Toon posts:

isa 2004 dynisch client IP

Pagina: 1
Acties:

zaterdag 30 september 2006 23:10

Acties:

Verwijderd

Topicstarter
Geachte heren en dames,

Ik zit met een probleempje, hopelijk weten jullie een oplossing.

Momenteel draai ik ISA2004 en deze loopt vlekkenloos, op de server draaien enkele applicaties die opgeroepen worden door externe clients. Echter heb ik een client die een dynamisch IP adres heeft.

Nu heb ik deze client een no-ip.org adres laten aanmaken, maar tot me grote verbazing kan je een subdomein niet toevoegen als inkomend/from network object in ISA2004. Ik kom dus elke keer (2x per dag) het ip van die persoon handmatig te updaten in ISA2004. Een vpn tunnel of ISA client is ook geen oplossing.

Heeft iemand een oplossing of een soort script wat automatisch het nieuwe ip controleert en deze toevoegd in ISA2004?


Ik hoop dat iemand me kan verder helpen want ik heb totaal niks gevonden op google.


Mvg,
David

zaterdag 30 september 2006 23:49

Acties:
  • Asteroid9
  • Registratie: Maart 2002
  • Laatst online: 09:45

Asteroid9

General Failure

Ben niet zo erg thuis in ISA, maar rules toekennen aan een hostname is niet bepaald een veilige / aanbevolen methode.
Daarom kan ik me best voorstellen dat die optie er niet in zit, in een professionele configuratie zal je hem niet snel nodig hebben.

Met scripting moet je zoiets wel op kunnen vangen, succes ermee!

- = Simpele oplossingen zijn vaak vermomd als schier onoplosbare problemen.... = -

zondag 1 oktober 2006 00:35

Acties:

Verwijderd

Topicstarter
Idd ben ik het met je eens.

Helaas heb ik geen andere keuze, omdat de client een wisseld ip heeft...

zondag 1 oktober 2006 00:42

Acties:
  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Verwijderd schreef op zondag 01 oktober 2006 @ 00:35:
Idd ben ik het met je eens.

Helaas heb ik geen andere keuze, omdat de client een wisseld ip heeft...
En daarom moeten firewalls altijd een vast IP adres hebben. Gelukkig is Microsoft niet zo strict in dit soort vuistregels, dus misschien vind je hier wel wat nuttige informatie.

[ Voor 31% gewijzigd door JackBol op 01-10-2006 00:46 ]

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.

zondag 1 oktober 2006 01:10

Acties:

Verwijderd

Topicstarter
Het gaat dus niet om de server zelf waar ISA op draait.

Het gaat dus om de client die connect naar de server. Die heeft een wisselt IP.

zondag 1 oktober 2006 09:30

Acties:
  • _Arthur
  • Registratie: Juli 2001
  • Laatst online: 08:28

_Arthur

blub

Eventuele dingen om over na te denken:
- applicatie (ik neem even voor het gemak aan dat het een web app is) beveiligen met SSL en voor iedereen openzetten
- toch die VPN verbinding tussen client-server opzetten
- grotere ip-range range waarin de client 'kan' zitten toelaten
- die client een vast-ip laten regelen

zondag 1 oktober 2006 19:01

Acties:

Verwijderd

Topicstarter
LOL daar dacht ik ook al aan, maar dit is niet mogelijk. Moeilijk uit te leggen.

Het enige wat ik kan gebruiken is dus een goede firewall, daarom koos ik ISA2004. Echter ondersteund die alleen filtering op IP en niet op DNS naam.

Iemand anders een goede firewall die dit wel ondersteunt???

zondag 1 oktober 2006 19:05

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

cisco pix 501 (of hoger)

isa is 1499 dollar en een pix 501 zit op 599 zonder support contract.

A wise man's life is based around fuck you

zondag 1 oktober 2006 20:06

Acties:
  • _Arthur
  • Registratie: Juli 2001
  • Laatst online: 08:28

_Arthur

blub

Verwijderd schreef op zondag 01 oktober 2006 @ 19:01:
LOL daar dacht ik ook al aan, maar dit is niet mogelijk. Moeilijk uit te leggen.

Het enige wat ik kan gebruiken is dus een goede firewall, daarom koos ik ISA2004. Echter ondersteund die alleen filtering op IP en niet op DNS naam.

Iemand anders een goede firewall die dit wel ondersteunt???
ISA 2004 -IS- een goede firewall.

Maargoed, als alle goede oplossing niet mogelijk zijn, zet je toch gewoon alles open? Ben je gelijk klaar met de minste kosten.

zondag 1 oktober 2006 20:28

Acties:

Verwijderd

Topicstarter
welke firewall raad je dan aan die goed op windows 2003 loopt, en de mogelijkheid biedt per ip/dns naam poorten te openen...?

zondag 1 oktober 2006 20:29

Acties:

Verwijderd

Topicstarter
Zwelgje schreef op zondag 01 oktober 2006 @ 19:05:
cisco pix 501 (of hoger)

isa is 1499 dollar en een pix 501 zit op 599 zonder support contract.
Liefst een software matige...

zondag 1 oktober 2006 20:51

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

Verwijderd schreef op zondag 01 oktober 2006 @ 20:28:
welke firewall raad je dan aan die goed op windows 2003 loopt, en de mogelijkheid biedt per ip/dns naam poorten te openen...?
wel eens naar ipsec gekeken in windows ;) spartaanse interface maar kan op dnsnaam hosts toelaten.

http://www.petri.co.il/images/ipsec_filters13.gif

en nog gratis ook :)

[ Voor 6% gewijzigd door Zwelgje op 01-10-2006 20:51 ]

A wise man's life is based around fuck you

zondag 1 oktober 2006 22:08

Acties:

Verwijderd

Topicstarter
Die optie kan ook, alleen is die wel erg basic :P

maandag 2 oktober 2006 03:16

Acties:

Verwijderd

Topicstarter
Zwelgje schreef op zondag 01 oktober 2006 @ 20:51:
[...]


wel eens naar ipsec gekeken in windows ;) spartaanse interface maar kan op dnsnaam hosts toelaten.

http://www.petri.co.il/images/ipsec_filters13.gif

en nog gratis ook :)
Ook geprobeerd echter update IPSEC niet het ip als ik een DNS naam ingeef.. hoe kan dit?

maandag 2 oktober 2006 04:29

Acties:

Verwijderd

Topicstarter
Bestaat er geen commando regel in een dos prompje waar je kan laten zoeken naar het nieuwe IP en deze laten toevoegen in ISA?

maandag 2 oktober 2006 06:39

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

Verwijderd schreef op maandag 02 oktober 2006 @ 03:16:
[...]


Ook geprobeerd echter update IPSEC niet het ip als ik een DNS naam ingeef.. hoe kan dit?
dns wel toegestaan :? (poort 53 udp) anders kan je niet resolven...

A wise man's life is based around fuck you

maandag 2 oktober 2006 11:46

Acties:
  • ChaserBoZ_
  • Registratie: September 2005
  • Laatst online: 04-01 10:58

ChaserBoZ_

Wellicht handiger om ervoor te zorgen dat je wel een vast IP adres kunt krijgen ? (andere provider oid ?)

'Maar het heeft altijd zo gewerkt . . . . . . '

maandag 2 oktober 2006 12:13

Acties:

Verwijderd

Topicstarter
Dat bedoel ik niet...

Ik bedoel als ik in IPsec een dns-naam in geef als host waar het vandaan komt. Dan gaat IPsec op dat moment de dns-naam resolven naar een IP en ze die erin bijhorende die dns-naam.

Wat je dus krijgt is dat als de client een ander IP krijgt.. IPsec niet automatisch om de 15 mins resolved ofzo wat het nieuwe IP is...

maandag 2 oktober 2006 12:13

Acties:

Verwijderd

Topicstarter
ChaserBoZ_ schreef op maandag 02 oktober 2006 @ 11:46:
Wellicht handiger om ervoor te zorgen dat je wel een vast IP adres kunt krijgen ? (andere provider oid ?)
Als je in Belgie of Duitsland woont is een vast IP zeer zelden als adsl gebruiken ...

maandag 2 oktober 2006 13:28

Acties:
  • _Arthur
  • Registratie: Juli 2001
  • Laatst online: 08:28

_Arthur

blub

Verwijderd schreef op maandag 02 oktober 2006 @ 12:13:
Als je in Belgie of Duitsland woont is een vast IP zeer zelden als adsl gebruiken ...
Zakelijk adsl abbo afsluiten in Duitsland (kost nog geen 100e/maand) en je krijgt er gewoon vaste ip's bij.

En bij Xs4all (Evonet oid) in Belgie is een zakelijk abbo voor 80e/maand ook met vast ip te krijgen.

