Toon posts:

[2008] Internettoegang / DNS via Threat Management Gateway

Pagina: 1
Acties:

Onderwerpen

Dns Windows server 2008

zondag 11 april 2010 18:08

Acties:
  • 0 Henk 'm!
  • Dennis
  • Registratie: Februari 2001
  • Laatst online: 20:33

Dennis

Topicstarter
Beste allemaal,

Ik heb een netwerk met daarin een DMZ (Perimeter network). Dit ziet er als volgt uit:

Afbeeldingslocatie: http://www.cocktailfeestje.nl/netwerk-aangepast.png

Het internet is komt binnen op Router03. Dit is een virtuele Vyatta machine. In Router03 zitten twee virtuele NICs en aan de andere kant kom je dus uit op het perimeter netwerk (172.16.1.x). Router03 doet alles wat hij moet doen, namelijk alleen NAT. Er draait een DHCP servertje op, maar geen DNS. De DHCP leases linken DNS rechtstreeks naar de DNS server van de ISP.

De tweede machine die je tegen komt is 'Astraea'. Dit is een Windows Server 2008 machine met daarop Threat Management Gateway. De server bevat eveneens twee virtuele NICs en aan de andere kant kom je dit keer uit op het interne netwerk (192.168.1.x). De server is bereikbaar vanaf beide netwerken (even een Allow Ping rule gemaakt). Op deze server werkt internet ook. Ik heb tijdelijk de DNS server van mijn ISP opgegeven.

In het interne netwerk zitten twee DC's (Aerope/Amphion) die ook beide DNS draaien. Interne DNS werkt uitstekend. De default gateway is uiteraard de TMG server. Ik heb de DNS servers zo geconfigureerd dat DNS moet worden geforward naar de DNS van de ISP. Hier gaat het fout. Deze DNS queries worden niet resolved.

Op de TMG server heb ik al DNS verkeer van overal naar overal toegestaan, maar dat biedt geen soelaas. Het grappige is dat op de DC's een site bezoeken op IP adres wél werkt, maar dat zou ook best kunnen komen omdat TMG ook een proxyserver is en deze automatisch wordt gedetecteerd. Een site bezoeken op domeinnaam werkt niet.

Nu is mijn vraag: hoe kan ik DNS verkeer werkend krijgen en hoe kan ik zorgen dat er een gezonde routing ontstaat naar buiten doe vanaf mijn interne netwerk? Ik kom er niet uit!

[ Voor 0% gewijzigd door Dennis op 11-04-2010 18:10 . Reden: Plaatje kleiner gemaakt ]

dinsdag 13 april 2010 13:03

Acties:
  • 0 Henk 'm!
  • Dennis
  • Registratie: Februari 2001
  • Laatst online: 20:33

Dennis

Topicstarter
Nog mensen met ideeën?

dinsdag 13 april 2010 13:10

Acties:
  • 0 Henk 'm!
  • mbaltus
  • Registratie: Augustus 2004
  • Laatst online: 09-09 11:39

mbaltus

Welke poorten heb je opengezet voor DNS (53/udp, tcp of beide; de ene is namelijk voor een lookup en de andere voor een zone-transfer)?

Wat zeggen de logfiles van TMG als je een lookup doet, zie je dat verkeer wordt geblokeerd of wordt toegelaten?

The trouble with doing something right the first time is that nobody appreciates how difficult it is

dinsdag 13 april 2010 13:12

Acties:
  • 0 Henk 'm!
  • ZeRoC00L
  • Registratie: Juli 2000
  • Niet online

ZeRoC00L

?

DNS service op je TMG server installeren, forward naar je provider zetten, je DC's aanpassen zodat de forwarder je TMG server is.

[*] Error 45: Please replace user
Volg je bankbiljetten

dinsdag 13 april 2010 22:55

Acties:
  • 0 Henk 'm!
  • Dennis
  • Registratie: Februari 2001
  • Laatst online: 20:33

Dennis

Topicstarter
Ik heb het protocol 'DNS' opengezet. Had eerst ook 'DNS Server' open staan, maar dat is volgens mij niet nodig. 'DNS' is outbound verkeer op poort 53 tcp en ontvangt op poort 53 udp. Kortom, beide.

Log files als volgt:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

Initiated Connection ASTRAEA 4/13/2010 10:47:22 PM 
Log type: Firewall service 
Status: The operation completed successfully.  
Rule: Allow DNS 
Source: Internal (192.168.1.10:51671) 
Destination: Perimeter (213.46.228.196:53) 
Protocol: DNS 
 Additional information 
Number of bytes sent: 0 Number of bytes received: 0
Processing time: 0ms Original Client IP: 192.168.1.10 

Closed Connection ASTRAEA 4/13/2010 10:47:29 PM 
Log type: Firewall service 
Status: A connection was gracefully closed in an orderly shutdown process with a three-way FIN-initiated handshake.  
Rule: Allow DNS 
Source: Internal (192.168.1.10:53824) 
Destination: Perimeter (213.46.228.196:53) 
Protocol: DNS 
 Additional information 
Number of bytes sent: 150 Number of bytes received: 0
Processing time: 66000ms Original Client IP: 192.168.1.10


DNS service installeren op de TMG server is inderdaad een optie, maar het zou ook moeten werken op de hierboven beschreven manier! :).

vrijdag 16 april 2010 11:05

Acties:
  • 0 Henk 'm!
  • mbaltus
  • Registratie: Augustus 2004
  • Laatst online: 09-09 11:39

mbaltus

Volgens mij zijn DNS requests altijd UDP/53. Outbound moet UDP/53 dus openstaan om DNS verzoeken te kunnen doen. TCP/53 wordt gebruikt voor zone transfers. In principe neem ik aan dat het service-type DNS dat goed doet, maar misschien toch nuttig om even te controleren.

[ Voor 32% gewijzigd door mbaltus op 16-04-2010 11:06 ]

The trouble with doing something right the first time is that nobody appreciates how difficult it is

vrijdag 16 april 2010 23:10

Acties:
  • 0 Henk 'm!
  • Dennis
  • Registratie: Februari 2001
  • Laatst online: 20:33

Dennis

Topicstarter
Ja, het protocol is goed. UDP/53 staat open. Nog even het volgende valt me op:
Closed Connection ASTRAEA 4/16/2010 10:46:06 PM
Log type: Firewall service
Status: A connection was gracefully closed in an orderly shutdown process with a three-way FIN-initiated handshake.
Rule: [System] Allow DNS from Forefront TMG to selected servers
Source: Local Host (172.16.1.100:49620)
Destination: Perimeter (213.46.228.196:53)
Protocol: DNS
Additional information
Number of bytes sent: 79 Number of bytes received: 154
Processing time: 61000ms Original Client IP: 172.16.1.100
en
Closed Connection ASTRAEA 4/16/2010 10:46:54 PM
Log type: Firewall service
Status: A connection was gracefully closed in an orderly shutdown process with a three-way FIN-initiated handshake.
Rule: Allow DNS
Source: Internal (192.168.1.10:51672)
Destination: Perimeter (213.46.228.196:53)
Protocol: DNS
Additional information
Number of bytes sent: 150 Number of bytes received: 0
Processing time: 65000ms Original Client IP: 192.168.1.10
De eerste is verkeer van TMG naar de DNS server, de tweede is verkeer van een interne netwerkserver naar de DNS server. Er wordt dus geen data ontvangen.

Ik denk dat ik inmiddels ook een oorzaak heb. Een dubbele NAT is niet toegestaan, en dat doe ik nu wel! Kortom, ik moet de TMG server zo aanpassen dat hij geen NAT doet, maar normale LAN routing. Dat moet ik nog maar eens even uitvogelen, maar denk dat het in Routing and Remote Access zit. Kan het bovenstaande kloppen?

vrijdag 16 april 2010 23:56

Acties:
  • 0 Henk 'm!
  • Dennis
  • Registratie: Februari 2001
  • Laatst online: 20:33

Dennis

Topicstarter
Even in een nieuw bericht, anders kan ik het vorige geheel weggooien, maar ik heb het werkend gekregen. Niet de TMG was het probleem, maar 'Router03'.

Ik had keurig gedefinieerd trouwens dat tussen het interne en perimeter netwerk geen NAT moest worden toegepast, dus ondanks dat ik dat zei in mijn vorige bericht was dat niet zo, maar het probleem was dat Router03 het netwerk 192.168.1.0/24 niet óók gebruikte voor NAT.

Nadat ik een tweede NAT regel had gemaakt en een static route had ingesteld via de TMG server verliep alles vlekkeloos, dus dit werkt allemaal :). Ben er erg blij mee. De volgende uitdaging wordt om een soortgelijke setup te krijgen, maar dan met een winkelrouter, dus ik ben benieuwd of dat dan ook lukt! Iedereen die geholpen heeft: bedankt!
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq