DNS VPN ISA2006 probleem - Netwerken

dinsdag 29 september 2009 09:13

Acties:

Verwijderd

Topicstarter

Hallo,

Ik zal eerst de situatie uitleggen:

Ik heb een ISA2006 server draaien (srv003) en heb hier een VPN voor aangemaakt.
De clients maken verbinding via een PPTP verbinding.

Als ik met een client verbind krijg ik netjes een IP adres vanuit mijn netwerk (10.0.2.x), dus dit gaat allemaal goed. Ik heb het vinkje aanstaan "use default gateway on remote network".
Nu het volgende, als ik 1 van mijn servers wil pingen bijvoorbeeld srv005 (10.0.2.5) dan krijg ik de melding dat de host niet gevonden kan worden. Als ik echter op IP ping dan gaat het wel goed en krijg antwoord. (ik kan alleen op srv004 pingen, dit is mijn DC).
Nu valt me op dat het pingen op naam wel werkt als ik ping naar srv005.domainnaam.local

Een pc die hier binnen het pand staat en lid is van het domein kan ik pingen op alleen srv005. Als ik hiervan de netwerkkabel eruit trek en mijn mobiel verbind om vanaf buitenaf te komen dan gaat het ook goed. Als ik dezelfde machine van het domein haal en deze in een werkgroep plaats werkt het pingen direct op srv005 niet. Al is dit niet 100% zeker aangezien een laptop van een collega ook op het domein inlogt en via een VPN problemen ervaart.

Ik wil dus kunnen pingen op srv005 en er niet .domeinnaam.local achter zetten. Dit is voor gebruikers niet handig en daarnaast werken interne sites niet als er verbonden is via de VPN verbinding die het probleem heeft met pingen naar alleen srv005.
Wij hebben een interne support website die vanaf buitenaf gewoon te bereiken is via een https adres, maar op het moment dat er verbonden is met de VPN kom je niet op deze site, verbreek je de VPN dan kom je wel op deze site.
Machines die gewoon kunnen pingen naar direct srv005 hebben dit probleem niet en kunnen de support site dus ook gewoon bereiken als er een VPN opgebouwd is.

Ik heb eerst het volgende probleem opgelost: zie Cannot Change the Binding Order for Remote Access Connections
Als ik een nslookup deed kreeg ik het IP adres vna mijn internetprovider en de naam van mijn interne server. Dit is opgelost en zie nu gewoon het interne ip 10.0.2.4 met srv004

Wie kan mij helpen?
Het zal waarschijnlijk iets kleins zijn

Groet Jeroen

dinsdag 29 september 2009 09:59

Acties:

Verwijderd

Topicstarter

Moet ik hier iets extra voor aanmaken in de DNS ?
Ik heb nu een forward lookup zone als: domeinnaam.local.

Iemand enig idee?

dinsdag 29 september 2009 10:07

Acties:

Equator

Crew Council

#whisky #barista

Hoi Jeroen: Zou je in het vervolg je bericht willen editten met de edit knop (

) als je nog wat wilt toevoegen aan het bericht.
Dus niet binnen 24 uur een nieuw bericht plaatsen als jij zelf de laatste poster bent in het topic. Dat wordt gezien als kicken (je topic opnieuw onder de aandacht brengen) en dat wordt niet gewaardeerd. Na 24 uur mag dat wel.

Verder: Dit heeft volgens mij gewoon de maken met de "Default Search provider". BIj een PC die lid is van het domain, staat de domein.ext als eerste in de default search provider lijst. Dus zal de PC zelf domeinnaam.ext erachter plakken.

Heb je intern nog een WINS/NBNS server draaien? Want die zou je mee kunnen geven in je DHCP opties en dan zouden de RRAS clients hier ook nut van kunnen hebben.

dinsdag 29 september 2009 11:11

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Je kan op de client meegeven dat hij er voor die verbinding een DNS achtervoegsel bij moet zetten. Kijk eens bij de geavanceerde eigenschappen van die verbinding op de client.

