ComputerBase Menü
Aktuelles

ISA Server, Win2k3.. Konzept so realisierbar?

C

cmue

Ensign
Registriert
Apr. 2004
Beiträge
154
Hallo zusammen!

Also: Ich bin gerade zuhause ein bisschen am rumspielen und übe so quasi für meine IT Prüfungen.

(Vorweg: Alles 120 Tage Testversionen von MS)

Folgendes:

Ich habe hier
- einen Server
- einen handelsüblcihen Rrouter (Netgear)
- fünf Clients

So. Auf dem Server läuft Win2k3 Enterprise. Ich möchte das dieser Server die ISA 04 Firewall von MS installiert bekommt. Mit dieser Firewall will ich dann "üben".

Jetzt zum eigentlichen Problem:

Ich will, dass alle Clients über den Server ins Internet gehen. Der Server soll den Verkehr dann einfach an den Router weiter geben. Den Router werde ich so einstellen, dass die DMZ auf den Server geleitet wird. Wird dann auch der komplette Internetverkehr auf den Server geleitet?
Auf dem Server möchte ich dann die einzelnen Ports verwalten und ggf. an die Clients weiterleiten.

Und ist der ISA Server auch gleichzeitig ein Router der die Daten dann im internen Netz weiterleitet?


Ich habe mir das jetzt wie folgt vorgestellt.
Der Server hat 2 NICs. Eine soll im gleichem Netz wie der Router sein, die andere in einem anderen Netz für das Interne. Als Standard Gateway, für die Clients, werde ich dann anstatt des Routers den Server angeben.

Kommt dann das Resultat raus, das nur der Server sich mit dem Router unterhällt und die Clients Internet nutzen können?


Wie alles genau einzurichten ist will ich nicht wissen, will nur nachfragen ob meine Planung soweit überhaupt möglich ist oder ein Denkfehler da ist.

Vielen Dank!!

 
Zuletzt bearbeitet:
Habe mit der Firewall noch nicht gearbeitet, grundsätzlich klingt dein Plan aber umsetzbar..

DMZ hat eigentlich nichts damit zu tun ob der ganze Verkehr auf den Server umgeleitet wird, sondern nur das die Firewall vom Router nichts blockt das auf den Server will (anhand der Ports) Dafür musst du dann die Software-Firewall (was ich eigentlich für keine so gute Lösung halte) entsprechend konfigurieren.

Ich würde dir raten den Server nicht als DMZ einzurichten, sondern einfach am Router nur die Ports die du an den Clients brauchst zum Server durchzulassen.

Grüße

Jendrik
 
Hallo,

umsetzbar ist das schon, allerdings befindet sich in Deiner chematischen Darstellung ein kleiner Fehler. Guck Dir mal die Gateway-IP der Clients genauer an...

Nur als Hinweis, falls Du das in eine Dokumentation einfliessen lassen möchtest und irgendwo abgeben musst. Ausserdem solltest Du dann noch die Subnetze angeben - am besten in der verkürzten Schreibweise, als Beispiel: IP 192.168.1.2 / 24.

Grüße
Stage Zero
 
laut deiner zeichnung müssen die gateways auf den clients gleich der ip deder NIC sein welche weiterleiten soll.... in deinen fall 192.168.2.1
 
Ansonsten steck doch einfach noch eine NIC in den Server und stelle die Verbindung zum DSL einfach über PPOE her, dann hast du auf jeden fall alles direkt auf dem Server, also quasi deine "volle" externe schnittstelle.
 
Also wenn du im Router den Server in die DMZ stellst so kannst du im Server die Portfreigabe verwalten.Somit läuft der gesamte Traffic ungefiltert an den Server ab da kann du dann mit der Firewall/ISA Server die Datenpakete leiten/filtern. Konzeptionelle Frage steht noch aus..

Frage:
Sind die Client auch an dem selben Router wie der Server/Firewall?

lt. deiner Zeichnung sind alle Clients an den Server konnektiert..

Das mit der 2. NIC ist eine gute Idee - Outbound und Inbound Traffic. Bzw. Netzwerktrennung damit erschwerst du potentielle Attacken um einiges - solltest nur ein gutes routing Konzept haben was auch Sinn macht.

@Stage: die CIDR Schreibweise der IP/Sub ist nicht so wichtig in einer Dokumentation..klar auf die IHK Kommission machts guten Eindruck aber nicht zwangläufig.Die Pürfer kommen dann auf Fragen die dich dann Punkte kosten -> z.B wieso wurde die CIDR Schreibweise eingeführt..wann und was bedeutet CIDR..selbige in meiner Facharbeit vorgekommen oder wieso benutzen sie ein kommerzielles Produkt und kein OSS. ;-)
 
Zuletzt bearbeitet: (Additions)
Danke für die Antworten.
So ich habe jetzt eine neue Topologie gezeichtnet.




Jetzt aben alle als Gateway den Router.
Direkte Verbindung vom Modem zum Server kann ich derzeit bautechnisch bedingt noch nicht herstellen. Daran habe ich nämlich auch zuerst gedacht.

Nun dadurch das die Netze ja jetzt logisch von einander getrennt sind, sollte der ganze Verkehr theoretisch ja über den Server laufen.

Seht ihr noch einen IP Fehler? Meines erachtens sind alle Netze+Hosts gültig.
Hier nochmal eine übersicht:

Netz1 (Server <-> Router)
ID: 192.168.0.0
Router: 192.168.0.1
Server: 192.168.0.2
BC: 192.168.0.3
SM: 255.2555.252

Netz2 (Server <-> Clients)
ID: 192.168.1.0
1st. IP: 192.168.1.1
Last IP: 192.168.1.14
BC: 192.168.1.15
SM: 255.255.255.240
Zum Vergrößern anklicken....

Um zum Routing Konzept:
Ich habe mir überlegt, dass ich eine statische Route vom Server zum Router lege, oder ist das nicht sinnvoll?
Ich müsste das dann ja mit dem "Routing und RAS" Dienst konfigurieren richtig? Da könnte ich doch, theoretisch, eine Statische Route aus dem x.x.1.0 Netz zum Router x.x.0.1 legen, oder?

Ich hoffe das jemand möglichst bald sagt: könnte funktionieren :D Weil dann leg ich los ^^
Kann sein das das nicht die optimale Lösung ist, aber ich bin ja noch am Lernen =)

(Nebenbei: bin erst im 1. Jahr Azubi Fachinformatiker f. Systemintegration, Prüfungen sind also noch lange hin.)
 
Okay die Netze existieren soweit und die Firewall arbeitet auch.

Jetzr muss ich es nur noch irgendwie hinkriegen wie ich das Routing auf dem Server zwischen NIC1 und NIC2 hinkriege.

Weiß jemand die entsprechende Einstellung aus dem Kopf? Wenn nicht ist auch nicht schlimm, lese mich schlau oder frage morgen meine Ausbilder.
 
Ich spiele auch im Augenblick mit dem ISA2006 rum und hätte folgende Änderungen:

Die Clients bekommen als Gateway die interne IP des ISA. Das Routing funktioniert selbständig zwischen den Netzwerkkarten des ISA, wenn eine als interne und eine als externe konfiguriert ist. Die interne Netzwerkkarte des ISA hat keinen Gateway, die externe hat den Router als Gateway.
 
Muss man das Routing also beim ISA konfig.?

Ich werd mal schaun. Denn mit NAT krieg ich kein Routing zustande.. :/


Und wo definiere ich beim ISA intern und extern?

Ok danke, habs zum laufen gekriegt. Alles läuft so wie ich es mir vorgestellt habe.
 
Zuletzt bearbeitet von einem Moderator: (Trippelposts zusammengeführt)
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

yurij
ISA Server 2004 -> Nicht SYN Paket-Propblem -> SMTP unbrauchbar
Antworten
2
Aufrufe
1.772
yurij
yurij
Y
ISA Server mit mehreren externen IP's ?
Antworten
1
Aufrufe
1.164
systemkiller
systemkiller
M
Routingfunktion beim Microsoft ISA-Server
Antworten
16
Aufrufe
1.696
meisteralex
M
helldriver
Emule hinter dem Isa-Server
Antworten
4
Aufrufe
1.301
helldriver
helldriver
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz