Gisteren heb ik met behulp van enkele tutorials op Retrohack (http://retrohack.com/howt...efront-tmg-2010-part-one/) m'n Forefront TMG server geconfigureerd.
Deze fungeert als een firewall tussen het internet en m'n lokale netwerk.
Inmiddels heb ik er ook al een regel ingebouwd, zodat m'n lokale websites weer beschikbaar zijn en moet ik zometeen nog de vpn configureren.
Waarschijnlijk is er iets fout gegaan met de configuratie van de server of het domein.
M'n interne domein werkt met de ip-range 10.0.0.0 met subnet 255.255.255.0. De DNS/DHCP/AD/Hyper-V server draait op 10.0.0.2 en de Forefront server op 10.0.0.21.
Het externe netwerk is m'n router, 192.168.1.1 en de Forefront server op 192.168.1.5.
Ik maak dus gebruik van 2 verschillende netwerk (ranges), zodat ik niets speciaals met routes hoef te doen (denk ik).
Nu zag ik gisteren al zo nu en dan bij de Alerts een warning voorbij komen met de melding IP Spoofing.
De volledige melding is:
Deze melding heb ik ook gehad wanneer ik op een ander systeem werkte.
Wanneer ik even log op het betreffende IP-nummer, dan krijg ik onder andere de volgende melding
Voor de zekerheid nog even m'n route tabel van de client:
Hier zie ik wel een persistent route naar 192.168.1.1, maar zelf weet ik niet hoe die hier komt. Wellicht dat ik die kan proberen te verwijderen. Neemt niet weg dat op een ander systeem ik ook zo'n melding krijg waar ik vrij zeker weet dat er niet in de route tabel iets is aangepast (laptop van vriendin).
Wat de systemen wel beide gelijk hebben, is dat ze niet in het domein zijn aangemeld. M'n eigen laptop zit op het domein van m'n werk en het andere systeem is nog gewoon 'los', wat eigenlijk ook zo moet blijven. Van m'n overige virtuele servers krijg ik niet dergelijke meldingen binnen (wel in domein).
Werk ook niet met verschillende VLAN's, omdat ik dat (momenteel) nog nodeloos complex vind. Eerst moet alles maar eens goed werken en dan verder kijken.
Iemand een idee waar ik verder moet gaan kijken?
[edit]
Na het verwijderen van deze route:
0.0.0.0 0.0.0.0 192.168.1.1 Default
Kan ik de FF server weer RDP'en. Waarschijnlijk zal deze dus roet in het eten hebben gegooid. Hopelijk komt het bericht nu niet meer terug. Zo maar ff de andere systemen nakijken.
[edit2]
Nee, toch niet. Kan wel rdp'en, maar spoofing bericht komt ook terug.
Deze fungeert als een firewall tussen het internet en m'n lokale netwerk.
Inmiddels heb ik er ook al een regel ingebouwd, zodat m'n lokale websites weer beschikbaar zijn en moet ik zometeen nog de vpn configureren.
Waarschijnlijk is er iets fout gegaan met de configuratie van de server of het domein.
M'n interne domein werkt met de ip-range 10.0.0.0 met subnet 255.255.255.0. De DNS/DHCP/AD/Hyper-V server draait op 10.0.0.2 en de Forefront server op 10.0.0.21.
Het externe netwerk is m'n router, 192.168.1.1 en de Forefront server op 192.168.1.5.
Ik maak dus gebruik van 2 verschillende netwerk (ranges), zodat ik niets speciaals met routes hoef te doen (denk ik).
Nu zag ik gisteren al zo nu en dan bij de Alerts een warning voorbij komen met de melding IP Spoofing.
De volledige melding is:
Het moge duidelijk zijn dat 10.0.0.17 m'n huidige client is. (ja, m'n ip-ranges zijn niet echt super, dat is waarom ik hier thuis mee bezig ben, zodat ik hier wat ervaring mee kan opdoen).Description: ForeFront TMG detected a possible spoof attack from the IP address 10.0.0.17. A spoof attack occurs when an IP address that is not reachable through the network adapter on which the packet was received. If logging for dropped packets is enabled, you can view the details of this attack in the Firewall log in Forefront TMG log viewer. If the IP address belongs to a VPN client, this event may be ignored.
Deze melding heb ik ook gehad wanneer ik op een ander systeem werkte.
Wanneer ik even log op het betreffende IP-nummer, dan krijg ik onder andere de volgende melding
Hier houdt m'n kennis dan ook op. Ik heb even gezocht en zag ergens staan dat het kan komen dat je systeem een andere route heeft gevonden naar de gateway (forefront server (10.0.0.21)) en dan niet meer via het interne netwerk op de server aankomt. Dit zou ik nogal raar vinden, omdat de gateway de forefront server is, waardoor ik dus altijd op die server uit zou moeten komen, denk ik.A packet was dropped because Forefront TMG determined that the source IP address is spoofed.
Result Code: 0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED
Voor de zekerheid nog even m'n route tabel van de client:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
| Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 10.0.0.21 10.0.0.17 20 10.0.0.0 255.255.255.0 On-link 10.0.0.17 276 10.0.0.17 255.255.255.255 On-link 10.0.0.17 276 10.0.0.255 255.255.255.255 On-link 10.0.0.17 276 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.77.0 255.255.255.0 On-link 192.168.77.1 276 192.168.77.1 255.255.255.255 On-link 192.168.77.1 276 192.168.77.255 255.255.255.255 On-link 192.168.77.1 276 192.168.140.0 255.255.255.0 On-link 192.168.140.1 276 192.168.140.1 255.255.255.255 On-link 192.168.140.1 276 192.168.140.255 255.255.255.255 On-link 192.168.140.1 276 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 10.0.0.17 276 224.0.0.0 240.0.0.0 On-link 192.168.77.1 276 224.0.0.0 240.0.0.0 On-link 192.168.140.1 276 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 10.0.0.17 276 255.255.255.255 255.255.255.255 On-link 192.168.77.1 276 255.255.255.255 255.255.255.255 On-link 192.168.140.1 276 =========================================================================== Persistent Routes: Network Address Netmask Gateway Address Metric 0.0.0.0 0.0.0.0 192.168.1.1 Default 0.0.0.0 0.0.0.0 10.0.0.21 Default |
Hier zie ik wel een persistent route naar 192.168.1.1, maar zelf weet ik niet hoe die hier komt. Wellicht dat ik die kan proberen te verwijderen. Neemt niet weg dat op een ander systeem ik ook zo'n melding krijg waar ik vrij zeker weet dat er niet in de route tabel iets is aangepast (laptop van vriendin).
Wat de systemen wel beide gelijk hebben, is dat ze niet in het domein zijn aangemeld. M'n eigen laptop zit op het domein van m'n werk en het andere systeem is nog gewoon 'los', wat eigenlijk ook zo moet blijven. Van m'n overige virtuele servers krijg ik niet dergelijke meldingen binnen (wel in domein).
Werk ook niet met verschillende VLAN's, omdat ik dat (momenteel) nog nodeloos complex vind. Eerst moet alles maar eens goed werken en dan verder kijken.
Iemand een idee waar ik verder moet gaan kijken?
[edit]
Na het verwijderen van deze route:
0.0.0.0 0.0.0.0 192.168.1.1 Default
Kan ik de FF server weer RDP'en. Waarschijnlijk zal deze dus roet in het eten hebben gegooid. Hopelijk komt het bericht nu niet meer terug. Zo maar ff de andere systemen nakijken.
[edit2]
Nee, toch niet. Kan wel rdp'en, maar spoofing bericht komt ook terug.
Battle.net - Jandev#2601 / XBOX: VriesDeJ