ISA 2006 HTTP Protokoll wird nicht an Aussenstelle durchgelassen

26/10/2007 - 13:31 von Heiko Bernd | Report spam
Hallo NG,

Konfiguration:

- Zentrale mit ISA 2006 Std. Edition, Webproxy aktiviert auf Port 8080
- Aussenstelle mit Router LANCOM Business R800+
- VPN Site2Site Verbindung per IPSec steht
- ISA: Netzwerkregel Route zwischen Intern(Zentrale) und Aussenstelle
- Zugriffsregel (gleich die erste Regel ganz oben in der Liste): HTTP
Protokoll explizit zugelassen zwischen Intern(Zentrale) und Aussenstelle

Problem:

- in der Aussenstelle kann per Browser auf eine interne Website in der
Zentrale, z.B. IIS, zugegriffen werden
- von der Zentrale aus kann per Browser NICHT auf eine interne Website, z.B.
Drucker (Konfigurationsseite) zugegriffen werden
- der Drucker ist aber aus der Zentrale per Ping erreichbar
- es funktioniert auch RDP von der Zentrale in die Aussenstelle, aber kein
HTTP oder HTTPS

Lösungsversuche:

- im Browser bei aktiviertem Proxy die entsprechende lP im Netz der
Aussenstelle als Ausnahme zur Umgehung des Proxies eingetragen
- im Browser die Proxykonfiguration komplett deaktiviert
alles ohne Erfolg.

Ich vermute noch ein Konfigurationsproblem am ISA. Der ISA muss ja nun
unterscheiden, dass die Ziel-IP in den VPN Tunnel weitergeleitet werden
muss. Wo kann man da noch was einstellen?

Heiko
 

Lesen sie die antworten

#1 Heiko Bernd
29/10/2007 - 16:14 | Warnen spam
Ergànzung:

- es existiert eine Zugriffsregel "VPN Standorte", gesamter ausgehender
Datenverkehr ist jetzt zugelassen zwischen Zentrale und Aussenstelle
- Protokollierung ist aktiviert für: "Zielnetzwerk - gleich - Aussenstelle"
- von der Zentrale aus: Ping wird an Drucker gesendet und beantwortet und
mit "VPN Standorte" protokolliert
- von der Zentrale aus: RDP auf einen Rechner funktioniert und wird mit "VPN
Standorte" protokolliert
- von der Zentrale aus: HTTP auf die Druckerkonfiguration funktioniert
nicht, wird erst mit "VPN Standorte" protokolliert und in der gleichen
Sekunde noch mit einer weiteren Regel " " protokolliert

Bezieht sich jetzt nur auf eine initiierte HTTP Anfrage aus der Zentrale:
Bei der Protokollierung "VPN Standorte" wird als Quell-IP meine
Arbeitsstation 10.10.10.2 angegeben und das Ziel "Aussenstelle
(10.11.10.200:80)", was der Drucker wàre.
Bei der Protokollierung mit " " wird plötzlich als Quell-IP die
192.168.32.2 angegeben, was die externe IP des ISA ist und als Ziel wieder
"Aussenstelle (10.11.10.200:80)", genauer Fehlerlog unten.

Wie mache ich dem ISA jetzt begreiflich, das er nicht Proxy ins Internet
spielt, sondern die Anfrage in seinen existierenden VPN Tunnel
"Aussenstelle" schickt???

Heiko

Fehlerlog:
Fehlgeschlagener Verbindungsversuch ISA 29.10.2007 16:00:06
Protokollierungstyp: Webproxy (Forward)
Status: 10065 Der Host war bei einem Socketvorgang nicht erreichbar.
Regel: VPN Standorte
Quelle: Intern (10.10.10.2)
Ziel: Aussenstelle (10.11.10.200:80)
Anforderung: GET http://10.11.10.200/
Filterinformationen: Req ID: 0b6836ef
Protokoll: http
Benutzer: anonymous
Zusàtzliche Informationen
a.. Client-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT
5.2; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)
b.. Objektquelle: Internet (Quelle ist das Internet. Das Objekt
wurde dem Cache hinzugefügt.)
c.. Cacheinfo: 0x0
d.. Verarbeitungszeit: 63015 MIME-Typ:

Ähnliche fragen