Neue Route in ISA 2006
Hallo,
Ich habe ein dringendes Problem zu lösen, und leider keine große Erfahrung in Konfiguration eines ISA Servers. Ich verstehe zwar die Regeln die auf den ISA schon eingetragen sind, allerdings benötige ich etwas Hilfe um die jetzige Konfiguration zu ergänzen.
Folgendes Szenario:
Ein Netzwerk kommuniziert mit dem Internet über den ISA Server. Zwischen dem ISA Server und dem DSL Router Firewall (SonicWall) besteht ein Transfernetz.
Firmennetzwerk:......................... 192.168.100.0 / 24
ISA im Firmennetz:..................... 192.168.100.254 / 24
Transfernetz:............................... 192.168.200.0 / 24
ISA im Transfernetz:.................. 192.168.200.1 / 24
DSL Router im Transfernetz:....192.168.200.254 / 24
Der DSL Router baut eine VPN Verbindung auf zu einem anderen DSL Router (SonicWall) an einem anderen Standort auf, so das Ich zur Zeit auf den Server an anderem Standord zugreifen kann.
Nun kommt das neue.
Es wurde 2 Cisco Router gekauft die in die jeweiligen Firmennetzwerke integeriert wurden. (Überigens nicht meine gewünschte Lösung)
Das Firmennetzwerk hat sich dadurch so verändert:
Firmennetzwerk:......................... 192.168.100.0 / 24
Cisco Router im Firmennetz:.... 192.168.100.20 / 24
ISA im Firmennetz:..................... 192.168.100.254 / 24
Transfernetz:................................ 192.168.200.0 / 24
Die Cisco Router sollen jetzt die VPN Verbidnung die bis dato die SonicWalls aufgebaut haben, ersetzen.
Der Internetverkehr für die Clients lauft weiterhin über den ISA Server, über das Transfernetz -> über die SonicWall.
Lediglich der Zugriff auf den entfernten Standort soll nun über die Cisco Router laufen.
Was muss ich tun?
1. Router mit "route add Ziel | Maske | Gateway | Mertrik |" auf den Server (wo auch der ISA Server lauft) eintragen.
2. Muss ich im ISA Server 2006 eine neue Route eintragen ??? Wo mach ich das ? (Ich denke an sowas wie "wenn an das Netz 192.168.300.0 / 24 Anfragen gehen, dann bitte über Gateway: 192.168.100.20 / 24 gehen"
Die Theorie sollte so glaube ich richtig sein, weis nur nicht genau wie man das auf den ISA Server 2006 einträgt. Unter MSISAFAQ wurde ich auch nicht wirklich schlau, da ich nicht fündig geworden bin.
3. Regeln auf den ISA Server 2006 sind ja schon von eingetragen. Denke daran muss sich nichts ändern, da weiterhin nur die ausgewählten Protokolle mit dem entfernten Standort kommuniziert werden sollen.
Muss ich sonstnoch was beachten?
Ich habe ein dringendes Problem zu lösen, und leider keine große Erfahrung in Konfiguration eines ISA Servers. Ich verstehe zwar die Regeln die auf den ISA schon eingetragen sind, allerdings benötige ich etwas Hilfe um die jetzige Konfiguration zu ergänzen.
Folgendes Szenario:
Ein Netzwerk kommuniziert mit dem Internet über den ISA Server. Zwischen dem ISA Server und dem DSL Router Firewall (SonicWall) besteht ein Transfernetz.
Firmennetzwerk:......................... 192.168.100.0 / 24
ISA im Firmennetz:..................... 192.168.100.254 / 24
Transfernetz:............................... 192.168.200.0 / 24
ISA im Transfernetz:.................. 192.168.200.1 / 24
DSL Router im Transfernetz:....192.168.200.254 / 24
Der DSL Router baut eine VPN Verbindung auf zu einem anderen DSL Router (SonicWall) an einem anderen Standort auf, so das Ich zur Zeit auf den Server an anderem Standord zugreifen kann.
Nun kommt das neue.
