Hulp gevraagd bij het configureren van een Juniper SSG20

woensdag 5 januari 2011 10:13

ye olde farte

Je kan 'm van de binnenkant uit al grotendeels afconfiggen met een aantal standaardrulesets en mappings voor DIPs en VIPs.
Ding ziet er misschien scary uit, maar het is echt niet anders qua basics dan een Zywall of een ASA.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

LordMorgoth

Valar Morghulis!

Bij je Juniper zit ook een quickstart guide in de doos die je daar mee kan helpen.

Even heel kort door de bocht:

Als je de juniper voor de eerste keer opstart kan je 'm met de quickstart wizard de basisconfiguratie geven.

De ADSL1/0 interface hangt dan in de untrust interface. ethernet0/2 tot en met ethernet0/4 worden de bgroup0 en hangen in de trust interface.

De standaard route word ook al door de wizard aangemaakt.

Als in een policy aanmaakt van trust naar untrust met any, any, permit. Dan is alle verkeer vanaf je lan naar het internet mogelijk.

Voor de mail kan je op de ADSL1/0 interface een VIP aanmaken op poort 25. Daarna maak je een policy aan van untrust naar trust, met als source, any en destination je VIP en sta je verkeer toe op poort 25.

Valar Morghulis! All men must die -- Jaqen H'ghar

woensdag 5 januari 2011 16:39

Acties:

vrijdag 7 januari 2011 13:15

Bite my shiny metal ass!

Topicstarter

Thanks, Buddy Christ! Ik zal het vanavond meteen even proberen.

Acties:

vrijdag 7 januari 2011 13:19

Als je hier nog vragen over hebt, ik heb zelf zo'n ding aan XS4ALL hangen (en geconfigureerd voor email en http) en wellicht kan ik deze vragen beantwoorden.

Acties:

vrijdag 7 januari 2011 19:45

en hier nog 1

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

Acties:

vrijdag 7 januari 2011 19:49

Bite my shiny metal ass!

Topicstarter

Thanks guys!

Ik heb besloten om toch maar bij Telfort te blijven: Mij is verteld dat XS4All van hetzelfde netwerk gebruik maakt in mijn regio en dat dat dus geen extra stabiliteit oplevert. Verder liet XS4All weten dat zij alleen het Mickey Mouse Fritzbox modem ondersteunen.

De ADSL instellingen waren geen probleem: De verbinding stond eigenlijk vrij snel. Zoals voorspeld kreeg ik inderdaad een ander IP adres. MAC spoofing kon ik zo snel niet vinden, maar dat is ook niet zo'n probleem. Ik houd ook niet van het morellen aan MAC adressen die officieel door de fabrikant ingekocht zijn.

De Trust -> Untrust policy bleek ook al standaard aanwezig. Andersom werkte de hint om een een VIP aan te maken ook prima. Ik heb daar nog wel wat vragen over, maar de volgende vragen vind ik even belangrijker:

1. In de ADSL1/0 interface configuratie staan alle service opties (voor remote management) uit. Als ik er daar eentje van aan wil zetten, of als ik ook maar zonder een instelling te wijzigen op 'ok' of 'apply' druk, verschijnt de melding "Cannot change gateway with DHCP enabled". De eventuele wijzigingen zijn vervolgens genegeerd. Enig idee?

2. Als ik in aan de VIP poort 80 of 443 wil toevoegen, krijg ik de melding dat deze poorten in gebruik zijn voor het configureren van the box. Dat klopt ook wel, maar niet op deze interface. Zoals in 1 genoemd staan al deze services uit. Het verzetten van de WebGUI poort van 80 naar 8080 helpt wel, maar ik wil deze eigenlijk gewoon op 80 houden. Dat is toch wel mogelijk?!

Ik draai overigens ScreenOS 6.3.0r5.0.

Acties:

vrijdag 7 januari 2011 20:30

ye olde farte

Je hebt maar één public IP adres?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

vrijdag 7 januari 2011 21:23

Bite my shiny metal ass!

Topicstarter

alt-92 schreef op vrijdag 07 januari 2011 @ 19:49:
Je hebt maar één public IP adres?

