ähnlichen Problem an, wie wir haben / hatten. Siehe hier

    Nach dem du auf dern Internen NIC, wie Marc vorschlägt,  das Gateway ausgetragen hast, solltest du auf jeden Fall prüfen ob die Pakete an der TMG auf der Externen IP ankommen.

    Alternativ kannst du an einem Client die TMG als Gateway eintragen (mit der entsprechenden Firewallrichtlinine an der TMG konfiguriert) und schauen ob das dann funktioniert.

    Gruß

    Para el Mundo

    Um das Problem noch einmal zu präzisieren. Wir haben einen ISA und einen RIS Server. Der RIS dient allgemein als DHCP / DNS für das Interne Netzwerk, das läuft soweit eigentlich auch. (Wobei wir bei der Namensuaflösung beim ISA z.B. trotzdem probleme haben?!?!?!?!). Der TMG ist derzeit so eingestellt, dass er jeglichen Datenverkehr egal ob intern, extern oder lokalhost erlaubt. Steht ganz oben, erste Regel also sollte diese ja vor allen anderen geltend gemacht sein. Der TMG selber erhält von der Eumex internet, dennoch blockt er die Anfragen bzw Pakete von den Usern. Wir haben mal mit geschnitten und die Pakete kommen zwar beim TMG von dem Client an, allerdings wirds direkt verworfen. Ein Ping auf den Client war ebenfalls nicht möglich, der RIS allerdings kann gepingt werden. Die clients selber können den Isa nicht pingen, aber der RIS kann dieses wiederum. Nun ist die Frage WIESO, wenn der ISA ja bereits Internet hat, verwirft er es und erlaubt es nicht zu den Clients, wenn eigentlich jeglicher Datenverkehr verboten ist. Die IP für Extern müsste ja sowieso stimmen, da wir sonst kein Internet hätten. Dennoch wundere ich mich darüber, wieso wir intern nicht einmal pingen können? Unser einziger Anhaltspunkt ist eben die gespoofte IP, weil diese Meldung beim Mitsniffen des TMGs kam. Irgendjemand noch einen Tipp für uns? Liebe Grüße Nicole und Max
    Donnerstag, 22. März 2012 07:59
  • Hallo Nicole, Hallo Max,

    gespoofte IPs sind eigentlich in den meisten Fällen ein Zeichen, dass die Netzwerkdefinition am ISA/TMG nicht sauber ist.

    Könnt ihr das mal überprüfen? (sehr gute Anleitung von Marc: http://www.isaserver.org/tutorials/isa-server-2006-network-templates.html )

    In eurem Fall müsste für das Interne Netzwerk vermutlich (annahme aufgrund der initialen Anfrage ;-) ) folgender Bereich definiert sein: 192.168.0.0-192.168.0.255

    ?

    lg aus Österreich,

    Markus


    SecureGUARD GmbH ( http://www.secureguard.at )

    Mittwoch, 28. März 2012 12:06
  • Soo jep das Problem ist gelöst ich habe alles mal ausprobiert nur leider hat es nichts geholfen. Letztendlich lags daran:

    Die Ip-Adressen (Einstellungen) wurden so oft anders Eingestellt, dass nachher nichtsmehr richtig funktioniert hat, durch rausziehen und wieder reinstecken der Kabel lief es.

    Mfg,

    Max Lau


    • Als Antwort markiert Max Lau Donnerstag, 3. Mai 2012 06:13
    • Bearbeitet Max Lau Donnerstag, 3. Mai 2012 06:14
    • Tag als Antwort aufgehoben Marc.GroteModerator Donnerstag, 3. Mai 2012 06:57
    Donnerstag, 3. Mai 2012 06:13
  • Hi,

    rein und rausziehen der Kabel hat geholfen?
    Kannst Du das etwas naeher erklaeren?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Donnerstag, 3. Mai 2012 06:58
    Moderator