Zum Hauptinhalt wechseln
Anmelden |
  Hilfe (neues Fenster)
VHelms

Isrichtig.de

Startet die Suche
Homepage
Kontakt
Impressum
  

Kategorien
Windows
Office Server
Exchange
Firewall
Sonstiges
Coding
Office 2007
Office 2010
SharePoint 2010
Windows 7
Andere Blogs
Renés Sharepointblog
You Had Me At EHLO
Daniel Melanchthon
Hyperlinks
Archiv
Archiv (Kalender)
Net at Work GmbH
NoSpamProxy
MS-Exchange FAQ
RSS-Feed
Isrichtig.de > Kategorien

13.03.2009

Fritzbox Fernzugang über VPN
Hallo,
 
ich habe gestern mal die VPN Funktion der Fritzbox 7170 ausprobiert und bin über ein kleines Problem gestolpert. Zuerst muss man ja das Tool "FRITZ!Fernzugang einrichten" starten und eine VPN Verbindung konfigurieren. Das beschreibe ich hier mal nicht weiter. Nachdem ich anschließend die Konfiguration in die Fritzbox eingespielt und auf meinem Laptop die Benutzerkonfiguration über "FRITZ!Fernzugang" eingespielt hatte konnte ich zwar eine Verbindung aufbauen, aber keine Daten austauschen. Es funktionierte kein Ping, kein Dateizugriff auf eine Freigabe und auch kein Remote Desktop. Lt. dem Fritz Monitor (im Installationsverzeichnis die Monitor.exe starten) schien die Verbindung aber zu stehen.
 
Also habe ich mir die Konfigurationsdateien einmal genauer angeschaut und dort folgenden Punkt geändert:
vorher: use_nat_t = no;
nachher: use_nat_t = yes;
Damit unterstützt die Verbindung auch einen Verbindungsauf/ Datentransfer über Nat-Router (Network Address Translation). Bei mir funktionierte anschließend die Verbindung problemlos. Ach ja, der Eintrag muss sowohl bei der Fritzbox Konfigurationsdatei als auch bei der Benutzerkonfigurationsdatei angepasst werden.
Auch bei Verbindungen über UMTS oder GPRS wird dieser Eintrag notwendig sein, da die Mobilfunkanbieter ebenfalls häufig ein NAT nutzen um die Verbindung ins Internet zu ermöglichen.
 
Gruß,
Volker
Bereitgestellt um 14:14 von Volker Helms | Kategorie: Firewall | Permalink | Diesen Beitrag per E-Mail senden | Kommentare (0)

18.06.2007

Isa Server Firewalldienst startet nicht
Fehlermeldung:

Event Type: Error
Event Source: Microsoft ISA Server
Event Category: None
Event ID: 1000
Description:
Faulting application wspsrv.exe, version VersionNo, stamp StampNo, faulting module w3filter.dll, version VersionNO, stamp StampNo, debug? 0, fault address AddressNo.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Wenn dieser Fehler auftritt ist häufig die Cachedatei defekt. Die Datei einfach mal löschen (liegt normalerweise unter C:\Urlcache) und den Dienst starten.

Bereitgestellt um 09:23 von Volker Helms | Kategorie: Firewall | Permalink | Diesen Beitrag per E-Mail senden | Kommentare (0)

09.05.2007

Checkpoint: Zurücksetzen der SIC
Hin und wieder kann es vorkommen das man die Zertifikate für die SIC (secure internal communication) zurücksetzen möchte. Damit dies funktioniert müssen alle ausgestellten Clientzertifikate (sog. ICAs) über das Smartcenter gelöscht werden. Durch das Zurücksetzen wird die interne CA ebenfalls gelöscht und neu initialisiert. Dazu bitte folgende Schritte durchführen:
  • Auf dem Smartcenter Server den Befehl "fwm sic_reset" aufrufen. Anschließend folgt eine Warnung das die interne CA zerstört wird. Diese muss bestätigt werden.
  • Aufrufen von cpconfig
  • Wechseln zur Registerkarte "Certificate Authority" und dort auf den Button "Initializy" klicken.
  • Meldungen mit "OK" bestätigen. Falls der FQDN nicht mit dem Firewallobjekt übereinstimmt folgen nun Warnmeldungen. In diesem Fall den FQDN bitte ändern.
  • Mit cpstop/ cpstart die Firewalldienste neu starten.
Bereitgestellt um 23:04 von Volker Helms | Kategorie: Firewall | Permalink | Diesen Beitrag per E-Mail senden | Kommentare (0)
Checkpoint: Debug beim Dashboardstart schreiben
Heute mal ein kleiner Ausflug in die weite Welt der Checkpoint Firewalls. Falls beim starten des Dashboards Fehler auftauchen kann man ein Debuglog schreiben. In diesem Log wird alles protokolliert was so beim Start des Dashboards passiert. Dazu muss folgendes gemacht werden:
  • In das Verzeichnis wechseln in dem die Datei fwpolicy.exe liegt. Das ist z.B. C:\Program Files\CheckPoint\SmartConsole\R61\PROGRAM
  • fwpolicy.exe mit den Parametern "fwpolicy -d -o fwpolicy_debug.txt" aufrufen. Die Textdatei enthält die Debuginformationen.

Dort wird z.B. auch die Gültigkeitsdauer der internen CA angegeben.

