19
2 Gateways 1 Proxy
ISA Server 2006 Standard
Hallo,
ich habe hier 2 Gateways (172.24.1.253 und 172.24.1.254) und einen Proxyserver (ISA 06 SE, 172.24.1.250 und Gateway 172.24.1.254).
Ich möchte nun alle PC's mit beiden Gateways über den Proxyserver überwachen, bzw. Seiten sperren etc.
Nun hab ich 2 Fragen:
1.) Wie muss ich den Server einrichten damit ich Seiten sperren kann?
2.) Wie muss ich den server einrichten damit ich mit beiden Gateway über den Proxy leiten kann, jedoch das richtige Gateway für die Clients verwendet wird?
Danke Martin
Hallo,
ich habe hier 2 Gateways (172.24.1.253 und 172.24.1.254) und einen Proxyserver (ISA 06 SE, 172.24.1.250 und Gateway 172.24.1.254).
Ich möchte nun alle PC's mit beiden Gateways über den Proxyserver überwachen, bzw. Seiten sperren etc.
Nun hab ich 2 Fragen:
1.) Wie muss ich den Server einrichten damit ich Seiten sperren kann?
2.) Wie muss ich den server einrichten damit ich mit beiden Gateway über den Proxy leiten kann, jedoch das richtige Gateway für die Clients verwendet wird?
Danke Martin
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 120887
Url: https://administrator.de/contentid/120887
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
19 Kommentare
Neuester Kommentar
Hallo Martin,
ich nehme mal an, dass jeder Router über einen anderen ISP ins Netz geht oder?
Warum willt du überhaupt 2 Gateways haben? Loadbalancing?
Hier gibt es auch Router, die mit mehreren WAN Schnittstellen umgehen können.
Einer NIC kannst du nicht 2 Gateways zuweisen.
Was vllt geht, wenn du 2 NICs in den ISA setzt und jede über ein anderes Gateway schickst, aber ob das der ISA mitmacht ka...
Aber schau Dir doch vllt mal IPCop an, www.ipcop.org, eine Opensource Firewall die sowohl Proxy als auch hervorragende Filter bietet.
ich nehme mal an, dass jeder Router über einen anderen ISP ins Netz geht oder?
Warum willt du überhaupt 2 Gateways haben? Loadbalancing?
Hier gibt es auch Router, die mit mehreren WAN Schnittstellen umgehen können.
Einer NIC kannst du nicht 2 Gateways zuweisen.
Was vllt geht, wenn du 2 NICs in den ISA setzt und jede über ein anderes Gateway schickst, aber ob das der ISA mitmacht ka...
Aber schau Dir doch vllt mal IPCop an, www.ipcop.org, eine Opensource Firewall die sowohl Proxy als auch hervorragende Filter bietet.
Das Problem ist aber das auch mit den Firewalls wie auch mit dem ISA Server eine Load Balancing oder Provider Backup Lösung und die Nutzung beider Gateways nicht möglich ist.
Das kann man in der Tat nur mit einem Load Balancing Router wie z.B. einem Policy_Based_Routing supportet !
Das kann man in der Tat nur mit einem Load Balancing Router wie z.B. einem Policy_Based_Routing supportet !
Das Problem:
Wir haben deshalb 2 Internetanschlüsse, da es so zusagen 2 Parteien sind.
1 Internet ist hat eine bessere Anbindung, und ist für die Geschäftsführung, also die höheren Abteilungen, und der Andere hat eine schwächere Anbindung und ist für den Backoffice-Bereich, etc. gedacht.
Gibts es da wirklich keine Lösung?
Danke Martin
Wir haben deshalb 2 Internetanschlüsse, da es so zusagen 2 Parteien sind.
1 Internet ist hat eine bessere Anbindung, und ist für die Geschäftsführung, also die höheren Abteilungen, und der Andere hat eine schwächere Anbindung und ist für den Backoffice-Bereich, etc. gedacht.
Gibts es da wirklich keine Lösung?
Danke Martin
eine Lösung wäre dann 2 Router mit je einem Proxy dahinter. Dann kannste das realisieren
Also
Router1 -> Proxy1 -> Clienten für 1
Router2 -> Proxy2 -> Clienten für 2
Also
Router1 -> Proxy1 -> Clienten für 1
Router2 -> Proxy2 -> Clienten für 2
Das wäre aber eine unsinnige Materialschlacht und für die Kosten der 2 ISA Proxy Lizenzen bekommst du allemal einen LB Router.
Die Lösung IST der Load Balancing Router. Wenn die GS sich schon den Luxus gönnt eine eigene Internet Verbindung zu haben dann sollte ihnen doch diese deLuxe Lösung auch popelige 100 Euronen für den richtigen Router wert sein, oder ??
Zumal du mit der Lösung gleichzeitig auch eine Backup Lösung hast.
Nicht nur das der Router die Trennung macht, er macht auch obendrein ein Leitungs Backup. Sollte z.B. die ISP GS Leitung einmal ausfallen laufen die unterbrechungsfrei über die Back Office Leitung und umgekehrt.
Also gewissermaßen eine Hochverfügbarkeitslösung.
On Top ist der Draytek noch VPN fähig als VPN Server, so das du problemlos von zuhause das Netzwerk fernwarten kannst oder remote Mitarbeiter anbinden kannst. Z.B. kann der GSF bequem von zuhause arbeiten und muss nicht mehr ins Office !
Mit dem ISA bekommst du den 2 Gateway Betrieb de facto nicht hin, da der kein Dual Gateway Betrieb oder PBR supportet !
MS ist KEINE Netzwerkfirma...das solltest du nicht vergessen !
Die Lösung IST der Load Balancing Router. Wenn die GS sich schon den Luxus gönnt eine eigene Internet Verbindung zu haben dann sollte ihnen doch diese deLuxe Lösung auch popelige 100 Euronen für den richtigen Router wert sein, oder ??
Zumal du mit der Lösung gleichzeitig auch eine Backup Lösung hast.
Nicht nur das der Router die Trennung macht, er macht auch obendrein ein Leitungs Backup. Sollte z.B. die ISP GS Leitung einmal ausfallen laufen die unterbrechungsfrei über die Back Office Leitung und umgekehrt.
Also gewissermaßen eine Hochverfügbarkeitslösung.
On Top ist der Draytek noch VPN fähig als VPN Server, so das du problemlos von zuhause das Netzwerk fernwarten kannst oder remote Mitarbeiter anbinden kannst. Z.B. kann der GSF bequem von zuhause arbeiten und muss nicht mehr ins Office !
Mit dem ISA bekommst du den 2 Gateway Betrieb de facto nicht hin, da der kein Dual Gateway Betrieb oder PBR supportet !
MS ist KEINE Netzwerkfirma...das solltest du nicht vergessen !
Matrialschlacht ist das richtige Wort 
Kann dir nur zustimmen, hol dir nen Loadbalancerouter und alle sind glücklich :D
Kann dir nur zustimmen, hol dir nen Loadbalancerouter und alle sind glücklich :D
Hallo zusammen,
wenn ich mir den Thread so durchlese kommen mir so einige Verständnisfragen bezüglich Proxies
Wenn ich im z.B. IE einen Proxy setze, steht dann im IP Header als Destination Adresse die IP des Proxies oder
die des Gateways?
Also wird der Traffic erst mal zum Gateway geschickt und von da aus, weil Port 80/443 zum Proxy und dann erst
übers Gateay zum Internet?
Nicht http Traffic würde dann also direkt übers Gateway in Internet gehn?
Hoffe meine Zwischenfragen lenken net zu sehr vom Thema ab
MfG Sebastian.
wenn ich mir den Thread so durchlese kommen mir so einige Verständnisfragen bezüglich Proxies
Wenn ich im z.B. IE einen Proxy setze, steht dann im IP Header als Destination Adresse die IP des Proxies oder
die des Gateways?
Also wird der Traffic erst mal zum Gateway geschickt und von da aus, weil Port 80/443 zum Proxy und dann erst
übers Gateay zum Internet?
Nicht http Traffic würde dann also direkt übers Gateway in Internet gehn?
Hoffe meine Zwischenfragen lenken net zu sehr vom Thema ab
MfG Sebastian.
Hallo,
Grüße, Steffen
Warum willt du überhaupt 2 Gateways haben? Loadbalancing?
Ausfallkompensation?Hier gibt es auch Router, die mit mehreren WAN Schnittstellen umgehen können.
Fällt der Router aus, sind beide Leitungen tot.Einer NIC kannst du nicht 2 Gateways zuweisen.
Wie kommst du darauf (Stichwort Metric)?Grüße, Steffen
Bei einem Proxy werden die Pakete von deinem Rechner erst an den Proxyserver geschickt.
Dieser leitet sie dann weiter oder bedient dich gleich aus seinem Cache, dann ist gar keine HTTP Anfrage ins Internet notwenig. Eine Solche Anfrage würde dann aber vom Proxy aus getätig.
Dieser leitet sie dann weiter oder bedient dich gleich aus seinem Cache, dann ist gar keine HTTP Anfrage ins Internet notwenig. Eine Solche Anfrage würde dann aber vom Proxy aus getätig.
