8
Welches Standardgateway, wenn wir einen Proxy nutzen wollen
Welches Standardgateway muss ich bei meinen Domainnetzwerk eintragen, wenn der Internetzugang nur über einen Proxyserver möglich sein soll.
Hallo Forum,
wir haben hier einen Windows SBS 2011 mit AD und Exchange mit ca. 60 Clients. Jeder Client bekommt seine IP per DHCP vom Server zugewiesen. Als DNS ist die Server-IP eingetragen, als Standardgateway die Adresse des Internetrouters.
Als Proxy läuft auf dem gleichen Server ein SquidNT und die Proxykonfiguration für den IE wird per GPO zugewiesen. Ein Proxy deswegen, weil die Internetverbindung sehr langsam ist und wir uns dadurch einiges an Traffic sparen.
Jetzt gibt es aus verschiedenen Gründen die neue Anforderung, dass der Internetzugang nur noch über den Proxy möglich sein soll. Daher wurde das Standardgateway testweise für ein paar Clients in den DHCP-Optionen entfernt. Im normalen Betrieb traten bisher auch keine Probleme auf. Wenn ich aber jetzt versuche, einen neuen Client in die Domäne zu schieben, bekomme ich auf dem Client die Fehlermeldung, dass dies nicht möglich ist, weil kein Standardgateway eingetragen ist.
Das würde ich ja gerne machen, aber was ist das richtige Standardgateway? 127.0.0.1 oder die IP des Servers?
Kann mir da jemand weiterhelfen?
VG
Thomas
Hallo Forum,
wir haben hier einen Windows SBS 2011 mit AD und Exchange mit ca. 60 Clients. Jeder Client bekommt seine IP per DHCP vom Server zugewiesen. Als DNS ist die Server-IP eingetragen, als Standardgateway die Adresse des Internetrouters.
Als Proxy läuft auf dem gleichen Server ein SquidNT und die Proxykonfiguration für den IE wird per GPO zugewiesen. Ein Proxy deswegen, weil die Internetverbindung sehr langsam ist und wir uns dadurch einiges an Traffic sparen.
Jetzt gibt es aus verschiedenen Gründen die neue Anforderung, dass der Internetzugang nur noch über den Proxy möglich sein soll. Daher wurde das Standardgateway testweise für ein paar Clients in den DHCP-Optionen entfernt. Im normalen Betrieb traten bisher auch keine Probleme auf. Wenn ich aber jetzt versuche, einen neuen Client in die Domäne zu schieben, bekomme ich auf dem Client die Fehlermeldung, dass dies nicht möglich ist, weil kein Standardgateway eingetragen ist.
Das würde ich ja gerne machen, aber was ist das richtige Standardgateway? 127.0.0.1 oder die IP des Servers?
Kann mir da jemand weiterhelfen?
VG
Thomas
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 190905
Url: https://administrator.de/forum/welches-standardgateway-wenn-wir-einen-proxy-nutzen-wollen-190905.html
Ausgedruckt am: 22.12.2024 um 01:12 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
der Proxy ist dein Gateway...
brammer
der Proxy ist dein Gateway...
brammer
Hallo Brammer,
danke für deine Antwort. Trifft das auch dann zu, wenn der Proxy nicht transparent ist, also nur auf einem Port lauscht?
VG
Thomas
danke für deine Antwort. Trifft das auch dann zu, wenn der Proxy nicht transparent ist, also nur auf einem Port lauscht?
VG
Thomas
Hallo,
Wenn nur über diesen Pprt der Internet Traffic geht ja...
brammer
Wenn nur über diesen Pprt der Internet Traffic geht ja...
brammer
Moin,
ja, stand doch nix von einem Port
Gruß
24
ja, stand doch nix von einem Port
Gruß
24
Hallo brammer, hallo 2hard4you,
der Squid lauscht zur Zeit an Port 3128. Den trage ich ja auch bei den Clients im IE für alle Protokolle so ein.
Wenn ich den Port jetzt auf 80 ändern würde, den Clients als Gateway die IP des Servers zuweise, dann würde http schon mal laufen. D.h. ich müsste den Squid auf allen benötigten Ports lauschen lassen. Was aber leider so nicht geht, da ja noch ein Webserver auf dem SBS läuft.
Aber ich könnte der Netzwerkkarte eine zweite IP zuweisen, die ich dann nur für den Squid und als Gateway nutze. Ist mein Gedanke so richtig?
VG
Thomas
der Squid lauscht zur Zeit an Port 3128. Den trage ich ja auch bei den Clients im IE für alle Protokolle so ein.
Wenn ich den Port jetzt auf 80 ändern würde, den Clients als Gateway die IP des Servers zuweise, dann würde http schon mal laufen. D.h. ich müsste den Squid auf allen benötigten Ports lauschen lassen. Was aber leider so nicht geht, da ja noch ein Webserver auf dem SBS läuft.
Aber ich könnte der Netzwerkkarte eine zweite IP zuweisen, die ich dann nur für den Squid und als Gateway nutze. Ist mein Gedanke so richtig?
VG
Thomas
Hallo,
Im allgemeinen sind Proxies nicht transparent und können somit nicht einfach über einen Gateway-Eintrag konfiguriert werden. Als Gateway in der IP-Konfiguration erwartet der Client eines auf OSI-Layer 3, Proxies sind Layer 7. Es mag Proxies geben, die transparent sind, und zusätzlich eine Routerfunktion implementiert haben (und sich damit als Gateway eintragen lassen). Geschickt wäre das nicht wirklich, weil man korrektes Subnetting & Gateways ja auch für eine Intra-LAN-Kommunikation braucht, während der Proxy meist zum Internet hin steht. Und: mit Ports hat das dann gar nichts zu tun, die liegen nämlich auf Layer 4.
Und um auf die Frage zu antworten: Wenn es dir nur darum geht, das Gateway einzutragen, so dass nachher niemand mehr direkt in das Internet kommt & wenn dein Netz nur ein Subnetz umfasst: Trage halt irgendeine IP (aus dem richtigen Netz) ein, die nicht vergeben ist.
Die korrekte Lösung ist aber, die auf dem Router bestimmt enthaltene Firewall so zu konfigurieren, dass sie keine Anfragen der Clients durchlässt. (oder ggf auch nur gewollte Protokolle, die über den Proxy nicht gehen).
Gruß
Filipp
Wenn ich den Port jetzt auf 80 ändern würde, den Clients als Gateway die IP des Servers zuweise, dann würde http
schon mal laufen.
Nein.schon mal laufen.
Im allgemeinen sind Proxies nicht transparent und können somit nicht einfach über einen Gateway-Eintrag konfiguriert werden. Als Gateway in der IP-Konfiguration erwartet der Client eines auf OSI-Layer 3, Proxies sind Layer 7. Es mag Proxies geben, die transparent sind, und zusätzlich eine Routerfunktion implementiert haben (und sich damit als Gateway eintragen lassen). Geschickt wäre das nicht wirklich, weil man korrektes Subnetting & Gateways ja auch für eine Intra-LAN-Kommunikation braucht, während der Proxy meist zum Internet hin steht. Und: mit Ports hat das dann gar nichts zu tun, die liegen nämlich auf Layer 4.
Und um auf die Frage zu antworten: Wenn es dir nur darum geht, das Gateway einzutragen, so dass nachher niemand mehr direkt in das Internet kommt & wenn dein Netz nur ein Subnetz umfasst: Trage halt irgendeine IP (aus dem richtigen Netz) ein, die nicht vergeben ist.
Die korrekte Lösung ist aber, die auf dem Router bestimmt enthaltene Firewall so zu konfigurieren, dass sie keine Anfragen der Clients durchlässt. (oder ggf auch nur gewollte Protokolle, die über den Proxy nicht gehen).
Gruß
Filipp
Moin,
Du schreibst:
und
Damit erreichst Du dein Ziel nicht. Egal was Du da als Standardgateway reinschreibst. Prinzipiell kannst Du so Benutzer nicht davon abhalten, doch direkt den Internet-Router zu benutzen.
Was Du brauchst, ist eine Firewall zwischen dem Internetrouter und deinem LAN. Das könnte der SBS übernehmen, wenn Du zwei NICs drin hast, oder eine dediziertes Gerät. Das muß nichts teures sein, Es tut auch ein Alix-Board mit m0n0wall oder pfsense. Kollege aqui hat dazu eine schöne Anleitung geschrieben, einfach die Suchfunktion benutzen.
lks
Du schreibst:
Zitat von @tweyhr3156:
Jetzt gibt es aus verschiedenen Gründen die neue Anforderung, dass der Internetzugang nur noch über den Proxy möglich sein soll
Jetzt gibt es aus verschiedenen Gründen die neue Anforderung, dass der Internetzugang nur noch über den Proxy möglich sein soll
und
Das würde ich ja gerne machen, aber was ist das richtige Standardgateway? 127.0.0.1 oder die IP des Servers?
Damit erreichst Du dein Ziel nicht. Egal was Du da als Standardgateway reinschreibst. Prinzipiell kannst Du so Benutzer nicht davon abhalten, doch direkt den Internet-Router zu benutzen.
Was Du brauchst, ist eine Firewall zwischen dem Internetrouter und deinem LAN. Das könnte der SBS übernehmen, wenn Du zwei NICs drin hast, oder eine dediziertes Gerät. Das muß nichts teures sein, Es tut auch ein Alix-Board mit m0n0wall oder pfsense. Kollege aqui hat dazu eine schöne Anleitung geschrieben, einfach die Suchfunktion benutzen.
lks
@filipp und Lochkartenstanzer
Danke für eure ausführlichen Antworten.
Da es mir wirklich nur darum geht, den direkten Internetzugriff zu unterbinden, werde ich die eingebaute Firewall im Router (Netgear DGN2200) so konfigurieren, dass er nur Anfragen vom SBS annimmt. An den Clients trage ich dann die IP des Routers als Gateway ein. So ist sichergestellt, dass wirklich niemand das Gateway nutzen kann und ich habe noch die Möglichkeit, einfach einzelne Clients und Protokolle freizuschalten.
Den SBS lass ich als Proxy so laufen wie bisher.
Danke für eure ausführlichen Antworten.
Da es mir wirklich nur darum geht, den direkten Internetzugriff zu unterbinden, werde ich die eingebaute Firewall im Router (Netgear DGN2200) so konfigurieren, dass er nur Anfragen vom SBS annimmt. An den Clients trage ich dann die IP des Routers als Gateway ein. So ist sichergestellt, dass wirklich niemand das Gateway nutzen kann und ich habe noch die Möglichkeit, einfach einzelne Clients und Protokolle freizuschalten.
Den SBS lass ich als Proxy so laufen wie bisher.