Bereitgestellt um 22:58 von Volker Helms | Kategorie: Firewall | Permalink | Diesen Beitrag per E-Mail senden | Kommentare (0)

11.02.2007

ISA 2006 blockt Zugriffe wenn pass-through authentication aktiviert ist
Ein großer Vorteil des ISA Servers 2006 sind die Authentifizierungsmöglichkeiten direkt am ISA Server. Bisher wurde der ISA 2004 oft so konfiguriert das eine Anmeldung direkt am Webserver und nicht am ISA Server durchgeführt wurde.
Dabei ist gerade die vorherige Anmeldung am ISA Server, bevor überhaupt Daten ins interne Netz gelangen, ein sehr großer Sicherheitsvorteil.
In einer ISA 2006 Umgebung soll dies nun möglichst bei allen Webveröffentlichungen so sein.
Wurde nun ein Update von 2004 nach 2006 durchgeführt funktionieren viele der Webveröffentlichungen aus genau diesem Grund nicht mehr. Es tritt der Fehler:
 
Error Code: 403 Forbidden. ISA Server is configured to block HTTP requests that require authentication. (12250)
 
auf.
Der ISA 2006 Server kann auf 3 verschiedene Arten konfiguriert werden wie er mit Anmeldeanforderungen umgehen soll.
  1. Keine Delegierung, aber direkte Authentifizierung des Clients
  2. Keine Delegierung, keine direkte Authentifizierung des Clients
  3. Kerberous Authentifizierung

Die erste Einstellung entspricht einer Pass-Trough Authentifizierung. Der Client meldet sich wie bisher wieder direkt am Webserver an.
Die zweite Einstellung verhindet eine Anmeldung. Der ISA Server unterdrückt Anmeldeanfragen vom Webserver.
Die dritte Einstellung entspricht der sichersten Lösung. Der Benutzer meldet sich am ISA Server an und der ISA Server leitet die Anmeldung weiter.

Haben wir nun aber z.B. die Variante 1 konfiguriert und versuchen nun auf unsere Webseite zuzugreifen (und diese nutzt keine Anmeldung - es soll also Anonymer Zugriff erlaubt sein) bekommen wir trotzdem den gleichen Fehler wie vorher.
Das wir immer noch den Fehler bekommen liegt nicht an der Auswahl der Variante 1 sondern daran das unser Weblistener nicht richtig konfiguriert ist.

ISA06_Weblistener_Auth

Vermutlich sieht die Konfiguration des Weblisteners so aus. Wir haben den Listener also so konfiguriert das er eine Anmeldung erwartet. Das ist natürlich Quatsch da wir in der Webveröffentlichung gesagt haben der Webserver soll das übernehmen. Wir müssen also an dieser Stelle "Keine Authentifizierung" auswählen.
Dann noch die Regeln neu erstellt und ausprobiert. Hm... Schon wieder der gleiche Fehler...
Das wir auch jetzt noch den gleichen Fehler bekommen liegt vermutlich daran das wir versuchen per HTTP auf die Webseite zuzugreifen. Der ISA Server verhindert Anmeldungen an Webserver über HTTP. Das ist auch Sinnvoll da die Anmeldedaten ja im Klartext über die Leitung gehen. Würden wir an dieser Stelle die Verbindung über HTTPS aufbauen würde der Zugriff bereits funktionieren.

Falls Sie trotzdem eine Anmeldung an den Webserver zulassen wollen - wovon ich ohne SSL dringend abraten würde müssen Sie noch eine weitere Einstellung am Weblistener vornehmen.

ISA06_Weblistener_Erweit

Wenn wie hier der Haken "Clientauthentifizierung über HTTP zulassen" gesetzt ist dürfen wir uns auch über HTTP an der Webseite anmelden. Also Haken setzen und Regeln installieren.
Nun haben wir den ISA Server dazu gebracht so zu agieren wie viele Konfigurationen unter ISA 2004 laufen. Nach einer Migration haben Sie nun also den gleichen Stand wie mit einem ISA 2004.

Empfehlen möchte ich Ihnen aber trotzdem die Anmeldung am ISA Server durchzuführen und dann die Anmeldung nach intern weiterleiten. Dies kann sogar für einen Anwender einige Vorteile mitbringen. Wird z. B. auf eine Sharepointfarm zugegriffen müsste sich normalerweise ein Benutzer an jedem Server anmelden. Durch die Anmeldung am ISA 2006 Server kann dieser aber die Anmeldedaten an die entsprechenden Server delegieren. Der Benutzer muss die Anmeldedaten nur einmal eingeben.

Der entsprechende KB Artikel von Microsoft ist unter http://support.microsoft.com/kb/924374/en-us zu finden.

Bereitgestellt um 12:47 von Volker Helms | Kategorie: Firewall | Permalink | Diesen Beitrag per E-Mail senden | Kommentare (0)
ISA Server erlaubt nur 443 als SSL
Ein ISA Server erlaubt SSL Daten nur über Port 443. Nutzt eine Webseite einen anderen Port kommt eine Fehlermeldung:
 
HTTP/1.1 502 Proxy Error (The specified Secure Sockets Layer (SSL) port is not allowed. ISA Server is not configured to allow SSL requests from this port.
 
Damit der ISA Server auch SSL Datenverkehr über einen anderen Port erlaubt muss dieser per VBscript in der ISA Konfiguration hinzugefügt werden.
 
Dim root
Dim tpRanges
Dim newRange
Set root = CreateObject("FPC.Root")
Set tpRanges = root.GetContainingArray.ArrayPolicy.WebProxy.TunnelPortRanges
set newRange = tpRanges.AddRange("SSL 10000", 10000, 10000)
tpRanges.Save
In diesem Beispiel wird der SSL Datenverkehr zusätzlich für Port 10000 freigeschaltet.
Microsoft liefert unter http://support.microsoft.com/kb/283284/en-us den entsprechenden KB Artikel.
Bereitgestellt um 12:18 von Volker Helms | Kategorie: Firewall | Permalink | Diesen Beitrag per E-Mail senden | Kommentare (0)