raff0606
Goto Top

Routing durch Forefront Threat Management Gateway (TMG)

Hallo zusammen,
ich bin gerade dabei unsere Serverstruktur zu erneuern.
Ich hab folgendes Szenario: Als Internetzugang steht ein Lancom 1711+VPN bereit der hat eine feste externe IP-Adresse und eine Aktivierte Firewall und für das interne Netz die IP 198.168.20.1 SN 255.255.255.0
Nach dem Lancom folgt ein Forefront TMG mit zwei Netzwerkkarten dienst also als Backfirewall.
Die IP-Adresse der Externen Verbindung hat die 198.168.20.2 SN 255.255.255.0
Die IP-Adresse der Internen Verbindung hat die 13.13.13.1 SN 255.255.0.0

Im Internen Hausnetz befindet sich ein Windows Server 2008 R2 Enterprise als Domaincontroller mit Exchange Server 2010.
Die IP Adresse ist 13.13.13.2 SN 255.255.0.0

Der Exchangeserver ist soweit fertig konfiguriert. Die Verbindungen nach extern funktionieren soweit. Jetzt möche ich OWA über Internet einrichten und auch Remotedesktop von extern nutzen.
Ohne die zwei Firewalls funktioniert das auch. Schalte ich den Lancom und den Forefront TMG mit rein ist erstmal Ende.

Die Protokolle sind auf dem Lancom soweit frei gegeben. Jetzt komm ich zu meiner eigentlichen frage:

Muss ich auf dem Lancom ein Portforwarding einrichten? Muss dieses Portforwarding auf die externe IP Adresse des Forefront TMG gehen?also auf die 198.168.20.1?

Und dann steh ich ja an der nächsten Mauer an. Das heißt ich müsste am Forefront auch ein Portforwarding auf den Domaincontroller mit Exchange einrichten oder? geht das über eine Regel? oder über Richtlinien?

Hab mit Forefront TMG noch keine Erfahrung. Bis jetzt hab ich nur mit einem ISA2004 gearbeitet und der war Teil eines SBS2003.

Da ich in dieser Netzwerkstruktur noch wenig Erfahrung hab hoff ich ihr könnt mir vielleicht weiter helfen.

Danke Gruß Raff

Content-Key: 140037

Url: https://administrator.de/contentid/140037

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: aqui
aqui 07.04.2010, aktualisiert am 18.10.2012 um 18:41:38 Uhr
Goto Top
Erstmal vorweg angemerkt ist die Wahl des 13er Netzwerks nicht besonders intelligent und birgt zudem Risiken !!
Das ist kein öffentliches IP Netzwerk sondern an die Fa. Xerox weltweit fest vergeben:
Using server whois.arin.net.
Query string: "13.0.0.0"

OrgName: Xerox Corporation
OrgID: XEROX-16-Z
Address: 45 Glover Ave
City: Norwalk
StateProv: CT
PostalCode: 06850
Country: US


Sinnvoller wäre sich also im Pool der privaten_RFC_1918_IP_Adressen zu bedienen, denn die 10er und 172er Bereiche bieten da ja genügent Platz !!
Dein Szenario ist mehr oder minder ein Standard Szenario und dieses Tutorial sollte alle deine Fragen beantworten da es 1 zu 1 darauf übertragbar ist:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Mitglied: raff0606
raff0606 07.04.2010 um 13:20:55 Uhr
Goto Top
Hallo Aqui,
danke erstmal für die Antwort die Ip-Adressen sind von mir nur als Beispiel gewählt. Ich werde jetzt mal das Tuturial studieren.
Mitglied: dog
dog 07.04.2010 um 16:50:18 Uhr
Goto Top
Muss ich auf dem Lancom ein Portforwarding einrichten?

Ja

Muss dieses Portforwarding auf die externe IP Adresse des Forefront TMG gehen?also auf die 198.168.20.1?

Wenn die Netzwerkverbindung im ISA/TMG als NAT eingestuft ist, ja.

Das heißt ich müsste am Forefront auch ein Portforwarding auf den Domaincontroller mit Exchange einrichten oder?

Ja, das nennt sich Webveröffentlichungsregel und ISA hat für Exchange/OWA sogar einen extra Assistenten genau dafür.
Mitglied: raff0606
raff0606 08.04.2010 um 10:04:45 Uhr
Goto Top
Heißt das beide Bedingungen müssen erfüllt sein damit ich von aussen auf mein Exchange komm? NAT und Webveröffentlichungsregel?
oder würde in meinem Fall NAT reichen da ja Exchange eine eigene Maschine ist die hinter dem ISA/TMG steht.
Mitglied: dog
dog 08.04.2010 um 17:57:31 Uhr
Goto Top
Die Webveröffentlichungsregel brauchst du immer, egal ob NAT oder Routing-Modus.
Mitglied: raff0606
raff0606 20.05.2010 um 12:27:25 Uhr
Goto Top
hey Dog,
brauch ich auch eine Webveröffentlichungsregel wenn ich mich im Externen Netz befinde (also z.b. mit der 198.168.20.15 SN 255.255.255.0) und auf einen Fileserver ( z.b. 13.13.13.100 SN 255.255.0.0) drauf will der sich im internen Netz befindet?

mfg raff
Mitglied: dog
dog 20.05.2010 um 17:16:53 Uhr
Goto Top
Nein, wenn der ISA beide Netze kennt und beim Client als Router eingetragen ist reicht auch eine Firewall-Regel.