Sonicwall NSA 240 Windows 2003 Server Proxy

Mitglied: MichaelBSW

MichaelBSW (Level 1) - Jetzt verbinden

17.02.2011, aktualisiert 14:21 Uhr, 6243 Aufrufe, 20 Kommentare, 1 Danke

Ich brauche Hilfe zur Einrichtung einer SonicWall

Hallo,

ich habe folgendes Problem, ich habe eine SonicWall einen Windows 2003 SBS Server mir installiertem Jana Proxy und einen HP Switch.
Ich würde gerne die Route der Clients auf den Proxy Server umleiten allerdings habe ich wenig Erfahrung im Bereich Routing usw.
Ich habe mir schon folgende Anleitung angeschaut "Routing mit 2 Netzwerkkarten unter Windows u. Linux
https://www.administrator.de/index.php?content=56073
ich denke ich komme auch soweit klar nur finde ich ist diese Sonicwall ziemlich kompliziert und hat viele Begriffe die mir nicht viel sagen.
Ich hoffe meine Frage ist nicht zu allgemein, aber könnte mir vielleicht sagen wie cih die Sonicwall konfigureieren muss um den Datenverkehr auf den Windows 2003 Server Proxy umzuleiten.

Vielen Dank

Gruß

Michael

89534d7e2253e014dbc50ff91c5ba264 - Klicke auf das Bild, um es zu vergrößern

dd805c12ae1125df85f8766a53574455 - Klicke auf das Bild, um es zu vergrößern
Mitglied: 48507
48507 (Level 2)
17.02.2011 um 12:00 Uhr
Proxy hat nichts mit Routing zu tun, gib den Proxy in den Gruppenrichtlinien an und gut ist.
Bitte warten ..
Mitglied: MichaelBSW
17.02.2011 um 14:00 Uhr
Hallo,

für den Internet Explorer habe ich bereits ein Gruppenrichtlinie erstellt, leider muß ein spezieler User alle Browser nutzen da er die Webinhalte unserer Homepage prüfen muss.
Außerdem wenn der User den Proxy rausmacht soll er gar nicht ins Internet geht.


Gruß

Michael
Bitte warten ..
Mitglied: 48507
48507 (Level 2)
17.02.2011 um 14:51 Uhr
Die Firewall sollte nur dem Proxy den Internetzugriff erlauben (mit Ausnahmen für Server und "Admin-IPs"). Firefox und Co. greifen normalerweise auf IE-Proxy-Einstellungen zurück.
Bitte warten ..
Mitglied: Pikespeak
17.02.2011 um 14:57 Uhr
Genau, mach eine Deny Regel für (FTP, HTTP UND HTTPS) Lan Primary Subnet nach ANY (im Bereich LAN > WAN).. Dann kann keiner mehr auf das Internet zugreifen.
Ausnahmen kannst du dann anschließend für den Server erstellen in dem du für einzelne IP Adressen den Zugriff erlaubst.
Bitte warten ..
Mitglied: MichaelBSW
17.02.2011 um 16:15 Uhr
Hallo,

vielen Dank für die Antworten, das heißt also das für den Proxy das Routing gar keine Rolle spielt ich darf nur an der SonicWall nur den Proxy Server durchlassen und somit ist gewährleistet das keiner
ohne Proxyeinstellungen ins Internet kommt.Kann ich dann auch Regeln für Ausnahmen definieren?
Und kann mir jemand villeicht noch etwas genauer erklären was und wie ich das in der SonicWall einstellen muss.
Vielen Dank

Michael
Bitte warten ..
Mitglied: 48507
48507 (Level 2)
17.02.2011 um 17:23 Uhr
Poste doch mal einen Screenshot mit den Policies.

Aussehen könnte es so:

Objekt oder Gruppe "Server" erstellen (Inhalt: deren IP-Adressen)
Objekt Proxy erstellen (Inhalt: seine IP)

Regeln (die Reihenfolge ist entscheidend):

Source: Server
Destination : any (oder WAN)
Service: any
Action: allow

Source: Proxy
Destination: any (oder WAN)
Service: 80, 443, 21 (http, https, ftp)
Action: allow

Source: any local (oder LAN)
Destination: any (oder WAN)
Service: any
Action: deny
Bitte warten ..
Mitglied: MichaelBSW
18.02.2011 um 08:38 Uhr
Hallo,

ich weiß nicht wo ich das Objekt oder die Gruppe erstellen soll?

Gruß

Michael
Bitte warten ..
Mitglied: sk
19.02.2011 um 14:51 Uhr
Zitat von @MichaelBSW:
ich weiß nicht wo ich das Objekt oder die Gruppe erstellen soll?

Es wäre ratsam, die Einrichtung jemanden machen zu lassen, der sich wenigstens ein bisschen damit auskennt. Dabei dann über die Schulter schauen und lernen. Alle haben mal klein angefangen... ;-) face-wink

Gruß
Steffen
Bitte warten ..
Mitglied: MichaelBSW
21.02.2011 um 08:29 Uhr
Hallo,

danke für den konstruktiven Beitrag, würde ich gerne machen wenn ich jemanden hätte der es könnte.

Gruß

Michael
Bitte warten ..
Mitglied: Pikespeak
21.02.2011 um 11:12 Uhr
Ich hab mal 2 Screenshots gemacht, aber wie kann ich die hochladen?
Bitte warten ..
Mitglied: MichaelBSW
21.02.2011 um 12:09 Uhr
Hallo,

danke für die Hilfe,ich schicke dir meine E-Mail Adresse per PN.

Gruß

Michael
Bitte warten ..
Mitglied: MichaelBSW
24.02.2011 um 11:15 Uhr
Hallo,

ich weiß jetzt mittlerweile wie man Objekte Gruppen und Firewall Regeln erstellt, Danke nochmal an Oliver!

Ich habe ein Adress Object Admin PC

Name: Admin
Zone: LAN
Typ: Host
IP 192.168.168.110

und habe zwei Access Rules
Action: Allow
From Zone: LAN
To Zone: WAN
Service: Any
Source: Admin
Destination: Any
Users: All
Schedule: Always on

die zweite
Action Deny
From Zone: LAN
To Zone: WAN
Service: Any
Source: Any
Destination: Any
Users: All
Schedule: Always on

leider komm ich sobald ich die zwete Regel einschalte auch mit dem Admin PC nicht mehr ins Internet, muss ich noch etwas einstellen oder beachten.

Vielen Dank

Gruß
Michael
Bitte warten ..
Mitglied: sk
24.02.2011 um 11:29 Uhr
Hallo,

1) Die Allow-Regel muss über der Deny-Regel stehen, da das Regelwerk von oben nach unten abgearbeitet wird.
2) Die Allow-Regel greift nur, wenn der Admin-PC auch selbst direkt ins Internet geht. Wenn er einen Proxy benutzt, muss dieser Surfen dürfen.
3) Gern vergessen wird die Namensauflösung. In einer Win-Domäne erfolgen die Namensauflösungen über die internen DNS-Server. Diese DNS-Server müssen nach extern DNS-Auflösungen machen dürfen, um Hosts externer Domänen über die DNS-Forwarder auflösen zu können.

Im Übrigen hat die Sonicwall ein brauchbares Realtime-Log... ;-) face-wink

Gruß
sk
Bitte warten ..
Mitglied: MichaelBSW
24.02.2011 um 11:43 Uhr
Hallo sk,

zu 1) die Allow-Regel steht über der Deny-Regel
zu 2) Admin PC geht direkt ins Internet und braucht keinen Proxy
zu 3) da könnte etwas dran sein, weißt du was ich da am Windows2003 Server einstellen muß bzw. dann muss der Server wahrscheinlich auch erstmal eine Allow Regel bekommen, oder?

Vielen Dank für deine Hilfe

Gruß

Michael
Bitte warten ..
Mitglied: sk
24.02.2011 um 11:48 Uhr
Zitat von @MichaelBSW:
zu 3) da könnte etwas dran sein, weißt du was ich da am Windows2003 Server einstellen muß bzw. dann muss der
Server wahrscheinlich auch erstmal eine Allow Regel bekommen, oder?

Ausgehend von der Annahme, dass die DNS-Konfig vorher korrekt war, muss am Server nichts geändert werden. Auf der Firewall muss lediglich DNS vom Server zum WAN zugelassen werden.

Gruß
Steffen
Bitte warten ..
Mitglied: Pikespeak
24.02.2011 um 12:07 Uhr
Das könnte das Problem sein Michael,

erlaube mit einer Extra regel noch DNS für deinen DNS Server (meist Domänencontroller).
Zum testen kannst du auch auf deinem Admin PC mal 8.8.8.8 als DNS Server eintragen und dann testen. Deine Regel lässt DNS ja vom Admin PC aus zu.

Gruß

Oliver
Bitte warten ..
Mitglied: MichaelBSW
24.02.2011 um 14:18 Uhr
Hallo,

das war die Lösung!
@Oliver, ich hätte nur deine Mail besser lesen müssen das hast du ja schon was von DNS geschrieben.
Danke an Oliver, Steffen und alle anderen
Bitte warten ..
Mitglied: 48507
48507 (Level 2)
24.02.2011 um 14:41 Uhr
Du sollstest die Server nicht so einschränken, lass sie ruhig alles dürfen. Denn du brauchst nicht nur DNS, sondern NTP, Windows-Updates, tracert, ping... usw.
Bitte warten ..
Mitglied: Pikespeak
24.02.2011 um 16:27 Uhr
@spytnik Naja das sehe ich etwas anders. Also recht hast du damit das Sie mehr als DNS brauchen, aus meiner sicht sind das in der Regel: NTP (wenn man keinen internen hat, mit einer Domäne aber hat man einen, trotzdem ist es bequem NTP für alle freizugeben, (nur für Proxyserver: FTP, HTTP, HTTPS), (nur für Mailserver: IMAP, POP3, SMTP), Elster, HBCI

Tracert, Ping usw sind ja nur Dienste die das ganze bequemer machen, aber nicht wirklich notwendig sind. Da er die aber dem Admin PC freigegeben hat reicht das völlig aus.

Das Problem wenn du alles offen lässt ist wenn du dir mal nen Wurm einfängst dürfen alle PCs mit Port 25 raus blasen und das will man 1. nicht und 2. hab ich es (zugegeben in Holland) schon erlebt das die den ganzen Internetzugang abgeschaltet haben weil so viel Spam aus dem Kundennetz kam.

Also die devise ist, so wenig wie möglich, so viel wie nötig.
Bitte warten ..
Mitglied: 48507
48507 (Level 2)
24.02.2011 um 16:55 Uhr
Naja, der Mailserver bleibt dann ja noch als möglicher Spamversender. Außerdem synchronisieren sich die Clients in einer Domäne mit dem PDC, und nicht mit dem Internet. ;-) face-wink Aber Recht hast du...
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Aqui - Wir möchten den Hasen zurück
NixVerstehenVor 22 StundenAllgemeinOff Topic35 Kommentare

Lieber aqui, ich finde es sehr sehr schade, das du dich hier so überraschend abgemeldet hast. Ich habe auch von dir sehr viel gelernt ...

Netzwerke
Erfahrungen mit HPE Aruba Switches (Aruba OS)
sixofeightVor 1 TagAllgemeinNetzwerke13 Kommentare

Holla zusammen, Wer von euch setzt Aruba Switches (Aruba OS, ehemals HP ProCurve) ein und wie sind eure Erfahrungen bzw. wie zufrieden seid ihr ...

Webentwicklung
Webdesigner ist verschwunden
Janno100Vor 1 TagFrageWebentwicklung4 Kommentare

Hallo zusammen Kunde hat einen Webdesigner der die Domain des Kunden vor einigen Jahren einfach unter seinen eigenen Name weiter geführt hat. Diese haben ...

Exchange Server
Exchange weist Mails ohne Log Eintrag ab
Mr.RobotVor 13 StundenFrageExchange Server16 Kommentare

Guten Morgen, wir haben seit letzter Woche ein ganz spannendes "Problem" oder sollte ich eher Phänomen sagen? Wir haben eine Tochtergesellschaft die allerdings IT-Technisch ...

Windows 10
Was ist zu wenig
ukulele-7Vor 9 StundenFrageWindows 1013 Kommentare

Hallo, ich suche nach einer Quelle um Windows 10 Pro OEM Lizenzen zu beziehen, gerne auch erstmal ein paar als Testkauf. Nun ist das ...

Windows Server
Server clonen
oGutITVor 1 TagFrageWindows Server5 Kommentare

Hallo ich habe einen alten HP Server Gen8 und möchte diese auf einen HP Microserver Gen8 klonen. Auf dem HP Server ist 2W12KR2 am ...

Netzwerke
2 fritzen mit unterschiedlichen subnetzen einrichten
gelöst alpi972Vor 1 TagFrageNetzwerke7 Kommentare

Hallo, hoffe ich habs unters richtige thema gesetzt, ich habe 2 fritzboxen (eine 7490 als DSL Modem und eine 7430 als Brige), und will ...

Router & Routing
Windows Netzwerklaufwerke durch kaskadiertes Netzwerk nicht ansprechbar
TomAustriaVor 1 TagFrageRouter & Routing5 Kommentare

Hallo, wir hatten bisher nur ein "einfaches" Netzwerk und möchten dieses nun in getrennte Netzwerksegmente aufteilen: Das Netz 192.168.2.x haben wir beim AX1500 an ...