Es wurde 2 Cisco Router gekauft die in die jeweiligen Firmennetzwerke integeriert wurden. (Überigens nicht meine gewünschte Lösung)
Das Firmennetzwerk hat sich dadurch so verändert:
Firmennetzwerk:......................... 192.168.100.0 / 24
Cisco Router im Firmennetz:.... 192.168.100.20 / 24
ISA im Firmennetz:..................... 192.168.100.254 / 24
Transfernetz:................................ 192.168.200.0 / 24
Die Cisco Router sollen jetzt die VPN Verbidnung die bis dato die SonicWalls aufgebaut haben, ersetzen.
Der Internetverkehr für die Clients lauft weiterhin über den ISA Server, über das Transfernetz -> über die SonicWall.
Lediglich der Zugriff auf den entfernten Standort soll nun über die Cisco Router laufen.
Was muss ich tun?
1. Router mit "route add Ziel | Maske | Gateway | Mertrik |" auf den Server (wo auch der ISA Server lauft) eintragen.
2. Muss ich im ISA Server 2006 eine neue Route eintragen ??? Wo mach ich das ? (Ich denke an sowas wie "wenn an das Netz 192.168.300.0 / 24 Anfragen gehen, dann bitte über Gateway: 192.168.100.20 / 24 gehen"
Die Theorie sollte so glaube ich richtig sein, weis nur nicht genau wie man das auf den ISA Server 2006 einträgt. Unter MSISAFAQ wurde ich auch nicht wirklich schlau, da ich nicht fündig geworden bin.
3. Regeln auf den ISA Server 2006 sind ja schon von eingetragen. Denke daran muss sich nichts ändern, da weiterhin nur die ausgewählten Protokolle mit dem entfernten Standort kommuniziert werden sollen.
Muss ich sonstnoch was beachten?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 97632
Url: https://administrator.de/forum/neue-route-in-isa-2006-97632.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
6 Kommentare
Neuester Kommentar
Dein Ansatz ist richtig !!
Über die Eingabeaufforderung im ISA Server gibst du die statischen Routen zu den VPN Zielnetzen ein.
Es gibt allerdings 2 Möglichkeiten die man nun erraten muss, da du es versäumt hast uns mitzuteilen WO das Default Gateway deiner Clients hinzeigt
Möglichkeit 1: ISA Server ist def. Gateway:
Statische Route mit:
route ADD <VPN Netzwerk> MASK <VPN Maske> 192.168.100.20 -p
eintragen ! Das muss für jedes VPN Netzwerk passieren was über den VPN Tunnel erreichbar sein soll !!
Möglichkeit 2: Cisco Router ist def. Gateway:
Statische default Route auf dem Cisco mit:
ip route 0.0.0.0 0.0.0.0 192.168.100.254
Das wars ! Mit einer der jeweiligen Konfigurationen wird das problemlos funktionieren !!
Denk dran das du bei der ISA Server Lösung als def. Gateway der Clients in den ICMP Settings der Firewall unbedingt den Haken setzt bei "Umleiten zulassen" (ICMP Redirect)
Sonst laufen alle VPN Routen permanent über den ISA was ja nicht sein muss !!
Über die Eingabeaufforderung im ISA Server gibst du die statischen Routen zu den VPN Zielnetzen ein.
Es gibt allerdings 2 Möglichkeiten die man nun erraten muss, da du es versäumt hast uns mitzuteilen WO das Default Gateway deiner Clients hinzeigt
Möglichkeit 1: ISA Server ist def. Gateway:
Statische Route mit:
route ADD <VPN Netzwerk> MASK <VPN Maske> 192.168.100.20 -p
eintragen ! Das muss für jedes VPN Netzwerk passieren was über den VPN Tunnel erreichbar sein soll !!
Möglichkeit 2: Cisco Router ist def. Gateway:
Statische default Route auf dem Cisco mit:
ip route 0.0.0.0 0.0.0.0 192.168.100.254
Das wars ! Mit einer der jeweiligen Konfigurationen wird das problemlos funktionieren !!
Denk dran das du bei der ISA Server Lösung als def. Gateway der Clients in den ICMP Settings der Firewall unbedingt den Haken setzt bei "Umleiten zulassen" (ICMP Redirect)
Sonst laufen alle VPN Routen permanent über den ISA was ja nicht sein muss !!
Die Route musst du dort eintragen wo auch das aktive Routing gemacht wird. Wenn der ISA Server eine virtuelle Maschine ist dann muss es auf dem ISA Server gemacht werden und nicht auf dem Host, das ist ja klar !
Da der ISA Server ja nur ein Gateway Dummy ist wenn du so willst greifen die Regeln des ISA Servers hier nicht.
Ein Client der ins VPN Netzwerk will hat zwar den ISA Server als default Gateway bekommt von diesem aber lediglich ein ICMP Redirect Paket geschickt, das ihm als gateway für die VPN Netze die IP des Ciscos gibt. Daraufhin benutzt der Client niemals mehr den ISA Server als Gateway solange der Redirect für die VPN Netze in seinem Route Cache sind.
Folglich sind also deine Regeln vom ISA obsolet !!
Du kannst diese dann als ACLs im Cisco einrichten, das ist einfach und funktioniert genauso gut wenn nicht besser !
Langfristig solltest du überlegen das Gateway besser auf die Ciscos zu verlagern. Es ist im Netzwerk nicht besonders gut bzw. sicher das Default Gateway auf einem nicht ausfallsicheren Server zu haben, denn bei Serverausfall (Wartung, Crash etc.) steht somit euer ganzes Netz.
Der Cisco hat weniger Verschleissteile und eine erheblich bessere MTBF als ein Server.
Du solltest also ggf. beim Einrichten des neuen Designs gleich einen IP Adresstausch machen und dem Cisco die .254 geben, ihm eine default Route auf die .20 zu geben und dem ISA Server dann die .20 zu verpassen.
Dann gilt die Variante 2 von oben, die auf lange Sicht erheblich besser ist, allein schon daraus das der Cisco das Routing besser kann als der ISA und eine sichere Plattform ist für ein zentrales Default Gateway im Netz !!!
Da der ISA Server ja nur ein Gateway Dummy ist wenn du so willst greifen die Regeln des ISA Servers hier nicht.
Ein Client der ins VPN Netzwerk will hat zwar den ISA Server als default Gateway bekommt von diesem aber lediglich ein ICMP Redirect Paket geschickt, das ihm als gateway für die VPN Netze die IP des Ciscos gibt. Daraufhin benutzt der Client niemals mehr den ISA Server als Gateway solange der Redirect für die VPN Netze in seinem Route Cache sind.
Folglich sind also deine Regeln vom ISA obsolet !!
Du kannst diese dann als ACLs im Cisco einrichten, das ist einfach und funktioniert genauso gut wenn nicht besser !
Langfristig solltest du überlegen das Gateway besser auf die Ciscos zu verlagern. Es ist im Netzwerk nicht besonders gut bzw. sicher das Default Gateway auf einem nicht ausfallsicheren Server zu haben, denn bei Serverausfall (Wartung, Crash etc.) steht somit euer ganzes Netz.
Der Cisco hat weniger Verschleissteile und eine erheblich bessere MTBF als ein Server.
Du solltest also ggf. beim Einrichten des neuen Designs gleich einen IP Adresstausch machen und dem Cisco die .254 geben, ihm eine default Route auf die .20 zu geben und dem ISA Server dann die .20 zu verpassen.
Dann gilt die Variante 2 von oben, die auf lange Sicht erheblich besser ist, allein schon daraus das der Cisco das Routing besser kann als der ISA und eine sichere Plattform ist für ein zentrales Default Gateway im Netz !!!
OK, dann ist das aber richtig. Wenn du die Ciscos nicht im Zugriff hast sondern die Providereigentum sind sollte da niemals irgendein Gateway der Firma drüberlaufen, denn das ist ja dann nicht mehr in deiner Hoheit.
Das gilt es, richtigerweise natürlich, zu vermeiden !
OK, dann bleibts bei der ISA Lösung von oben. Ist ja eh einfacher umzusetzen
Das gilt es, richtigerweise natürlich, zu vermeiden !
OK, dann bleibts bei der ISA Lösung von oben. Ist ja eh einfacher umzusetzen