@supermario
Wenn ich im z.B. IE einen Proxy setze, steht dann im IP Header als Destination Adresse die IP des Proxies oder des Gateways ?
A.: Des Proxys natürlich, das ist ja der Sinn des Proxys
Also wird der Traffic erst mal zum Gateway geschickt und von da aus, weil Port 80/443 zum Proxy und dann erst übers Gateay zum Internet?
A.: Nein, falsch ! Für einen Proxy Betrieb ist gar kein Gateway beim Client erforderlich (sofern beide im selben IP Segment sind).
Der Client sieht nur den Proxy sonst nix ! Pakete laufen also vom Client -> Proxy -> Gateway -> Internet. Nur der Proxy hat eine Route zum Internet Gateway.
Nicht http Traffic würde dann also direkt übers Gateway in Internet gehn?
A.: Nein, denn ein fähiger Netzwerk Admin, der den Proxybetrieb absichert, hat da eine Accessliste drin oder den Proxy zwischen Gateway und lokalem LAN so das nichts rausgeht was nicht gewollt ist !
Wenn ich im z.B. IE einen Proxy setze, steht dann im IP Header als Destination Adresse die IP des Proxies oder des Gateways ?
A.: Des Proxys natürlich, das ist ja der Sinn des Proxys
Also wird der Traffic erst mal zum Gateway geschickt und von da aus, weil Port 80/443 zum Proxy und dann erst übers Gateay zum Internet?
A.: Nein, falsch ! Für einen Proxy Betrieb ist gar kein Gateway beim Client erforderlich (sofern beide im selben IP Segment sind).
Der Client sieht nur den Proxy sonst nix ! Pakete laufen also vom Client -> Proxy -> Gateway -> Internet. Nur der Proxy hat eine Route zum Internet Gateway.
Nicht http Traffic würde dann also direkt übers Gateway in Internet gehn?
A.: Nein, denn ein fähiger Netzwerk Admin, der den Proxybetrieb absichert, hat da eine Accessliste drin oder den Proxy zwischen Gateway und lokalem LAN so das nichts rausgeht was nicht gewollt ist !
Einer NIC kannst du nicht 2 Gateways zuweisen.
Wie kommst du darauf (Stichwort Metric)?
Wenn du 2 Gateways angeben könntest, wie sollen dann die TCP/IP Pakete geroutet werden? Das Gateway ist ja der ÜBergang in andere Subnetze.
Was du machen kannst, für spezielle Subnetzen extra Routen angeben und diese dann über andere Router laufen lassen. Das macht aber im Internet wenig Sinn...
Wie kommst du darauf (Stichwort Metric)?
Wenn du 2 Gateways angeben könntest, wie sollen dann die TCP/IP Pakete geroutet werden? Das Gateway ist ja der ÜBergang in andere Subnetze.
Was du machen kannst, für spezielle Subnetzen extra Routen angeben und diese dann über andere Router laufen lassen. Das macht aber im Internet wenig Sinn...
Wenn du 2 Gateways angeben könntest, wie sollen dann die TCP/IP
Pakete geroutet werden? Das Gateway ist ja der ÜBergang in andere
Subnetze.
Pakete geroutet werden? Das Gateway ist ja der ÜBergang in andere
Subnetze.
Anhand der Metric?
@stingermac
Der Einwand von smerlin ist im Ansatz richtig, denn man kann 2 default Gateways mit unterschiedlicher Metriken einsetzen.
Das löst aber nur das Backup Problem. Fällt der primäre Link aus, wird das Gateway mit der schlechteren Metric genommen.
Ein dynamisches Load Balancing oder ein Balancing nach Client IPs oder Applikationen wie bei Policy based Routing ist damit aber dennoch technisch nicht möglich, da das dann immer eine statische Zuweisung ist.
Der Einwand von smerlin ist im Ansatz richtig, denn man kann 2 default Gateways mit unterschiedlicher Metriken einsetzen.
Das löst aber nur das Backup Problem. Fällt der primäre Link aus, wird das Gateway mit der schlechteren Metric genommen.
Ein dynamisches Load Balancing oder ein Balancing nach Client IPs oder Applikationen wie bei Policy based Routing ist damit aber dennoch technisch nicht möglich, da das dann immer eine statische Zuweisung ist.
Hi StingerMAC,
die grundsätzliche Funktionsweise eines Proxies ist mir scho klar, mir geht es mehr um die Reihenfolge
die das Packet ins Internet geht;)
Wenn ich surfe wird das Paket also direkt an den Proxy gesendet und bei nicht http Traffic (oder für was der
Proxy auch zuständig ist) direkt an das Gateway, passiert den Proxy also nicht?
Das Gateway leitet dann also nur HTTP(s) Verbindungen ins Internet weiter die vom Proxy kommen.
Andere Verbindungen (nicht http, ohne Proxy) werden direkt zum Gateway und von da aus ins Internet
weitergesendet, ja?
MfG Sebastian
die grundsätzliche Funktionsweise eines Proxies ist mir scho klar, mir geht es mehr um die Reihenfolge
die das Packet ins Internet geht;)
Wenn ich surfe wird das Paket also direkt an den Proxy gesendet und bei nicht http Traffic (oder für was der
Proxy auch zuständig ist) direkt an das Gateway, passiert den Proxy also nicht?
Das Gateway leitet dann also nur HTTP(s) Verbindungen ins Internet weiter die vom Proxy kommen.
Andere Verbindungen (nicht http, ohne Proxy) werden direkt zum Gateway und von da aus ins Internet
weitergesendet, ja?
MfG Sebastian
stimmt, ihr habt Recht ...
Hi aqui,
nochmal kurz bevor ich den Thread noch komplett auseinanderreiße
das heißt das Gateway sollte grundsätzlich erst mal nur Verbindungen vom Proxy weiterleiten, egal welcher Art
und wenn ein Programm über ein Protokoll raus will das vom Proxy nicht zur Verfügung gestellt wird hat das
Programm erst mal Pech.
Was mach ich dann mit einem solchen Programm? Doch zum Gateway oder kann ich das auch mit Proxy lösen?
Sorry 4 OT
Sebastian
nochmal kurz bevor ich den Thread noch komplett auseinanderreiße
das heißt das Gateway sollte grundsätzlich erst mal nur Verbindungen vom Proxy weiterleiten, egal welcher Art
und wenn ein Programm über ein Protokoll raus will das vom Proxy nicht zur Verfügung gestellt wird hat das
Programm erst mal Pech.
Was mach ich dann mit einem solchen Programm? Doch zum Gateway oder kann ich das auch mit Proxy lösen?
Sorry 4 OT
Sebastian
Jetzt kommt man in die Diskussion zu Sicherheits Policies und das reisst den Thread in der Tat auseinander !
Nur soviel:
Man setzt ja einen Proxy ein das man nur das rauslässt was einem die Firmenpolicy sagt. Folglich hat dein Programm erstmal Pech.
Sollte es erlaubt sein kannst du es transparent durch den Proxy schleifen oder Nutzer bezogen direkt über eine Firewall nach draussen schicken. Wege gibts da viele das umzusetzen...
Es ist abhängig von einem Sicherheitskonzept und dessen Durchsetzung !!
Nur soviel:
Man setzt ja einen Proxy ein das man nur das rauslässt was einem die Firmenpolicy sagt. Folglich hat dein Programm erstmal Pech.
Sollte es erlaubt sein kannst du es transparent durch den Proxy schleifen oder Nutzer bezogen direkt über eine Firewall nach draussen schicken. Wege gibts da viele das umzusetzen...
Es ist abhängig von einem Sicherheitskonzept und dessen Durchsetzung !!
Vielen Dank aqui das reicht mir schon
Mehr will ich den Thread wirklich nich auseinanderreißen.
Gruß
Mehr will ich den Thread wirklich nich auseinanderreißen.
Gruß
Zitat von @51705:
Hallo,
> Warum willt du überhaupt 2 Gateways haben? Loadbalancing?
Ausfallkompensation?
> Hier gibt es auch Router, die mit mehreren WAN Schnittstellen umgehen können.
Fällt der Router aus, sind beide Leitungen tot.
> Einer NIC kannst du nicht 2 Gateways zuweisen.
Wie kommst du darauf (Stichwort Metric)?
Grüße, Steffen
Hallo,
> Warum willt du überhaupt 2 Gateways haben? Loadbalancing?
Ausfallkompensation?
> Hier gibt es auch Router, die mit mehreren WAN Schnittstellen umgehen können.
Fällt der Router aus, sind beide Leitungen tot.
> Einer NIC kannst du nicht 2 Gateways zuweisen.
Wie kommst du darauf (Stichwort Metric)?
Grüße, Steffen
Was für ein Blödsin naturlich geht das, und ist auch simpel.
Man legt einen Alias Gateway an, in den man beide Gateway IPs einträgt.
Und die Alias IP nimmt man als Gateway, und das Thema hat sich.
Solte dan einer Ausfallen läuft er über den zweiten, den er im pool hat man legt eigendlich eine Gateway Pool an.
Da zu braucht der server zwei Netzwerk Karten, oder eine 4 Port Karte ist eigendlich simpel.
p.s man braucht schon 2 Router, also auch zwei leitung.
hier mal ein link für Multi Route http://www.clintoneast.com/articles/multihomed.php