Dus wat je zegt is gewoon onwaar.

maandag 2 oktober 2006 13:40

Acties:
  • paulhekje
  • Registratie: Maart 2001
  • Laatst online: 25-01 15:50

paulhekje

waarom maak je geen reserving in dhcp voor deze client?

|=|=|=||=|=|=||=|=|=| http://www.vanwijck.com |=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=||=|=|=|

maandag 2 oktober 2006 14:24

Acties:
  • Asteroid9
  • Registratie: Maart 2002
  • Laatst online: 09:45

Asteroid9

General Failure

paulhekje schreef op maandag 02 oktober 2006 @ 13:40:
waarom maak je geen reserving in dhcp voor deze client?
Volgens mij heeft hij het over externe clients...

- = Simpele oplossingen zijn vaak vermomd als schier onoplosbare problemen.... = -

maandag 2 oktober 2006 23:04

Acties:

Verwijderd

Topicstarter
idd externe :)

dinsdag 3 oktober 2006 14:30

Acties:

Verwijderd

Verwijderd schreef op maandag 02 oktober 2006 @ 12:13:
Dat bedoel ik niet...

Ik bedoel als ik in IPsec een dns-naam in geef als host waar het vandaan komt. Dan gaat IPsec op dat moment de dns-naam resolven naar een IP en ze die erin bijhorende die dns-naam.

Wat je dus krijgt is dat als de client een ander IP krijgt.. IPsec niet automatisch om de 15 mins resolved ofzo wat het nieuwe IP is...
ipsec doet geen dns resolving :) je dns client doet dat en die doet wel degelijk dns queries (lokale cache is default 15 mins, maar te wijzigen). Waar je eerder tegen aanloopt is de ttl van de dns zone en evt de forceerde ttl van de dns server, die je gebruikt. Zo werkt dns en die problemen zal je dus ook met andere firewalls hebben, die dns resolving doen.

dinsdag 3 oktober 2006 17:52

Acties:

Verwijderd

Topicstarter
dus kort samengevat dit is gewoon kl*te te verhelpen :P

dinsdag 3 oktober 2006 18:16

Acties:
  • _Arthur
  • Registratie: Juli 2001
  • Laatst online: 08:28

_Arthur

blub

Verwijderd schreef op dinsdag 03 oktober 2006 @ 17:52:
dus kort samengevat dit is gewoon kl*te te verhelpen :P
Nee hoor, gewoon vast ip regelen bij die client en klaar.

Niets klote aan..

donderdag 5 oktober 2006 23:27

Acties:

Verwijderd

Topicstarter
wordt moeilijk als je aan een provider gebonden zit in belgie/duitsland met wisselend ip :P

vrijdag 6 oktober 2006 00:15

Acties:
  • Asteroid9
  • Registratie: Maart 2002
  • Laatst online: 09:45

Asteroid9

General Failure

Gezien het wisselend IP is het vast een particuliere verbinding, business dsl is ook in die landen gewoon leverbaar met vaste adressen!
Je gaf al aan dat een tunnel geen oplossing is, spijtig want dat zou je aardig kunnen helpen.

- = Simpele oplossingen zijn vaak vermomd als schier onoplosbare problemen.... = -

vrijdag 6 oktober 2006 23:26

Acties:

Verwijderd

Topicstarter
idd, naja ik zal eens met de provider van die persoon bellen :)

zaterdag 7 oktober 2006 09:29

Acties:

Verwijderd

Met een cisco PIX kan je ook niet op dns namen firewall rules aanmaken en dat is maar goed ook.

Externe dynamische verbindingen toegang geven tot een bepaalde applicatie op je netwerk doe je toch gewoon via vpn en niet met dat soort rules.. Een ip adres is makkelijk te faken, ik zou als ik jou was je security configuratie een flink onder de loep nemen.

zondag 8 oktober 2006 14:55

Acties:

Verwijderd

Topicstarter
idd, daarom heb ik de client gezegd een vast IP te regelen ;)

zondag 8 oktober 2006 15:05

Acties:
  • engelbertus
  • Registratie: April 2005
  • Laatst online: 08-02 21:49

engelbertus

zijn er geen regels te bedenken die op andere basis dan ip adres toestemming tot toegang verleneen dan alleen ip adres binnen isa-server?

wij gebruiken wel een ip adres ien dat is erg makkelijk te doen, en de client heeft er geen last van volgens mij.

zondag 8 oktober 2006 17:35

Acties:
  • Asteroid9
  • Registratie: Maart 2002
  • Laatst online: 09:45

Asteroid9

General Failure

Nofi, maar ik begrijp nauwelijks wat je nou met deze post probeert te zeggen? :?

