ISA 2006 Standard - DMZ nachtraeglich einrichten

15/11/2007 - 12:31 von Roger Hungerbuehler | Report spam
Hallo

Wiedermal ein kleines Problem :-)

Wir haben hier einen ISA06 Std. dieser ist als Edgefirewall eingerichtet und
bedient u.A auch einen Site 2 Site VPN Verbindung zu einem Kundennetzwerk.
Der ISA hat total 4 NICs die folgendemassen eingerichtet sind:

NIC1 = Extern
SN: 192.168.1.0/24
IP: 192.168.1.9
GW: 192.168.1.1 / 24 (VDSL-Router)

NIC2 = Intern
SN: 172.19.25.0/24
IP: 172.19.25.23

NIC3 = DMZ
SN: 10.0.36.0/24
IP: 10.0.36.9

NIC4 = Standleitung zu einem Kunden
SN: in Planung

Leider kann ich die statische Public-IP nicht direkt an NIC1 binden, da dann
der ISA die PPPoE Einwahl machen muesste.

Nun zum Problem, ich muss die DMZ einrichten, in der DMZ steht (vorerst) nur
ein einzelner Webserver (IP:10.0.36.2 GW: 10.0.36.9), der wie folgt
erreichar sein muss:

Von Extern per HTTPS (waehrend der Testphase auch ueber HTTP)
Von Intern per RDP

Ausserdem muss der Webserver eine ODBC-Verbidnung auf den SQL-Server im
Internen Netzwerk herstellen koennen.

Ich habe nun ein zusaetzliches externes Netzwerk (DMZ.0.36.0/24) sowie
zwei Netzwerkregel mit NAT erstellt (1. DMZ nach Extern 2. Extern nach DMZ).
Dazu eine Netzwerkregel (DMZ Management) mit NAT von Intern nach DMZ.
Dann eine Zugriffsregel die RDP von Intern nach DMZ zulaesst swie (vorerst)
nur eine Zugriffsregel, die DNS, HTTP, HTTPS und FTP von DMZ nach extern
zulaesst.
Der Zugriff per RDP auf den Webserver in der DMZ funktioniert. Der Zugriff
aufs Internet von der DMZ aus funktioniert aber nicht. Grund, ISA blockt die
DNS-Anfragen
vom Webserver nach Extern (dem Webserver habe ich eine oeffentliche
Nameserveradresse eingetragen).

Wo liege ich falsch?

Danke und sorry fuer den langen Roman ;-)

Gruss
Roger Hungerbuehler
 

Lesen sie die antworten

#1 Jens Baier
15/11/2007 - 19:54 | Warnen spam
Hi,

Leider kann ich die statische Public-IP nicht direkt an NIC1 binden, da
dann der ISA die PPPoE Einwahl machen muesste.



geht das nicht? Waere doch machbar, auch wenn ein Router davor natuerlich
besser waere

Von Extern per HTTPS (waehrend der Testphase auch ueber HTTP)
Von Intern per RDP

Ich habe nun ein zusaetzliches externes Netzwerk (DMZ.0.36.0/24) sowie
zwei Netzwerkregel mit NAT erstellt (1. DMZ nach Extern 2. Extern nach
DMZ).



OK

Dazu eine Netzwerkregel (DMZ Management) mit NAT von Intern nach DMZ.



andersrum nicht?

Dann eine Zugriffsregel die RDP von Intern nach DMZ zulaesst swie
(vorerst) nur eine Zugriffsregel, die DNS, HTTP, HTTPS und FTP von DMZ
nach extern zulaesst.



OK

Der Zugriff per RDP auf den Webserver in der DMZ funktioniert. Der Zugriff
aufs Internet von der DMZ aus funktioniert aber nicht. Grund, ISA blockt
die DNS-Anfragen
vom Webserver nach Extern (dem Webserver habe ich eine oeffentliche
Nameserveradresse eingetragen).



wie ist denn DNS fuer die / den Server in der DMZ eingestellt?
hast Du iM DMZ Netzwerk (Eigenschaften) den Webproxy aktiviert)?
Erlaube auch noch temporaer ICMP und wenn dann Ping / NSlookup etc. funzen
wird es auch mit dem Internet funzen

Gruss Jens
www.nt-faq.de

Ähnliche fragen