Yup, eentje maar, op adsl1/0

Acties:

vrijdag 7 januari 2011 21:59

ik heb bij mij de ADSL0/1 niet manageable gelaten (wel zo handig).
Voor de VIP's had ik volgens mij bij configureren ook een dergelijke melding, maar (ik heb er 2) bij mij staan ze zo in de config:

set interface adsl1/0 vip interface-ip 80 "HTTP" {intern-IP}
set interface adsl1/0 vip interface-ip 25 "SMTP" {intern-IP}

Ik beheer mijn ssg20 alleen maar vanuit de binnenkant, op hetzelfde adres als de interface-IP's. Bij een manage-IP werkte het niet goed en is voor thuis ook een beetje overkill...

Acties:

zaterdag 8 januari 2011 19:36

Bite my shiny metal ass!

Topicstarter

Kenny_NL schreef op vrijdag 07 januari 2011 @ 21:23:
ik heb bij mij de ADSL0/1 niet manageable gelaten (wel zo handig).

[edit:] Ik had je verkeerd begrepen.

Maar die twee poorten blijken niet mijn grootste probleem te zijn. Mijn DNS configuratie daarintegen wel.
Mijn SBS2008 server is DNS op mijn domain. Dat had ik graag anders gezien, maar M$ kan niet zomaar met een andere DNS werken; Dat heeft me al eens een nacht gekost.

Mijn SBS2008 server is dus domain DNS en hij forward wat hij niet kan vinden naar de router. Mijn Draytek wist wat hij daarmee moest doen; Gewoon weer doorsturen naar de DNS die hij via DHCP op de ADSL lijn ontvangen heeft. Weet je hoe/of ik dat op de Juniper ook zo kan instellen?

[ Voor 27% gewijzigd door MindBender op 08-01-2011 12:49 . Reden: Ik had je verkeerd begrepen ]

Acties:

zondag 9 januari 2011 10:46

Volgens mij dien je dit in je 2008-server in te stellen. Nu ken ik DNS op een Windows server niet, maar ik neem aan dat je volgorde kan aangeven in de DNS-lookup. Je eigen DNS-server is dan de eerste, daarna komen de IP's van de alternatieve DNS-server (van je provider oid). Zo heb ik het bij mij (BIND op FreeBSD) ingesteld, waarbij deze de resolving voor z'n rekening neemt. Deze is dus zowel authoritive voor interne domein-queries en caching voor overige (internet) queries. Bij een binnenkomende query (kan alleen uit intern netwerk komen) kijkt BIND eerst bij zichzelf (1e listener-adres is 127.0.0.1), heeft BIND geen antwoord (niet in cache), dan stuurt-ie de query naar z'n forwarders. Die veranderen toch vrijwel nooit en dien je ook als IP-adres op te nemen in de configuratie.

De Juniper kan dus niet hetzelfde als de Draytek (die bedient ook een ander marktsegment als Juniper).

Acties:

zondag 9 januari 2011 13:20

Kenny_NL schreef op zaterdag 08 januari 2011 @ 19:36:

De Juniper kan dus niet hetzelfde als de Draytek (die bedient ook een ander marktsegment als Juniper).

Onzin. Op interface-niveau bij de SSG kan je DNS-Proxy aanzetten.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

Acties:

maandag 10 januari 2011 22:18

ye olde farte

Kenny_NL schreef op zaterdag 08 januari 2011 @ 19:36:
Volgens mij dien je dit in je 2008-server in te stellen. Nu ken ik DNS op een Windows server niet, maar ik neem aan dat je volgorde kan aangeven in de DNS-lookup. Je eigen DNS-server is dan de eerste, daarna komen de IP's van de alternatieve DNS-server (van je provider oid). Zo heb ik het bij mij (BIND op FreeBSD) ingesteld, waarbij deze de resolving voor z'n rekening neemt.

En voor een AD DNS server gebruik je forwarders.
Je clients laat je alleen maar naar je DC verwijzen.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

LordMorgoth

Valar Morghulis!

