Zugriffsregel wird nicht angewendet / ISA hinter Zywall

20/02/2008 - 12:09 von Christian Huhn | Report spam
Hallo zusammen,

ich habe folgendes Problem, der ISA-Server steht bei mir als zweite Firewall
und Proxy hinter einer Zyxel Zywall 5. Die Remote-User verbinden sich mit dem
NCP Secure Entry Client per VPN auf die Zywall und sollen dann Zugriff ins
interne Netz erhalten. Funktioniert auch alles wunderbar, nur werden die
Zugriffsversuche von den Remoteusern vom ISA abgelehnt. Die Versuche
erscheinen im ISA-Log mit der Bezeichnung der von mir angelegten Netzwerke,
die von mir eingerichtete Zugriffsregel wird aber nicht angewandt. Der ISA
verweigert den Zugriff vom Netzwerk Fernzugriff auf Lokaler Host, obwohl per
Regel erlaubt.

Hier eine kurze Schilderung meiner Konfiguration:

IP-Adressen:
Zywall 192.168.0.254
ISA NIC1 192.168.0.1
ISA NIC2 192.168.1.1
Remoteuser: 129.214.3.0/24

In der Zywall hab ich eine Route zum Netz 192.168.1.0/24 erstellt.

Auf dem ISA existierten folgende Netzwerke:
Intern 192.168.1.0 - 192.168.0.255
Fernzugriff 129.214.3.0 - 129.214.3.255
Extern (default)
Lokaler Host (default)

Netzwerkregeln:
Route zwischen Quellnetzwerk Fernzugriff und Zielnetzwerk Intern

Zugriffsregel:
zulassen, Protokoll z.B. Ping, Quelle Fernzugriff, Ziel Intern und Lokaler
Host, Alle Benutzer.

Ich hoffe mir kann jemand weiterhelfen.
 

Lesen sie die antworten

#1 Claus Greck [MVP]
20/02/2008 - 13:27 | Warnen spam
Hallo Christian,

das Verhalten ist darauf zurückzuführen, WIE beim ISA der Begriff des
"Netzwerks" zu verstehen ist, und der ist nicht immer einfach zu verstehen.
Dein Problem ist das, dass du zwar ein Netzwerk für die Clients definiert
hast, aber diese Clients über eine Karte beim ISA aufschlagen, die für ein
anderes Netzwerk, nàmlich das Netzwerk "Extern" definiert ist. Dem Netzwerk
"Extern" gehören alle Adressen an, die in keinem anderen Netzwerk definiert
sind.
Nun kommt da also ein Paket von einem eigentlich (aus deiner Sicht)
bekannten Netzwerk an einer Karte an, auf der es nicht erscheinen dürfte,
weil dort nur die Pakete von unbekannten Netzen hingehören. Das verwirft der
ISA.

Lösung:
Lösche das Netzwerk "Fernzugriff 129.214.3.0 - 129.214.3.255"
Richte ein neues Netzwerk ein, nenne es z.B. DMZ. Füge die Adressen aus der
DMZ zwischen ISA-Extern und Zywall-Intern hinzu. In dieses Netz nimmst du de
IP-Adressen 129.214.3.0 - 129.214.3.255 mit auf.
Lasse den entsprecehnden Zugriff zu. Um Spoofing Angriffe aus dem Netz der
DMZ-Adressen zu verhindern, fügst weiter oben eine Regel hinzu, in der du
Zugriffe im Bereich 192.168.0.0/24 auf den ISA und nach intern verweigerst.

Dann sollte das klappen.

Claus Greck
[MVP - Server Directory Services]


"Christian Huhn" <Christian schrieb im
Newsbeitrag news:
Hallo zusammen,

ich habe folgendes Problem, der ISA-Server steht bei mir als zweite
Firewall
und Proxy hinter einer Zyxel Zywall 5. Die Remote-User verbinden sich mit
dem
NCP Secure Entry Client per VPN auf die Zywall und sollen dann Zugriff ins
interne Netz erhalten. Funktioniert auch alles wunderbar, nur werden die
Zugriffsversuche von den Remoteusern vom ISA abgelehnt. Die Versuche
erscheinen im ISA-Log mit der Bezeichnung der von mir angelegten
Netzwerke,
die von mir eingerichtete Zugriffsregel wird aber nicht angewandt. Der ISA
verweigert den Zugriff vom Netzwerk Fernzugriff auf Lokaler Host, obwohl
per
Regel erlaubt.

Hier eine kurze Schilderung meiner Konfiguration:

IP-Adressen:
Zywall 192.168.0.254
ISA NIC1 192.168.0.1
ISA NIC2 192.168.1.1
Remoteuser: 129.214.3.0/24

In der Zywall hab ich eine Route zum Netz 192.168.1.0/24 erstellt.

Auf dem ISA existierten folgende Netzwerke:
Intern 192.168.1.0 - 192.168.0.255
Fernzugriff 129.214.3.0 - 129.214.3.255
Extern (default)
Lokaler Host (default)

Netzwerkregeln:
Route zwischen Quellnetzwerk Fernzugriff und Zielnetzwerk Intern

Zugriffsregel:
zulassen, Protokoll z.B. Ping, Quelle Fernzugriff, Ziel Intern und Lokaler
Host, Alle Benutzer.

Ich hoffe mir kann jemand weiterhelfen.


Ähnliche fragen