locked
Internes Routing RRS feed

  • Frage

  • Hallo,

    ich habe einen Forefront TMG 2010 mit 2 Netzwerkkarten. Im gleichen Internen Netzwerk steht aber noch ein weiterer Router hinter dem sich ein anderes Subnetz befindet.

    Ich würde gerne das TMG als Default Gateway nutzen, dann kann ich aber das Subnetz hinter dem anderen Router nicht mehr erreichen. Ich müsste also auf allen Clients eine Route setzen oder dem TMG beibringen, das es da noch ein weiteres Netzwerk hinter einem anderen Router gibt.

    An letzterem habe ich mich nun versucht, aber komme nicht so recht weiter.

    Ich habe also dieses Subnetz ebenfalls als Internes Netz im TMG eingetragen und auf dem TMG eine Route dorthin konfiguriert. Dann habe ich in den Netzwerkregeln definiert, das von Intern nach Intern geroutet werden soll und eine Zugriffsregel erstellt das alles von Intern anch Intern erlaubt.

    So klappt es ich wenigstens schon mal Ansatzweise mit der Kommunikation, aber nicht zuverlässig.

    Wie muss man ein solches Scenario am besten konfigurieren, damit der Traffic dann nicht durch die Firewall geht, denn das scheint ja irgendwie immer der Fall zu sein. Ich war der Meinung, das das Routing Protokoll merkt, das da der nächte Hop im eigenen Netzwerk ist und dann direkt das entsprechende Gateway anspricht.

    Würde mich über einen Tipp freuen.

    Vielen Dank im voraus.

    Gruß

    Stefan

    Montag, 12. Juli 2010 12:45

Antworten

  • Hi STefan,

    das Problem, in das du läufst ist, dass die Clients aus dem Netzwerk vor dem Router die Antworten zunächst an den TMG senden und dieser wegen der STatfull-Inspektion die Pakete verwirft.

    Du musst deshalb auf den Clients auch eine Route setzen, am besten per DHCP, dass z.B. die 192.168.1.100 in das Netzwerk 192.168.2.0, welches sich hinter dem Router befindet, weiterroutet. Die Antworten auf die Anfragen der Clients des Netzwerks 192.168.2.0 werden somit nicht über den TMG sondern an den Router 192.168.1.100 gesendet.

    Gruß

    Christian

     


    Christian Groebner MVP Forefront
    • Als Antwort markiert S.Raudi Montag, 12. Juli 2010 14:47
    Montag, 12. Juli 2010 14:26

Alle Antworten

  • Hi Stefan,

    du musst den Netzwerkbereich hinter dem  Router dem Netzwerkobjekt Intern hinzufügen und eine statische Route per Route add -p oder über Vernetztung->Statische Routen auf dem TMG hinzufügen.

    Gruß

    Christian


    Christian Groebner MVP Forefront
    Montag, 12. Juli 2010 13:00
  • Hi,

    schau mal:
    http://www.isaserver.org/articles/2004netinnet.html
    http://www.msisafaq.de/Anleitungen/2004/Konfiguration/Netzwerkkonfiguration.htm


    regards Marc Grote aka Jens Baier - www.nt-faq.de - www.it-training-grote.de - www.forefront-tmg.de
    Montag, 12. Juli 2010 14:11
  • Hi Christian,

    ich habe es noch mal getestet. Wenn ich nur das mache, dann klappt das routing über den TMG Server per ICMP, aber das war es dann auch schon. Daten können noch nicht übertragen werden, dazu muss ich dann noch eine Firewallregel erstellen, die von Intern nach Intern alles erlaubt. Aber wie gesagt ist das nicht zuverlässig. Ein Telnet in das Netzwerk funktioniert, aber eine Verbindung zum Citrix Server bricht bei der Verbindung mit einem Timeout ab.

    Es muss doch irgendeine Möglichkeit geben, das man die Daten irgendwie an dem TMG vorbei routet.

    Ich glaube fast es ist das beste ich suche mir eine Möglichkeit wie ich die Routen automatisiert an die Clients und Server verteile.

    Oder habe ich da noch etwas übersehen?

    Gruß

    Stefan

    Montag, 12. Juli 2010 14:22
  • Hi STefan,

    das Problem, in das du läufst ist, dass die Clients aus dem Netzwerk vor dem Router die Antworten zunächst an den TMG senden und dieser wegen der STatfull-Inspektion die Pakete verwirft.

    Du musst deshalb auf den Clients auch eine Route setzen, am besten per DHCP, dass z.B. die 192.168.1.100 in das Netzwerk 192.168.2.0, welches sich hinter dem Router befindet, weiterroutet. Die Antworten auf die Anfragen der Clients des Netzwerks 192.168.2.0 werden somit nicht über den TMG sondern an den Router 192.168.1.100 gesendet.

    Gruß

    Christian

     


    Christian Groebner MVP Forefront
    • Als Antwort markiert S.Raudi Montag, 12. Juli 2010 14:47
    Montag, 12. Juli 2010 14:26
  • Hi Christian,

    schade, ich hatte gehofft, das es hier noch eine wirklich Zentrale Lösung gibt um den TMG als Zentrale Firewall und Router zu verwenden. An DHCP Dachte ich auch schon, aber das hilft mir leider nicht bei Servern oder anderen Komponenten wie z.B. einen Printserver.

    Ich glaube ich trage dann den anderen Router überall als Default GW ein und nur der hat dann den TMG als Default GW. Dann habe ich überall eine einheitliche Netzwerkkonfiguration.

    Mein Fazit: Nutze nie den TMG Server als Default GW, wenn weitere Subnetze existieren.

    Vielen Dank für die Hilfe.

    Gruß

    Stefan

    Montag, 12. Juli 2010 14:46
  • Ich glaube ich trage dann den anderen Router überall als Default GW ein und nur der hat dann den TMG als Default GW. Dann habe ich überall eine einheitliche Netzwerkkonfiguration.

    Mein Fazit: Nutze nie den TMG Server als Default GW, wenn weitere Subnetze existieren.

    genauso wäre es auch best practice imho! im übrigen gilt dein fazit für egal welches produkt im firewallingumfeld.

    ;-)


    gruss, jens mander aka karsten hentrup - www.aixperts.de - www.forefront-tmg.de - www.hentrup.net |<-|
    Montag, 12. Juli 2010 15:00