Intern eigen server niet te bereiken via https://FQDN/.. - Serversoftware en clouddiensten

dinsdag 11 juli 2006 16:41

Acties:

Topicstarter

Ik heb een Small Business Server 2003 draaien.

Tot voor kort heeft alles prima gewerkt. De situatie is als volgt:

Oude situatie:

SBS 2003 Server met 2 netwerk kaarten
Geen ISA draait er. alleen de basic firewall met 2 NICs
Remote web Workplace, OWA , OMA .... alles perfect te benaderen vanuit LAN en WAN dmv. https://FQDN/remote en https://pub_ip/remote en https://servernaam/remote
Internet --> ADSL (versatel) router (in routed subnet) --> Draytek Vigor 2900 Router (10.0.0.254) --> Nic2 server(10.0.0.2). Interne netwerk kaart heeft 192.168.16.2.

In de nieuwe situatie heb ik een nieuwe internet verbinding van Versatel gehad met daarbij een Wireless router (dit schijnt dezelfde te zijn als die gebruikt worden in de prive sector). Helaas kan/mag ik maar heel weinig aanpassen in deze router en zit dus vast aan dit apparaat. Anders had allang iets anders neergezet. Maar versatel geeft de gegevens niet vrij oid.

Het enige verschil is dat het modem en de Draytek vervangen zijn voor één apparaat. Daar heb ik hetzelfde ip adres voor genomen (10.0.0.254) en exact de poortmappings overgeklopt.

Dit weekend mijn MX-record bij de ISP laten aanpassen en maandag morgen netwerk kabel uit de draytek gehaald en in die van Versatel gestopt. Alles draait als een zonnetje op één ding na.......

Mijn probleem
Na de overstap kan ik niet meer INTERN https://mail.domain.nl/remote benaderen(ook niet met publiek ip). en dus kunnen mijn PDA's op kantoor ook niet meer via de SSL verbinding synchronizeren met de Exchange server. Want die staan op mail.domain.nl. WEL kan ik https://servernaam/remote benaderen. Het gekke is dat ik het wel weer vanaf het internet kan.

Wat heb ik geprobeerd:

Router Versatel 10.0.0.253 gegeven, daarachter de Draytek in DMZ
Router DMZ naar 10.0.0.2 (=NIC Server)
En nog meer gekke dingen die ik niet meer kan opnoemen... Ik wil het liefst niet te veel aan de server configuratie rommellen omdat die naar mijn id niet gewijzigd is.

Afbeeldingslocatie: http://img106.imageshack.us/img106/5926/netwerk4oh.jpg

Afbeeldingslocatie: http://img106.imageshack.us/img106/5926/netwerk4oh.jpg

Ik heb ook een leuke computer..

dinsdag 11 juli 2006 16:50

Acties:

wizzzzzz

Het lijkt erop alsof de nieuwe router geen NAT loopback ondersteunt of niet op die manier is ingesteld.

dinsdag 11 juli 2006 16:53

Acties:

CyBeR

💩

Inderdaad. In het geval dat het dat niet ondersteunt kun je een eigen DNS server draaien met een aangepaste versie van jouw domein erin, waarin de publieke IP-adressen vervangen zijn door interne.

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 11 juli 2006 18:33

Acties:

Tranzy

Topicstarter

Ik heb natuurlijk op mijn SBS 2003 server ook gewoon DNS draaien ... maar wat voor record moet ik aanmaken om "mail.domain.nl" te koppelen aan mijn interne ip adres van de server. Want als ik een host wil maken dan krijg ik "mail.domein.nl.domein.local" en dat wil je niet

Want met een host file in Windows gaat het prima op een werkstation maar de PDA's kunnen nog steeds geen verbinding maken. Dus zal het ergens op DNS niveau moeten gebeuren.

Ik heb ook een leuke computer..

dinsdag 11 juli 2006 18:51

Acties:

Erwinkemink

Tranzy schreef op dinsdag 11 juli 2006 @ 18:33:
Ik heb natuurlijk op mijn SBS 2003 server ook gewoon DNS draaien ... maar wat voor record moet ik aanmaken om "mail.domain.nl" te koppelen aan mijn interne ip adres van de server. Want als ik een host wil maken dan krijg ik "mail.domein.nl.domein.local" en dat wil je niet

Want met een host file in Windows gaat het prima op een werkstation maar de PDA's kunnen nog steeds geen verbinding maken. Dus zal het ergens op DNS niveau moeten gebeuren.

een mx record voor de mail

als je een DNS draait op die SBS, zorg dat de DHCP server aan de client doorgeeft dat ze hun DNS requests bij de SBS server moeten doen en niet op de versatel router

http://specs.tweak.to/12729

dinsdag 11 juli 2006 18:56

Acties:

Tranzy

Topicstarter

wizzzzzz heeft de spijker op zijn kop geslagen met "Nat Loopback". Als ik daarop zoek vind ik veel forum posts op het internet met klachten zoals ik hier beschrijf. Helaas kan ik niets aan die router veranderen ... dus zal ik het intern moeten doen.

Erwinkemink schreef op dinsdag 11 juli 2006 @ 18:51:
[...]
een mx record voor de mail

als je een DNS draait op die SBS, zorg dat de DHCP server aan de client doorgeeft dat ze hun DNS requests bij de SBS server moeten doen en niet op de versatel router

Dat doen ze... en heb 2 dns servers van versatel toegevoegd als forward adressen.

Dat MX-record is al aangemaakt bij de provider. En ik kan volgens mij alleen een record aanmaken met ****.domain.local

Op zeker is het de router hieronder heeft iemand ook versatel met dezelfde router.

Quote van een website: (http://ubuntuforums.org/showthread.php?t=101698&page=2)

Thanks you for your help!
it worked all along, however i couldn't see it!

it is a problem with the router.
(posting the results, for other people's info)

i have this versatel provider, (in the netherlands) with a Davolink DV-201AMR modem.
apparently it won't let you access the webserver using the WAN IP of the modem if you are inside the network.

[ Voor 132% gewijzigd door Tranzy op 11-07-2006 19:23 ]

Ik heb ook een leuke computer..

woensdag 12 juli 2006 07:19

Acties:

Equator

Crew Council

#whisky #barista

Je hebt waarschijnlijk op je eigen DSN server alleen een forward lookup zone voor domein.local

Je zou een aparte lookup zone moeten maken voor domein.nl
Hierin moet je dan wel alle bestaande verwijzingen voor dit domain invoeren.
Dus een MX record, www A record, mail A record

Je mail.domain.nl laat je dan naar je interne server IP adres verwijzen.

Je DNS server zal nu alle verzoeken voor domein.nl doorzuren naar buiten, maar wanneer je een eigen lookup zone maakt voor dit domein zal hij ze lokaal houden. Je moet dan dus zorgen dat deze server alle records kent.

woensdag 12 juli 2006 09:10

Acties:

Tranzy

Topicstarter

Daar had ik ook aan zitten denken. Maar ik heb alleen een mailserver draaien binnen ons domein. Verder draaien er standaard dingen op als Outlook Web Access en Remote Web Workplace

Dus als ik er niet uitkom met Versatel dan zal ik dit eens proberen. Ik vind het belachelijk dat ze één-of-ander Multimedia modem/router, die ook geleverd wordt aan de consument, leveren bij een Business Internet ADSL abbonnement.

[ Voor 40% gewijzigd door Tranzy op 12-07-2006 09:15 ]

Ik heb ook een leuke computer..

donderdag 13 juli 2006 12:33

Acties:

Verwijderd

ach, waarom niet, wil je een cisco hebben wordt je abbo wel flink duurder...
buiten dat, het feit dat die geen loopback doet, voorkomt juist de nodig troep.

donderdag 13 juli 2006 17:02

Acties:

Verwijderd

Quick fix

in de windows/system32/drivers/etc/host file

volgende regel toevoegen

fqdn tab ipadreswebserver

vrijdag 14 juli 2006 09:12

Acties:

Tranzy

Topicstarter

Dat werkt idd .... helaas zien de PDA's dat niet. en die moeten ook buiten de deur syncen. Maar om mijn directeur te vragen om elke keer zijn instellingen te veranderen van active sync zie ik nou niet echt zitten.

Ik heb ook een leuke computer..

vrijdag 14 juli 2006 09:20

Acties:

Equator

Crew Council

#whisky #barista

Tranzy schreef op vrijdag 14 juli 2006 @ 09:12:
Dat werkt idd .... helaas zien de PDA's dat niet. en die moeten ook buiten de deur syncen. Maar om mijn directeur te vragen om elke keer zijn instellingen te veranderen van active sync zie ik nou niet echt zitten.