Vicariously I live while the whole world dies

dinsdag 29 september 2009 11:33

Acties:

Verwijderd

Topicstarter

Equator schreef op dinsdag 29 september 2009 @ 10:07:
Hoi Jeroen: Zou je in het vervolg je bericht willen editten met de edit knop ([afbeelding] ) als je nog wat wilt toevoegen aan het bericht.
Dus niet binnen 24 uur een nieuw bericht plaatsen als jij zelf de laatste poster bent in het topic. Dat wordt gezien als kicken (je topic opnieuw onder de aandacht brengen) en dat wordt niet gewaardeerd. Na 24 uur mag dat wel.

Verder: Dit heeft volgens mij gewoon de maken met de "Default Search provider". BIj een PC die lid is van het domain, staat de domein.ext als eerste in de default search provider lijst. Dus zal de PC zelf domeinnaam.ext erachter plakken.

Heb je intern nog een WINS/NBNS server draaien? Want die zou je mee kunnen geven in je DHCP opties en dan zouden de RRAS clients hier ook nut van kunnen hebben.

Sorry sorry sorry, dat is zeker niet mijn bedoeling geweest.
Ik heb WINS idd draaien. dit geef ik mee maar helaas zonder rusltaat.

[ Voor 3% gewijzigd door Verwijderd op 29-09-2009 11:34 ]

dinsdag 29 september 2009 11:43

Acties:

Verwijderd

Topicstarter

Beste Vicarious,

Ik heb gedaan wat je zei en het lijkt te werken. Ik weet alleen niet of alle interne sites ook goed werken. De support site doet het iig al wel :-)
Ik ga het thuis vanavond even met mijn prive laptop proberen aangezien de laptop waar ik het op probeer voorheen aan het domein gehangen heeft. Voorheen kon ik op deze machine niet pingen naar alleen srv005 en nu doet die dat wel met de toevoeging die ik op de client toevoeg bij de DNS suffix.
Ik zal even kijken of ik dit niet vanaf de server al mee kan laten sturen. Dat scheelt weer instellen op de clients.
Ik laat nog even weten of het opgelost is (of niet

)
Alvast bedankt!

dinsdag 29 september 2009 12:03

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Verwijderd schreef op dinsdag 29 september 2009 @ 11:43:

Ik zal even kijken of ik dit niet vanaf de server al mee kan laten sturen. Dat scheelt weer instellen op de clients.
Ik laat nog even weten of het opgelost is (of niet )
Alvast bedankt!

Hier een aantal opties daarvoor:

https://www.carbonwind.ne...N-adapter-using-CMAK.aspx

Vicariously I live while the whole world dies

dinsdag 29 september 2009 14:49

Acties:

Verwijderd

Topicstarter

Hallo,

Het eerst genoemde gaat zo te zien goed. ff wat fine tunen en ik ben tevreden.
Ik heb nu alleen nog een probleem met het benaderen van mijn "oude" netwerk als ik verbonden ben met VPN.

Op dit moment zijn er 2 domeinen in de lucht (1 van de 2 gaat uit als alles klaar is). Het oude domein heeft een ip reeks als 10.0.1.x.
Mijn nieuwe domein heeft 10.0.2.x
Als ik via een VPN vanaf mijn nieuwe netwerk (zoals het probleem boven) wil pingen naar IP of naam van het oude netwerk dan krijg ik geen antwoord. Voorbeeld:
Ik heb van mijn VPN 10.0.2.40 gekregen en wil pingen naar 10.0.1.5 dan krijg ik geen antwoord.
Als ik hier binnen het pand gewoon aan het netwerk hang dan krijg ik dus een ip adres met bijvoorbeeld 10.0.2.50 en dan ping ik naar 10.0.1.5 en dan krijg ik gewoon antwoord.
Beide netwerken hebben een ISA server die ik ingesteld heb.

Ik heb op mijn ISA server al ingesteld dat de VPN clients kunnen connecten naar het "oude netwerk"
Als ik in de monitor bekijk dan gaat dit ook goed. Ik krijg een initiated connection. Vervolgens kijk ik op de ISA server vna het oude netwerk en daar krijg ik ook in eerste instantie een initiated connection. Daarna krijg ik een close met de melding: A connection was abortively closed after one of the peers sent a RST segment.
Oke fijn de ISA laat het dus door er moet iets anders zijn die het tegenhoudt waardoor ik dit in mijn ISA terug krijg... ik kijk op de Cisco 5510 firewall en daar kom ik tegen in de monitor:
Deny TCP (no connection) from Isa_server_intern (oud netwerk) to 10.0.2.40 (VPN client) flags SYN ACK on interface inside.

Wat ik dus niet begrijp is dat mijn VPN client eenzelfde IP adress krijgt als dat ik mijn laptop hier intern aan het netwerk zal hangen, in beide gevallen een ip met 10.0.2.x en intern werkt het wel. vanaf buiten niet.
De Cisco ziet toch niet meer dat dit een VPN client is maar kijkt alleen naar het IP adress waarvoor een regel aangemaakt is dat al het 10.0.2.x verkeer doorgelaten wordt naar het oude netwerk.

Ik volg hem even niet meer.
Ik hoop dat jullie mij weer kunnen helpen.

Jeroen

dinsdag 29 september 2009 15:12

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Om dit probleem op te lossen zul je even een netwerktekening moeten maken met daarin in ieder geval de volgende onderdelen:

- Internetverbinding via welke je PPTP clients binnenkomen
- Beide ISA servers
- Beide netwerken (oud en nieuw)
- Cisco ASA 5510 firewall

Ik vermoed namelijk dat er op de Cisco ASA een regel moet worden aangemaakt omdat je nu via een andere interface binnenkomt op dat ding, maar dat zie je dus pas als je een plaatje voor je hebt.

Vicariously I live while the whole world dies

dinsdag 29 september 2009 15:26

Acties:

Verwijderd

Topicstarter

Ik ga dat morgen even maken aangezien ik hier nog iets moet afronden.
Ik denk zelf ook dat het een regel in de Asa is aangezien het binnen de ISA netjes doorgelaten wordt en de deny op de ASA gegeven wordt.
Mogelijk is het idd een andere interface. Nu je het zegt... Mogelijk gaat het hier intern binnen het pand over mijn Sonda interface (hier hangt de DMZ aan van me nieuwe netwerk en is op de ISA server de standaard gateway).
Als ik op mijn ISA zelf waar ook de VPN aangemaakt is een route print doe zie ik als default gateway 192.168.20.1
De VPN clients krijgen hetzelfde gateway adres als het IP adres wat ze krijgen en dit is een 10.0.2.x adres
Mogelijk gaat het daar idd fout?

woensdag 30 september 2009 08:21

Acties:

Verwijderd

Topicstarter

Hallo,

Ik heb even snel in paint wat in elkaar gezet aangezien ik even niets anders voorhanden had.
Afbeeldingslocatie: http://www.mijnalbum.nl/Foto-DTWQS7PP-D.jpg

Afbeeldingslocatie: http://www.mijnalbum.nl/Foto-DTWQS7PP-D.jpg

Heb je hier voldoende aan?

Als ik een tracert doe naar 10.0.1.5 daar krijg ik het volgende:
Vanaf VPN (met IP 10.0.2.24 gekregen) dan zie ik dat die naar 10.0.2.38 (waar die vandaan komt geen idee, als ik in mijn DHCP tabel kijk zie ik dat dit een RAS is.). Hierna kan die niets meer bereiken.
Doe ik een tracert naar een server in het nieuwe netwerk doe, bijvoorbeeld srv005 (10.0.2.5) dan gaat die ook over 10.0.2.38 en vervolgens naar 10.0.2.5. Dit gaat dus wel goed.

Doe ik het vanuit intern dan gaat die eerst naar srv003 (10.0.2.3) de ISA dus en dan vanuit daar door naar 10.0.1.5 (de andere ISA server waar ook de mail op draait). Is dus te bereiken

Hier zijn dus al verschillen te zien aangezien de VPN en intern toch hetzelfde IP krijgen namelijk een 10.0.2.x adres

SRV001 is trouwens een SBS 2003 server. De andere een een Win2003 machine.

Alvast bedankt weer

[ Voor 22% gewijzigd door Verwijderd op 30-09-2009 09:28 ]

woensdag 30 september 2009 09:53

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Als ik heel eerlijk ben heb je er een beetje een zooitje van gemaakt qua IP-nummering. Je hebt de netwerkreeks 10.0.2.0 op twee plaatsen in je netwerk gebruikt. De ASA kan dus nooit weten welke kant hij het verkeer op moet sturen dat voor een IP-adres in de 10.0.2.0-reeks bestemd is. Ditzelfde heb je voor de 10.0.1.0-reeks ook gedaan.

Wat je het beste kan doen is het oude netwerk intact laten, en het nieuwe netwerk geheel opnieuw nummeren. Vervolgens zullen de firewall regels in de ASA goed moeten worden doorgenomen.

Vicariously I live while the whole world dies

woensdag 30 september 2009 10:20

Acties:

Verwijderd

Topicstarter

Vicarious,

Sorry foutje in SRV001 zit geen netwerkkaart met het 10.0.2.x adres. Hier zit dus alleen nic 1 en 2 in.
In srv003 zit wel een netwerkkaart naar het oude netwerk toe zodat ik deze makkelijker kon benaderen.
Voor hier intern werkt alles perfect aangezien de regels op de asa over de interfaces loopt.
Ik ga er weer even in duiken en puzzelen.

Thx!

Ik heb net even gekeken en die 10.0.2.38 waar ik net over sprak is de ISA server. ik heb geprobeerd te browsen naar \\10.0.2.38 en toen kwam ik op de ISA shares uit. Ook wle logisch aangezien dit een RAS verbinding was. Ik denk zelf dus dat een regel binnen de ASA van dat 10.0.2.x netwerk naar het 10.0.1.x toe voldoende is aangezien het intern over de interfaces loopt is dit toch een andere verbinding/regel.

Jeroen

[ Voor 35% gewijzigd door Verwijderd op 30-09-2009 10:38 . Reden: aanpassing ]

woensdag 30 september 2009 11:38

Acties:

Verwijderd

Topicstarter

Ola,

Ik heb een tijdelijke oplossing. Aangezien die 10.0.1.5 straks uit gaat als de mail op het nieuwe netwerk draait (van Exchange 2003 naar 2007 toe) maak ik verbinding met de client zonder het vinkje Use default gateway from remote (of zoiets) hiermee kan ik gewoon de webmail benaderen als ik via de VPN verbonden ben.
De laptop gebruikers hebben hun Outlook client ook zo ingesteld staan dat deze de mail via dit adres binnenhalen. Deze gebruikers hoeven via VPN (en intern) toch niet te verbinden met machines op het 10.0.1.x netwerk (en mocht dit wel het geval zijn dan wordt het tijd dat ze naar het 10.0.2.x netwerk overgaan). Ik ga er dan ook niet veel meer tijd in steken.
Ik hoef er alleen zelf heel soms bij vanaf huis maar dat doe ik via de Dell drac kaarten en als dit eruit mocht liggen verbind ik via een server binnen het nieuwe netwerk alsnog naar deze server.
Mag ik jou hartelijk danken voor het meedenken. respect!

Jeroen

woensdag 30 september 2009 11:59

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Geen probleem, mooi dat je nu een voor jou (en de gebruikers) werkbare oplossing hebt. Het is nog lang niet de meest nette oplossing, maar daar kun je aan gaan werken zodra je het oude netwerk langzaam uitfaseert.

Vicariously I live while the whole world dies

woensdag 30 september 2009 12:07

Acties:

Verwijderd

Topicstarter

Klopt, maar zodra srv001 en srv002 uitgaan (srv002 kan in feite al uit, dit waren de dataschijven en is nu allemaal over naar een nieuwe server) dan kunnen de Nic's, regels enz uitgeschakeld worden waardoor ik alleen maar de DMZ en internal netwerk heb.
Nogmaals bedankt!

Pagina: 1

Reageer