我的网络上有几个有状态的路由器/防火墙盒(pfSense、TMG 2010、ISA 2006)。目前,它们都与大多数最终用户设备和服务器在同一子网上有一个接口。我将进行一些更改,并将一些服务器放在这些防火墙后面的自己的子网上,所以我想知道我是否应该为路由器设置一个专用子网,以便通过该子网将数据包路由到彼此。没有路由协议,只有静态路由。 我试图避免异步路由,因为异步路由对于状态防火墙来说可能是一个问题,因为流量以不同的路径流入和流出网络。如果流量通过不同的路径回流,并且该路径上的防火墙在状态表中没有记录,那么流量可能会被阻止。 我的基本问题是:这是解决这个...
我的情况是这样的。我们的办公室刚刚出售,我们正在努力迁移到新公司的环境。在 Outlook 客户端迁移之前,一切都运行良好。 我们的防火墙是 TMG Forefront 2010,我们都使用 Office 365 连接。Outlook 设置非常简单,因为我们使用自动发现来自动配置配置文件。现在,我们正尝试对新公司的 Exchange 服务器执行完全相同的操作,但没有任何效果。 当我在连接到访客互联网连接(不在我们的防火墙后面)的笔记本电脑上配置 Outlook 客户端时,一切都立即正常工作。我家里的电脑也运行得很好。一旦计算机进入我们的内部网络,它就无法...
我遇到了一个奇怪的网络问题。 有一个网络,单个 IP 子网:192.168.60.0/24。 网络有两个与 Internet 连接的防火墙(运行 ForeFront TMG 2010),192.168.60.253(生产)和 192.168.60.240(开发);这是必要的,因为有两个环境,每个环境都需要自己的 Internet 发布规则;但是,由于历史原因,它们共享相同的 IP 子网,并且这不容易更改。因此,生产计算机使用 192.168.60.253 作为其默认网关,而开发计算机使用 192.168.60.240。只要不涉及其他网络,一切都会正常。 ...
我们的网络规模相当小,有托管和非托管交换机(Netgear GS748T、Linksys SLM2024、DGS-1008D、DES-1008D、DES-1026G、SRW224G4)、大约 8-10 台 Hyper-V 主机(带有多个虚拟机)、几台带有 VWMare 的主机以及大约 100 个本地用户和另外 100 个 vpn 用户(并非一直连接)。最近,我们在网络中引入了 Forefront TMG(使其成为中心点),并对 VLAN 进行了重大更改(从一个 192.168.1.X 网络到 5-10 个 VLAN,将网络分为测试机器、关键服务器、iSCSI...
上周,我们的 Hyper-V 服务器崩溃了,迫使我们重建了大部分网络。重建网络后,我们遇到了一个大问题。我们使用 Forefront TMG 通过 Web 侦听器路由我们的网络流量。我们制定了一条规则,将传入的外部 IP 地址转换为 Forefront 防火墙后面的私人网站。我们的 TMG 服务器有 2 个 NIC 卡,一个外部卡没有 DNS 设置,一个内部卡没有默认网关设置。我们的正常默认网关是 CISCO ASA VPN。 我的问题是,如果我不使用我们的 TMG 服务器作为 Web 服务器和外部 DNS 的默认网关,那么我就无法访问该站点。一旦我将其更...
配置:TMG 在 10.0.3.1 上启动,有三个网络适配器,其中一个已连接到 Internet。本地 Windows 8.1 PC 在 10.0.3.xx 上尝试连接到托管交换机(内部),http://10.0.3.yy通过浏览器。PC 的网关为 10.0.3.1,交换机可能根本没有此设置。交换机未在 TMG 上发布。PC 收到错误 12206:代理链循环页面进入浏览器,源自 10.0.3.1。TMG 的日志显示相应的事件 ID 为 14141,内容大致相同。 如果浏览器配置为不使用代理,流量怎么会经过 TMG?如何让 PC 忽略 TMG 的存在并通过 ...
%20IP.png)
我们需要确定通过 TMG 2010(AD 身份验证)连接到我们的内部服务器(Exchange - OWA+Mail)的客户端的外部 IP。我们在 TMG 日志中发现了以下日志条目: 时间 - 外部客户端 IP 时间 - 虚拟IP - 内部服务器IP - 账户 但我们无法关联这些条目来获得: 外部客户端IP-内部服务器IP-账户 有可能吗?或者可能还有其他日志? PS 我们使用反向代理功能,无法启用安全 NAT。 ...
