none
Windows SBS 2008 spielt Router im Netzwerk RRS feed

  • Frage

  • Hallo,

    Ich verteile in einem kleinen Firmennetzwerk IP-Adressen per DHCP.
    Bis vor kurzem durften die Client-PCs noch über den Internet-Router im WWW Sufen. Jetzt habe ich jedoch einen HTTP-Proxy auf dem Server installiert und per GPO auf die Clients verteilt. Auf dem Internetrouter habe ich nur noch die Kommunikation zum Server erlaubt. Außerdem verteilt der DHCP-Server als Gateway nun nicht mehr die IP vom Internet-Router sondern die vom Server. Hat auch alles super geklappt. Nun mußte ich jedoch feststellen, dass der Server die Webanfragen an den Internet-Router weiterleitet und die Clients nach wie vor ohne Proxy (z.B. mit Firefox) surfen können. Wie verbiete ich dem Server diese Relayfunktion. Per Traceroute sieht man genau: PC -> Server -> Inet-Router -> Google :(

    Samstag, 5. März 2011 20:57

Antworten

  • Hi Unbekannter (<-- weiterhin unhöflich)
     
    wer nicht zu dem stehen kann, was er schreibt und damit mit seinem guten
    Namen bürgen kann, verhält sich in meinen Augen nicht redlich.
     
     
    > vielen Dank für den Hinweis, ich lüge ungern Leute an und möchte meinen
    > echten
    > Namen nicht preisgeben. Aber das ist wohl eher OT.
    >
    > Ich verstehe aber nicht was dein fachlicher Kommentar mit meinem Problem
    > zu tun hat.
    > Habe ich das richtig verstanden?
    > SBS-Internet-Firewall/Proxy-Clients
    > Ist hier der SBS in DMZ oder müssen die Clients mit dem Server über das
    > Internet
    > kommunizieren?
    >
    > "Proxy auf dem SBS wird nicht unterstützt" Du meinst der Proxy ist für das
    > Fehlverhalten
    > verantwortlich? Das wäre ja mal schlecht ... schnell runter damit
     
    leider lässt sich es hier nicht so text-grafisch (die Forensoftware
    "verschlingt" die Leerzeichen) darstellen, wie ich mir das vorgestellt
    habe - jedoch ist nicht der SBS direkt am Internet angeschlossen, sondern
    (wie die Clients auch) lediglich am internen LAN-Switch.
     
    Der zentraler Zugriffpunkt bildet hingegen ein dediziertes
    Firewall/Proxy-Gateway, das mit 2 Netzwerkkarten (2 NICs - deswegen kann ein
    SBS 2008 dieses nicht übernehmen, da nur eine NIC supportet ist, s.
    http://blogs.technet.com/b/sbs/archive/2008/09/16/sbs-2008-supported-networking-topology.aspx)
    jeweils zwischen LAN-Switch und dem Internet(-Router) als alleiniger
    "Türsteher" vermittelt.
     
    Vereinfacht also so:
     
    Internet--Firewall/Proxy--Switch--Clients/SBS
     
    Grob vergleichbar hiermit:
    http://blogs.technet.com/blogfiles/sbs/WindowsLiveWriter/SBS2008SupportedNetworkingTopology_CFE4/image_thumb.png
     
    Nun klarer?
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Sonntag, 6. März 2011 12:49

Alle Antworten

  • Hi <realname please>
     
    Vorab: Es gehört weiterhin zum guten Ton, sich namentlich vorzustellen.
     
     
    > Ich verteile in einem kleinen Firmennetzwerk IP-Adressen per DHCP.
    > Bis vor kurzem durften die Client-PCs noch über den Internet-Router im WWW
    > Sufen.
    > Jetzt habe ich jedoch einen HTTP-Proxy auf dem Server installiert und per
    > GPO auf
    > die Clients verteilt. Auf dem Internetrouter habe ich nur noch die
    > Kommunikation zum
    > Server erlaubt. Außerdem verteilt der DHCP-Server als Gateway nun nicht
    > mehr die
    > IP vom Internet-Router sondern die vom Server. Hat auch alles super
    > geklappt. Nun
    > mußte ich jedoch feststellen, dass der Server die Webanfragen an den
    > Internet-Router
    > weiterleitet und die Clients nach wie vor ohne Proxy (z.B. mit Firefox)
    > surfen können.
    > Wie verbiete ich dem Server diese Relayfunktion. Per Traceroute sieht man
    > genau:
    > PC -> Server -> Inet-Router -> Google :(
     
    Sicherheit darüber, dass alles durch Deinen Proxy/Firewall/Gateway geht
    erlangst Du lediglich durch folgende Konstellation:
     
    Internet--Firewall/Proxy--Switch--Clients
    |
    SBS
     
    Ein Proxy auf einem SBS 2008 (Single NIC only) ist 1. vermutlich nicht
    supportet und 2. keine Sicherheit/Lösung
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Samstag, 5. März 2011 21:36
  • Hallo Tobias,

    vielen Dank für den Hinweis, ich lüge ungern Leute an und möchte meinen echten Namen nicht preisgeben. Aber das ist wohl eher OT.

    Ich verstehe aber nicht was dein fachlicher Kommentar mit meinem Problem zu tun hat. Habe ich das richtig verstanden?
    SBS-Internet-Firewall/Proxy-Clients
    Ist hier der SBS in DMZ oder müssen die Clients mit dem Server über das Internet kommunizieren?

    "Proxy auf dem SBS wird nicht unterstützt" Du meinst der Proxy ist für das Fehlverhalten verantwortlich? Das wäre ja mal schlecht ... schnell runter damit

    Sonntag, 6. März 2011 00:56
  • Hi Unbekannter (<-- weiterhin unhöflich)
     
    wer nicht zu dem stehen kann, was er schreibt und damit mit seinem guten
    Namen bürgen kann, verhält sich in meinen Augen nicht redlich.
     
     
    > vielen Dank für den Hinweis, ich lüge ungern Leute an und möchte meinen
    > echten
    > Namen nicht preisgeben. Aber das ist wohl eher OT.
    >
    > Ich verstehe aber nicht was dein fachlicher Kommentar mit meinem Problem
    > zu tun hat.
    > Habe ich das richtig verstanden?
    > SBS-Internet-Firewall/Proxy-Clients
    > Ist hier der SBS in DMZ oder müssen die Clients mit dem Server über das
    > Internet
    > kommunizieren?
    >
    > "Proxy auf dem SBS wird nicht unterstützt" Du meinst der Proxy ist für das
    > Fehlverhalten
    > verantwortlich? Das wäre ja mal schlecht ... schnell runter damit
     
    leider lässt sich es hier nicht so text-grafisch (die Forensoftware
    "verschlingt" die Leerzeichen) darstellen, wie ich mir das vorgestellt
    habe - jedoch ist nicht der SBS direkt am Internet angeschlossen, sondern
    (wie die Clients auch) lediglich am internen LAN-Switch.
     
    Der zentraler Zugriffpunkt bildet hingegen ein dediziertes
    Firewall/Proxy-Gateway, das mit 2 Netzwerkkarten (2 NICs - deswegen kann ein
    SBS 2008 dieses nicht übernehmen, da nur eine NIC supportet ist, s.
    http://blogs.technet.com/b/sbs/archive/2008/09/16/sbs-2008-supported-networking-topology.aspx)
    jeweils zwischen LAN-Switch und dem Internet(-Router) als alleiniger
    "Türsteher" vermittelt.
     
    Vereinfacht also so:
     
    Internet--Firewall/Proxy--Switch--Clients/SBS
     
    Grob vergleichbar hiermit:
    http://blogs.technet.com/blogfiles/sbs/WindowsLiveWriter/SBS2008SupportedNetworkingTopology_CFE4/image_thumb.png
     
    Nun klarer?
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
     
     
     
    Sonntag, 6. März 2011 12:49
  • * sz7779 (Sat, 5 Mar 2011 20:57:07 +0000)

    Bis vor kurzem durften die Client-PCs noch über den Internet-Router im
    WWW Sufen. Jetzt habe ich jedoch einen HTTP-Proxy auf dem Server
    installiert und per GPO auf die Clients verteilt. Auf dem
    Internetrouter habe ich nur noch die Kommunikation zum Server erlaubt.
    Außerdem verteilt der DHCP-Server als Gateway nun nicht mehr die
    IP vom Internet-Router sondern die vom Server. Hat auch alles super
    geklappt. Nun mußte ich jedoch feststellen, dass der Server die
    Webanfragen an den Internet-Router weiterleitet und die Clients nach
    wie vor ohne Proxy (z.B. mit Firefox) surfen können. Wie verbiete ich
    dem Server diese Relayfunktion. Per Traceroute sieht man genau: PC ->
    Server -> Inet-Router -> Google :(

    Okay, 'mal auf Deutsch: du hast deinen Clients gesagt, daß der Server ins Internet routet, auf dem Server hast du Routing (ins Internet) aktiviert und nun hast du festgestellt, daß der Server ins Internet routet und das möchtest du jetzt "verbieten"...?

    Bitte mach dir den Unterschied zwischen Proxy und Routing klar indem du zum Beispiel Wikipedia liest[1]. "Proxy" bedeutet, daß nicht geroutet wird (spezielle Sachen wie Transparent Proxy einmal ausgenommen).

    Die einfachste Methode dies sicherzustellen ist, das Routing auf dem Proxy zu deaktivieren und den Clients kein Default Gateway zu geben.

    Thorsten
    [1] http://de.wikipedia.org/wiki/Proxy_(Rechnernetz)

    Montag, 7. März 2011 10:16