Daarom moet je dat dus gewoon via DNS regelen. Is 5 minuten werk en scheelt een heleboel geneuzel.
En een stuk goedkoper dan het aanschaffen van een andere router die toevallig nat loopback doet.

zondag 16 juli 2006 10:21

Acties:

Tranzy

Topicstarter

Equator schreef op vrijdag 14 juli 2006 @ 09:20:
[...]

Daarom moet je dat dus gewoon via DNS regelen. Is 5 minuten werk en scheelt een heleboel geneuzel.
En een stuk goedkoper dan het aanschaffen van een andere router die toevallig nat loopback doet.

Kan ik niet, met die dubbele netwerk kaart in de server, iets softwarematig regelen zodat er een soort loopback op die kaarten wordt toegepast. In die router zit natuurlijk ook een WAN en LAN nic.

Ons bedrijf is nu een tijdje dicht (lang leve de bouwvak vakantie $_/-\o_$ ) dus wilde de boel de boel laten tot ik weer terug ben.

[ Voor 12% gewijzigd door Tranzy op 16-07-2006 10:22 ]

Ik heb ook een leuke computer..

zondag 16 juli 2006 10:45

Acties:

Verwijderd

zet er een isa server op, dat heb ik ook in mijn netwerk hier en werkt perfect.
met en beetje lezen kan je echt alles instellen zoals jij het wilt op meerdere manieren.

maandag 17 juli 2006 07:40

Acties:

Equator

Crew Council

#whisky #barista

Tranzy schreef op zondag 16 juli 2006 @ 10:21:
[...]

Kan ik niet, met die dubbele netwerk kaart in de server, iets softwarematig regelen zodat er een soort loopback op die kaarten wordt toegepast. In die router zit natuurlijk ook een WAN en LAN nic.

Ons bedrijf is nu een tijdje dicht (lang leve de bouwvak vakantie $_/-\o_$ ) dus wilde de boel de boel laten tot ik weer terug ben.

Sorry, maar ik denk dat je het niet helemaal begrijpt.

De situatie nu is: Je vraag een website aan. Je client vraagt aan zijn DNS server welk IP adres dat is, en hij krijgt dit IP adres terug. De client gaat naar dat IP adres toe via zijn default gateway. De gateway merkt dan dat dit IP adres zijn eigen IP adres is maar kan niet terug een poort weer naar binnen mappen.
Van buitenaf lukt dat wel. Dit bedoelen we met het nat loopback verhaal.

Wanneer je client nu van de DNS server te horen krijgt dat het IP adres niet het externe IP adres van de router is maar gewoon het interne IP adres van de server waarop de website draait dan komt de router er helmaal niet meer bij aan pas.

Om dit te realiseren dien je wel zelf een DSN server te draaien. Aangezien je SBS2003 draait heb je deze dus ook op je server draaien.

Je start de DNS manager, en met het rechts klikken in de map forward lookup zones, creeer je een nieuwe zone. Volg de wizard, primaire zone, To alle domain controllers.
Als zone name gebruik je domain.nl (je echte internet domein.)
Do not allow dynamic updates, next, finish
Klap deze nieuwe zone open:
Maak een nieuwe host aan:
naam: mail
Ip adres:
Create pointer record uit vinken
Klik op add host.

Wanneer je nu (eventueel na het flushen van je dns cache) een ping doet naar mail.domein.nl krijg je reply van het interne IP adres van de server.

Let op: Wanneer je nu surft naar www.domein.nl krijg je geen reply. De reden is dat de DNS server geen record heeft voor www. Hij zal het ook niet verder vragen omdat hij deze zone zelf host.
Je zal dus alle hosts toe moeten voegen die er bestaan.
www.domein.nl
ftp.domein.nl
secure.domein.nl
etc.

Het kan zijn dat je ook een MX (mail exchanger) record moet maken voor dat domein. Tenzij je exchange server mail verstuurt via de relay van je provider.

Let er op dat je voor hosts / servers die extern staan wel het echte IP adres van die servers opgeeft.
Ik hoop dat dit wat duidelijker is

Verwijderd schreef op zondag 16 juli 2006 @ 10:45:
zet er een isa server op, dat heb ik ook in mijn netwerk hier en werkt perfect.
met en beetje lezen kan je echt alles instellen zoals jij het wilt op meerdere manieren.

Dit is natuurlijk nonsense. Een ISA server is een firewall / proxy server. Die heb je hier helemaal niet voor nodig en biedt in de huidige situatie geen extra oplossingen.

maandag 17 juli 2006 11:59

Acties:

Tranzy

Topicstarter

Bedankt voor de duidelijke uitleg ...ik ben wel bekend met DNS, maar was niet zo bekend met het NAT loopback gedeelte. Ik dacht inderdaad dat het zo simpel was om te denken dat de aanvraag op de WAN kant gewoon terug gestuurd wordt naar de LAN kant. Aangezien ik 2 nics in de server heb zitten dacht ik het eigenlijk makkelijk op te lossen door de NAT loopback op de server "aan te zetten".

Verder weet ik wel hoe ik het via DNS kan oplossen maar ik wilde dat liever bewaren als uiteindelijk nood oplossing. Ik hou me graag aan de standaard config van SBS. Het verleden wijst uit dat je met SBS wel eens in de problemen kan komen als je afwijkt van de standaard wizardjes en preconfigured services.

Ik kreeg te horen van Versatel dat ze aan het testen zijn met nieuwe routers die Routed Subnet gaan ondersteunen op de ADSL 2+ verbinding. Die Business verbinding die wij dus nu hebben is gewoon een "port" van de consumenten lijn geweest. Inclusief het standaard Multimedia modem. Wanneer er een andere router komt die in Routed subnet draait kan ik mijn vertrouwde Draytek weer erachter hangen.

Ik heb ook een leuke computer..

donderdag 4 september 2014 13:07

Acties:

chriscam

Verschrikkelijk oud topic maar omdat ik met exact hetzelfde probleem geconfronteerd werd, namelijk het vanaf mijn thuisnetwerk niet kunnen bereiken van mijn internet site via mijn iphone zonder allerlei vrouwonvriendelijke handelingen te moeten verrichten ben ik eens wat nader in de tele2 router gedoken.

Na te hebben ingelogd op mijn router, een davolink, en daar met behulp van firefox inspector wat te hebben rondgeneust kwam ik in http://router/menu.html een js include tegen genaamd menuBcmUser.js
Vervolgens in de debugger menuBcmUser geopend en nageplozen op bruikbaarheden er staan trouwens nog veel meer leuke dingetjes tussen maar degene welke voor mij de verlossing bracht was deze

// for bz internet
if ( routedsubnet == '1' ) {
nodeAdvancedSetup = insFld(foldersTree, gFld(getMenuTitle(MENU_ADVANCED_SETUP), 'bz_internet_status.html'));
nodeNat = insDoc(nodeAdvancedSetup, gFld(getMenuTitle(MENU_BUSINESS_INTERNET), 'bz_internet_status.html'));
insDoc(nodeNat, gLnk('R', getMenuTitle(MENU_ROUTED_SUBNET), 'routedsubnetview.cmd'));
} else {
if ( routedsubnet == '2' ) {
nodeAdvancedSetup = insFld(foldersTree, gFld(getMenuTitle(MENU_ADVANCED_SETUP), 'lancfg_vt_rs.html'));
insDoc(nodeAdvancedSetup, gLnk('R', getMenuTitle(MENU_LAN),'lancfg_vt_rs.html'));
} else {
nodeAdvancedSetup = insFld(foldersTree, gFld(getMenuTitle(MENU_ADVANCED_SETUP), 'lancfg_vt.html'));
insDoc(nodeAdvancedSetup, gLnk('R', getMenuTitle(MENU_LAN),'lancfg_vt.html'));
}

Vervolgens http://router/lancfg_vt_rs.html geopend en bingo, er verschijnen twee extra checkboxjes :

Nu dhcp op de router uit staat kan de eigen dhcp/dns/mail server aangezet worden met daarop een dns A record voor je eigen domein zodat deze nu behalve vanaf buiten nu ook vanaf binnen gebruikt kan worden.

groetjes

CC

donderdag 4 september 2014 13:17

Acties:

stuffer

Ondertietel

Holy shit, en dan ga je na 8 jaar iemand zijn topic jatten?

Schaamteloze verkoop van:
http://tweakers.net/aanbod/user/311422/
*** NIKS ***

donderdag 4 september 2014 16:02

Acties:

chriscam

ja erg he !

CC

donderdag 4 september 2014 19:16

Acties:

Equator

Crew Council

#whisky #barista

Leuk maar Djeez...

Het gaat in het originele verhaal over DNS als oplossing voor een NAT loopback probleem en jij verzint een oplossing om de DHCP server uit te schakelen. Een optie die in de meeste fatsoenlijke routers sowieso wordt aangeboden.

En on top of that, schop je inderdaad een oude koe omhoog..