- = Simpele oplossingen zijn vaak vermomd als schier onoplosbare problemen.... = -

zondag 8 oktober 2006 17:42

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

Verwijderd schreef op zaterdag 07 oktober 2006 @ 09:29:
Met een cisco PIX kan je ook niet op dns namen firewall rules aanmaken en dat is maar goed ook.

Externe dynamische verbindingen toegang geven tot een bepaalde applicatie op je netwerk doe je toch gewoon via vpn en niet met dat soort rules.. Een ip adres is makkelijk te faken, ik zou als ik jou was je security configuratie een flink onder de loep nemen.
zeker weten :?

mijn huis tuin en keuken (nouja :P ) cisco877 kan het ook namelijk :)

A wise man's life is based around fuck you

zondag 8 oktober 2006 20:00

Acties:

Verwijderd

Topicstarter
engelbertus schreef op zondag 08 oktober 2006 @ 15:05:
zijn er geen regels te bedenken die op andere basis dan ip adres toestemming tot toegang verleneen dan alleen ip adres binnen isa-server?

wij gebruiken wel een ip adres ien dat is erg makkelijk te doen, en de client heeft er geen last van volgens mij.
misschien op basis van mac-adres?

zondag 8 oktober 2006 20:35

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

Verwijderd schreef op zondag 08 oktober 2006 @ 20:00:
[...]


misschien op basis van mac-adres?
mja dat moet je al helemaal niet willen 8)7

ip is al eenvoudig te spoofen, laat staan een macadres

iemand al gedacht aan ipsec :? dat is een stuk veiliger

A wise man's life is based around fuck you

maandag 9 oktober 2006 01:39

Acties:
  • mookie
  • Registratie: Juni 2002
  • Laatst online: 15-06-2025

mookie

Heerlijk Helder

je kunt wel de firewall client bij die meneer installeren.
Hij kan dan inloggen op de isa server en op die manier kun je weer usernames gebruiken in regels die verkeer toe moeten laten wat eigenlijk geen authenticatie ondersteunt.

Stel dat je telnet (poort 23) wilt toelaten voor 1 gebruiker.
Als hij niet telkens achter hetzelfde IP adres zit kun je die regel niet op basis van een IP adres maken. Gewoon zeggen dat die gebruiker het wel mag zal niets uithalen want dan komt het traffic als anonymous binnen op de ISA server (tenzij je zelf een filter schrijft maar dat is wat ingewikkeld :) )

Met die firewall client log je als het ware transparant in op je ISA server en werkt het wel.
Voordeel is dat je geen VPN nodig hebt, nadeel is dat je nog steeds geen beveiliging van je verkeer hebt.

mookie

maandag 9 oktober 2006 01:46

Acties:
  • Johnny E
  • Registratie: April 2000
  • Laatst online: 08:49

Johnny E

Dôh !!

Waarom zet je niet gewoon een simpele vpn op naar de ISA server?
Dan kan je met de rule zet gewoon de vpn clients toegang geven naar de applicatie.

Specs!

maandag 9 oktober 2006 21:46

Acties:

Verwijderd

Topicstarter
ALs je terug had gelezen had je al kunnen weten dat dit niet mogelijk is ;) dat had ik al aangegeven

dinsdag 10 oktober 2006 16:57

Acties:
  • Johnny E
  • Registratie: April 2000
  • Laatst online: 08:49

Johnny E

Dôh !!

Had wel gelezen dat je het geen oplossing vindt.. vraag blijft waarom is een VPN geen oplossing?
Is IMHO de enige veilige en goede optie!

Specs!

dinsdag 10 oktober 2006 22:03

Acties:

Verwijderd

Topicstarter
Omdat de client verbinding maakt via meerdere pc's ;) Stuk of 2 a 3.

dinsdag 10 oktober 2006 22:12

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

Verwijderd schreef op dinsdag 10 oktober 2006 @ 22:03:
Omdat de client verbinding maakt via meerdere pc's ;) Stuk of 2 a 3.
dus aan de client kant staan meerdere pc's welke in de app moeten :?

dan gebruik je toch ssl-vpn (appliance of software)

* Zwelgje bekruipt lichtelijk het gevoel dat het een 'wij zijn zuinig dus prutsen we maar wat' oplossing is

A wise man's life is based around fuck you

woensdag 11 oktober 2006 11:43

Acties:

Verwijderd

Topicstarter
kan :) echter heb ik liever gewoon zo min mogelijk acties van de client zijn pc.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq