locked
NAT-Netzwerkregel wird in beide Richtungen geprüft? RRS feed

  • Frage

  • Hallo,

    NAT-Netzwerkregeln sind ja Unidirektional. Werde Sie trotzdem in beide Richtungen geprüft?

    Ich habe folgendes gegeben:
    Umkreis(172.31.x.x) , Intern (192.168.x.x)
    NAT-Regel: Intern->Umkreis und danach Umkreis->Intern
    Firewall-Regeln für den Zugriff von Intern nach Umkreis und andersherum...

    Der Zugriff von Intern nach Umkreis klappt, aber von Umkreis nach Intern nicht (laut Protokoll: Keine passende Netzwerkregel)
    Im Protokoll der Datenverkehrssimulation finde ich dann auch den Grund:
    Er findet die Netzwerkregel Intern-Umkreis --> passt nicht
    Er wertet für diese Regel die umgekehrte Richtung aus -> passt
    Da die umgekehrte NAT-Regel passt wird der Datenverkehr verweigert...

    Wieso prüft er nicht weiter ob es was passenderes gibt?

    Wenn ich die Netzwerkregel tausche klappt natürlich der Zugriff Umkreis->Intern, aber andersrum nicht mehr...

    Hat jmd eine Idee, wie ich dieses Problem lösen kann?

    Danke!


    Donnerstag, 16. August 2012 10:30

Alle Antworten

  • Hi,

    ich denke da stimmt etwas nicht mit Deiner Netzwerkkonfiguration und/oder der TMG Netzwerkkonfiguration. Normalerweise ist es moeglich unterschedliche Netzwerkregeln vom Typ NAT und ROUTE zu erstellen und TMG erkennt anhand des Quell- bzw. Ziel IP-Adressbereich / Subnetz welche Netzwerkregel verwendet werden soll.

    Kannst Du Deine Netzwerkkonfiguration (Windows/TMG/Routen) mal posten


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Donnerstag, 16. August 2012 16:40
  • Hier die Netzwerkkonfig:

    Forefront TMGWindows & Routen

    Freitag, 17. August 2012 06:11
  • Hi,

    die Netzwerkregeln sind OK, Fragen habe ich zu den Persistent Routes:
    Zwei Default Gateways? Das 31.0.254 liegt auf dem DMZ Adapter?! Eigentlich brauchst Du hier kein Gateway. Was ist das Gateway 31.0.252?
    IP Adressbereich 10.0.0.0 ist welches Netz? Die 16.0.254 ist das Default Gateway am Externen Adapter des TMG?


    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    Freitag, 17. August 2012 12:13
  • Forefront dient als Back-Firewall und die DMZ ist ein Perimeter-Netzwerk... also zwischen Internet und Intern...
    Deshalb ist 31.0.254 Default-Gateway vom DMZ-Adapter... sieht man ja auch in den Netzwerkeinstellungen des Adapters...
    is nen einfaches Kabelmodem für den Internetzugang...

    31.0.252 ist ein Router welches in das 10.0.0.0 Netz routet... ist ein geschlossenes extra angebundenes externes Netz...

    die 16.0.254 muss ich mal raus nehmen, das ist/war nen Router für einen 2ten Internetzugang als Failover...  der muss ja in einem anderen Netz stehen...
    Hatte auch funktioniert, nur leider bin ich nicht mehr ins 10.0.0.0 Netz gekommen, da er immer versucht hat über die 
    16.0.254 raus zu gehen... ist aber eine andere Baustelle und das eigentliche Problem von oben bestand bereits, bevor ich dies (notgedrungen, aufgrund eines Ausfalls) eingerichtet hatte...

    Gruß Quedel

    Samstag, 18. August 2012 09:24
  • leider nein...
    Mittwoch, 29. August 2012 12:15