ISA 2000 und Elster
Oliver Dick
Ich habe das Problem, dass ich den ISA 2000 für die
Übertragung einer Steuererklärung mit Elster konfigurieren
muß. Laut Elster muß ich für jeden ihrer 6 Empfangsserver
am Proxy-Server einen eigenen Port sowie eine Weiterleitung
(TCP) auf die richtige Ziel-IP einrichten.
Port IP Ziel-Port
4000 1.Empfangsserver 8000
4001 2.Empfangsserver 8000
4002 3.Empfangsserver 8000
4010 4.Empfangsserver 8000
4011 5.Empfangsserver 8000
4012 6.Empfangsserver 8000
In Elster kann ich jedem Zielsatz den eingerichteten Port
auf dem Proxy zuordnen. Aber wie richte ich das ganze
unter ISA ein??? Ich habe für alle angegebenen Ports eine
neue Protokolldefinition erstellt und aus diesen dann eine
Zugriffsrichtlinie, desweiteren habe ich es mit IP-
Paketfiltern probiert, ich bekomme von Elster allerdings
immer die gleiche Fehlermeldung:
...
14.09.2004/09:22:55 : Kommunikation: OpenPort
HDLC/TCP:4011,OTIMEOUT=20000/SOCKET:192.168.0.5) = 1
14.09.2004/09:22:56 : Kommunikation: ERROR -21001 (21001:
NO ANSWER :connect async: CONNECTION REFUSED)
...
Weiß jemand Rat?
Jens Baier
>Port IP Ziel-Port
>4000 1.Empfangsserver 8000
>4001 2.Empfangsserver 8000
>4002 3.Empfangsserver 8000
>4010 4.Empfangsserver 8000
>4011 5.Empfangsserver 8000
>4012 6.Empfangsserver 8000
Ich habe für alle angegebenen Ports eine neue
Protokolldefinition erstellt und aus diesen dann eine
>Zugriffsrichtlinie.
so haette ich es auch gmeacht. Die Protokolldefinition hat
also jeweils den Port 4000 / 4001 usw. definiert ?Was
bedeutet die 8000? Ist das der Zielport bei Elster ?
Die Regel lautet das Ports 400x von intern (oder Rechner
mit Elster) nach Extern (oder IPs der Empfangsserver nach
draussen duerfen?
Dann sollte das doch hinhauen! Was sagt den das ISA Log?
HDLC/TCP:4011,OTIMEOUT=20000/SOCKET:192.168.0.5) = 1
14.09.2004/09:22:56 : Kommunikation: ERROR -21001 (21001:
NO ANSWER :connect async: CONNECTION REFUSED
was mir so ein bissle Sorgen macht ist der EIntrag HDLC im
Log und dann connect async. Das sind eigentlich nicht die
klasssichen TCP/IP Meldungen. HDLC ist da etwas ganz
anderes und async hoert sich echt nach POTS oder ahenlich
an. Bist Du sicher, dass im Elster alles richtig
eingestellt ist (ich kenne die SW leider nicht)
desweiteren habe ich es mit IP-
>Paketfiltern probiert
die brauchst Du nicht, da ein Paketfilter primaer nur
benoetigt wird, wenn Du am ISA selbst was nutzen willst.
Gruss Jens
www.nt-faq.de
Oliver Dick
>-----Originalnachricht-----
>
So wie ich das verstanden habe soll die Verbindung vom
Client mit der Elster Software zum ISA über die 4000er
Ports laufen, beim ISA selber sollen sie dann auf die Ziel-
IP bei Elster über den 8000er Port weitergeleitet werden.
Der 8000er ist wohl fest von Elster vergeben. Das mit dem
HDLC gefällt mir auch nicht, laut Elster-Hotline ist es
aber TCP/IP. Bei der SW selber kann man eigentlich
überhaupt nichts einstellen außer der IP des Proxys mit
entsprechendem Port.
Das Problem ist das die in der Elster-Hilfe immer von
Gateways sprechen und da ich ISA seit genau 3 Tagen kenne
weiß ich nicht, wie man da ein Gateway einrichtet, in der
Hilfe finde ich diesbezüglich auch nichts.
Ich meine, zum Beispiel beim Jana-Server kann ich explizit
Extra-Gateways mit Lokalen Ports, Zielserver und Zielport
einrichten, das muß doch beim ISA auch irgendwo gehen?
anon...@discussions.microsoft.com
>Dann sollte das doch hinhauen! Was sagt den das ISA Log?
>
In den ISA-Logs tauchen meine zahlreichen Versuche zu
meiner Verwunderung überhaupt nicht auf.
Jens Baier
>In den ISA-Logs tauchen meine zahlreichen Versuche zu
>meiner Verwunderung überhaupt nicht auf.
dann geht diese Verbindung nicht zum ISA. In den Logs
steht immer was, es sei denn man deaktiviert das Logging.
Mehr im anderen Thread.
Gruss JEns
www.nt-faq.de
Jens Baier
>>was mir so ein bissle Sorgen macht ist der EIntrag HDLC
>im >>Log und dann connect async. Das sind eigentlich
nicht die >>klasssichen TCP/IP Meldungen. HDLC ist da
etwas ganz>>anderes und async hoert sich echt nach POTS
oder ahenlichDas mit dem
>HDLC gefällt mir auch nicht, laut Elster-Hotline ist es
>aber TCP/IP. Bei der SW selber kann man eigentlich
>überhaupt nichts einstellen außer der IP des Proxys mit
>entsprechendem Port.
also HDLC ist ein Layer 2 Protokoll und wird fuer Point to
Point Verbindungen verwendet wie z. B. X.25.
Wenn Du an der SW nix einstellen kannst, muss es schon am
ISA liegen. Merkwuerdig ist nur, dass nix am ISA Log
ankommt. Wie ist der Client konfiguriert? Ist er Firewall
Client (Software installiert) oder Secure NAT Client
(Default Gateway am Client auf den ISA gesetzt).
Mach ihn mal zum Secure NAT Client und danach zum Firewall
Client. Der Firewall Client kann mit sekundaeren
Verbindungen umgehen, auch wenn kein Applications Filter
installiert ist.
Also gehts am ISA mit dem 400x er Port raus! Hast Du die
Protokolldefinitionen auch in Richtung Ausgehend
konfiguriert? Sag der Protokolldefinition mal dass Sie
eine sekundaere Verbindung mit Port 8000 verwenden soll.
Wenn Du das Risiko eingehen willst, koenntest Du auch
einmal den gesamten ausgehenden Datenverkehr erlauben
(alle Protokolle = Achtung Alle Protokolle = alle
definierten Protokolle !!).
Wenns hart auf hart kommt, kannst Du noch mit Etheral die
Verbindung sniffen, aber eher sollen Dir die Elster Leute
sagen was zu tun ist.
Gruss Jens
www.nt-faq.de
Stefan Happ
direkt benutzen, sondern eine Lohnsoftware die die Elsterkomponenten
integriert.
In unserer Umgebung war es nur nötig einee Protokolldefinition mit TCP für
Port 8000 zu erstellen und eine Zugriffsrichtlinie mit den Clientsätzen nur
mit dieser einen Protokolldefinition zu erstellen.
Und damit läufts auch schon bei uns.
Der ISA ist im Firewallmodus only mit SecureNAT konfiguriert.
Gruß
Stefan
"Oliver Dick" <od...@huth.org> schrieb im Newsbeitrag
news:210301c49a67$17582c60$a401...@phx.gbl...
anon...@discussions.microsoft.com
Ich hab jetzt einfach lokal den Jana installiert, dort die
Weiterleitung von den 400x auf die 8000 eingestellt,
Elster die lokale Adresse als Proxy verkauft und schon
klappts...;-)