我们是一家小公司,在偏远地区安装了 TMG 防火墙,我们的 DSL 线路无法升级到更高的带宽。使用这种不对称 DSL 线路,我们通常可以获得正确的浏览体验,除非上传占用了带宽。 在上传过程中,VPN 客户端变得非常慢且没有响应。我们有第二条 DSL 线路,我想将所有 VPN 流量都通过第二条 DSL 线路,并将所有正常的互联网流量保留在第一条线路上。 这是 TMG 支持的配置吗? 我期望步骤如下: 在服务器中添加额外的网卡,配置固定IP,无网关(TMG 只能有一个网关) 将新的网卡连接到第二条 DSL 线路,在 DSL 路由器上转发 VPN...
我有一个使用 Forefront TMG 作为 HTTPS 网站发布的网站。它具有有效的 SSL 证书 (EV)。该网站在除 Safari、Midori 和 Dolphin 之外的所有浏览器上均可正确显示。 问题是 Safari 根本无法连接到网站。好像网站根本不响应请求。没有文件传输。连接完全断开。至少在很长一段时间内(30 秒到几分钟)都是如此。 我有几个不同的网站通过 HTTPS 配置。不同的域名、不同的 IP 和不同的证书。证书来自不同的颁发者。 我的所有 HTTPS 网站都存在此问题,仅在使用 Safari、Midori 和 Dolphin ...
我安装了 Forefront TMG 2010 作为代理服务器,以限制用户的互联网访问。我通常会遇到以下问题: 1-我无法使用 POP/IMAP 和 SMTP 的 URL 配置电子邮件客户端(Outlook),并且我必须找到相应的 IP 才能使其直接通过客户端工作。 2- 防火墙开启时,无法使用特定的内部 IP 和分配的端口(即 10.255.255.20:3911)访问本地网络资源(即网络打印机)。 3- 具有不同端口的某些 URL(通常是安全 HTTPS)(即https://www.contoso.com:2083) 不起作用。 我尝试了数十种方...
我有一台运行 Forefront TMG (7.0.9193.500) 的 Windows Server 2008R2 服务器,它充当我们的防火墙和 VPN 网关。在大多数情况下,它都能正常工作,阻止流量并允许用户通过 VPN 接入。我遇到了密码过期导致的问题 - 如果用户登录到运行 Windows 7 的客户端计算机,则无法发送新密码。 网络被严格封锁,只有少数几台机器可以访问互联网。同样,连接的客户端除了通过 VPN 连接到家庭地址外,不允许访问互联网(某些特定规则允许发现等,但不允许“正常”互联网)。客户端(使用 Windows 7 计算机)由 TM...
tl;dr 我在让 TMG 正确地将外部的 HTTPS 连接反向代理为内部的 HTTP 连接时遇到了麻烦。 我们有一个 LAN (10.0.7.0/24),其中托管着一个 Windows Server 2008 机箱,并安装了 Spiceworks。Spiceworks 使用 Apache,并配置为同时提供 HTTP 和 HTTPS 服务。只要您从 LAN 浏览它,它就可以正常工作,没有问题。 我们还有一个 DMZ(172.32.16.0/24),其中托管着一台 Forefront TMG 服务器,该服务器可以访问 LAN 和 Internet。因此,我...
我最近设置了 TMG2010,我认为我的配置出了问题。我不想运行任何事物除了网络发布/反向代理设置之外还有更多内容。 我的互联网连接到 ASA,它将外部静态的 80 端口 natting 到 10.1.20.5(TMG 机器 - 来自 asa 上的 dmz 网络 10.1.20.0),TMG 机器有第二个 nic(10.1.10.x 带网关 10.1.10.1)用于与 Web 服务器的内部连接。 确保内部/外部网络组设置正确(我认为这是我当前的问题)的最简单的方法是什么,验证我的网络侦听器是否正常工作,然后在不同的内部 IP 上发布多个站点。 我看过一...
我总部的 Server 2008 R2 上运行着 TMG 2010,2 个分支机构使用 Dray Tek 2930 路由器和 IPsec 站点到站点 VPNS 进行连接。远程站点可以在总部网络之间路由,反之亦然,没有任何问题。我希望使分支机构能够相互路由。 总部位于 192.168.100.0/24 DG 192.168.100.254(内部 TMG NIC) 分支机构 A 位于 192.168.7.0/24 DG 192.168.7.1 分支机构 B 位于 192.168.0.0/24 DG 192.168.0.1 在分支机构的路由器上,我已将其他...
我已经与客户的 TMG 斗争了几天,我已经没有主意了。希望你能帮助我。 据我了解,TMG 被设置为 Internet 和本地计算机之间的代理,其中 IIS 上装有我的应用程序。我需要对其进行配置,以便将压缩内容从 IIS 传递到 Internet。 我们已经做了:1. 我们将 SendAcceptEncodingHeader 设置为 True,以便将 Content-Encoding 传递给 IIS,2. 我们启用了压缩过滤器。我们在 Http 压缩属性窗口的“返回压缩数据”和“请求压缩数据”选项卡上添加了计算机。我还在可压缩内容类型上选择了所有 mim...