MindBender schreef op vrijdag 07 januari 2011 @ 21:59:
Mijn SBS2008 server is dus domain DNS en hij forward wat hij niet kan vinden naar de router. Mijn Draytek wist wat hij daarmee moest doen; Gewoon weer doorsturen naar de DNS die hij via DHCP op de ADSL lijn ontvangen heeft. Weet je hoe/of ik dat op de Juniper ook zo kan instellen?

Waarom stel je in je DNS niet gewoon bij de forwarders de DNS servers van je provider in?

Valar Morghulis! All men must die -- Jaqen H'ghar

dinsdag 11 januari 2011 14:57

Acties:

dinsdag 11 januari 2011 15:47

ye olde farte

Kan, maar dan zou je waarschijnlijk weer een rule moeten maken waar je extended DNS queries (naast UDP ook TCP voor MS DNS) mee toelaat naar de nameservers van je ISP.
Dan zou je ook de DNS proxy van de SSG kunnen inzetten...

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

woensdag 12 januari 2011 12:57

Nou, maar eens in extraParaMode een screenshot gemaakt

Het is wel mogelijk TS!

Network -> Interface -> List -> $Interface

Zie

Afbeeldingslocatie: http://diederik.nl/images/GoT/temp_Netscreen.PNG

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

Acties:

woensdag 12 januari 2011 13:01

DiedX schreef op zondag 09 januari 2011 @ 10:46:
[...]

Onzin. Op interface-niveau bij de SSG kan je DNS-Proxy aanzetten.

Je hebt helemaal gelijk, dat kun je inderdaad aanzetten. Maar wat de TS volgens mij bedoeld, is dat de clients allemaal naar de 2008-server gaan met hun DNS-queries. Als ik z'n verhaal goed begrepen heb, stuurde de 2008-server de queries waar-ie geen antwoord op heeft naar de Draytek, die deze dan naar de provider-DNS doorstuurde.

DNS-proxy is hier geen oplossing voor. Dit gaat er vanuit dat de clients hun queries naar de SSG sturen, en dat deze op basis van domein-naam de request óf naar de interne DNS (de 2008-server) óf naar de externe DNS-servers (van de provider). Tenminste, als ik de Concepts & Examples van ScreenOS goed lees...

Volgens mij moet de 2008-server gewoon in DNS de provider-DNS opgeven als forwarders (zoals LordMorgoth ook al aangeeft).

Acties:

woensdag 12 januari 2011 13:30

Bite my shiny metal ass!

Topicstarter

Hm, misschien heb ik het allemaal niet zo duidelijk uitgelegd.

Het probleem dat ik probeer op te lossen zijn de hard-configured DNS IP adressen. Ik ben al eens enkele dagen offline geweest toen mijn provider zijn DNSen op andere IP adressen had gezet. Een normale gebruiker heeft hier geen last van omdat hij een enkele computer de DNS IP adressen via DHCP binnen krijgt en een consumer grade router automatisch als DNS proxy dient met de via DHCP verkregen DNSen als forward servers.

Ik vraag me af of dit ook mogelijk is met mijn SSG20. Hij heeft zijn publieke IP adres van mijn provider's DHCP server gekregen en daar zitten ook de bijbehorend DNS adressen in. Dus hij heeft de informatie, maar ik wil ook dat hij daarheen forward.

Natuurlijk kan ik mijn SBS2008 laten forwarden naar mijn provider's DNSen, maar dat is dan weer hard-configured. Bovendien wil ik de SSG20 er nog graag tussen hebben, zodat deze mal-URLs kan filteren.

Acties:

woensdag 12 januari 2011 16:02

Maar, tenzij ik het niet goed begrijp (SBS of AD) is het juist de bedoeling dat de clients je SBS-Server als DHCP en DNS-Server gebruiken. Je SBS-Server dient dan als forwarder voor de domeinnamen die niet jedomein.local zijn.

Ja, dan krijg je een harde configuratie op je SBS, maar zover ik weet is dit wel de setup zoals die verwacht wordt.

Edit:

Dat je provider zijn DNS-Servers wijzigt zou niet voor problemen hoeven zorgen als hij goed communiceerd. Je janket ze gewoon erbij

[ Voor 17% gewijzigd door DiedX op 12-01-2011 13:31 ]

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

Acties:

donderdag 13 januari 2011 14:48

En bovendien, als je straks naar XS4ALL gaat hoef je de forwarders maar 1x in te stellen. In de tijd dat ik bij hun zit zijn die IP-adressen nog nooit gewijzigd. En daarnaast zijn er nog DNS-servers op Internet die je kunt gebruiken, zoals OpenDNS (helaas wel met account) die ook nog eens URL-filtering kan doen.

Acties:

donderdag 13 januari 2011 16:11

Bite my shiny metal ass!

Topicstarter

DiedX schreef op woensdag 12 januari 2011 @ 13:30:
Maar, tenzij ik het niet goed begrijp (SBS of AD) is het juist de bedoeling dat de clients je SBS-Server als DHCP en DNS-Server gebruiken. Je SBS-Server dient dan als forwarder voor de domeinnamen die niet jedomein.local zijn.

Inderdaad; Mijn SBS geeft zichzelf op als DNS in de DHCP records die hij aan zijn clients uitgeeft. Daardoor kan ik inderdaad al mijn speelgoed met .local namen op mijn netwerk terugvinden. Alles wat daarbuiten valt wordt geforward. Tot zover hebben we het over hetzelfde.

Ja, dan krijg je een harde configuratie op je SBS, maar zover ik weet is dit wel de setup zoals die verwacht wordt.

Voorheen stelde ik op mijn SBS de DNSes van mijn provider in als DNS forward servers. Dit werkte allemaal prima totdat Telfort zijn DNSen op andere IP adressen ging zetten. Het duurde twee dagen voordat ik de oorzaak van mijn probleem gevonden had...
De oplossing was simpel: Mijn ADSL modem krijgt de provider DNSen via DHCP binnen. De meeste consumer grade routers werken standaard als DNS proxy voor deze provider DNSen. Dus verwijderde ik de provider DNSen als forward servers op mijn SBS en zette het IP adress van mijn Draytek ervoor in de plaats.

Dat je provider zijn DNS-Servers wijzigt zou niet voor problemen hoeven zorgen als hij goed communiceerd. Je janket ze gewoon erbij

Toch is het me al twee keer gebeurd.
Maar er is nog een goede reden om de Juniper ertussen te hebben: De security pakketten van Juniper filteren ook op mal-URLs, wat weer wat extra beveiliging oplevert.

Acties:

donderdag 13 januari 2011 16:27

MindBender schreef op donderdag 13 januari 2011 @ 14:48:
Voorheen stelde ik op mijn SBS de DNSes van mijn provider in als DNS forward servers. Dit werkte allemaal prima totdat Telfort zijn DNSen op andere IP adressen ging zetten. Het duurde twee dagen voordat ik de oorzaak van mijn probleem gevonden had...

Even heel hard, maar dan heb je toch iets te weinig met de materie te maken gehad. Al kunnen netwerken een bitch zijn. Twee weken geleden lag mijn AD (en DHCP!) eruit. Duurde een uur voordat ik daaruit was. Het kan gebeuren.

MindBender schreef op donderdag 13 januari 2011 @ 14:48:
De oplossing was simpel: Mijn ADSL modem krijgt de provider DNSen via DHCP binnen. De meeste consumer grade routers werken standaard als DNS proxy voor deze provider DNSen. Dus verwijderde ik de provider DNSen als forward servers op mijn SBS en zette het IP adress van mijn Draytek ervoor in de plaats.

Even tussendoor: maak je gebruik van de ADSL-PIM?

Uitgaande van DHCP op je ADSL-PIM kan je aangeven dat je je DNS-Instellingen wil laten aanpassen daarmee. Als je geen DHCP op je ADSL hebt, dan wordt het heel lastig, en gewoon hopen dat Telfrox zijn DNS-servers niet zomaar aanpast.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

Acties:

Verwijderd

Stel op je SBS bij DNS properties je forwarders in op de DNS server(s) van je provider en vink "Use root hints if no forwarders are available" aan.
Via de knop "Edit...' kan je dan de timeout instellen, als bij een onbekende hostname je SBS niet binnen de timeout een antwoord krijgt van de forwarders gaat hij het IP aan de roots vragen.
Als je je timeout instelt op een 10 seconden dan zal je vanzelf wel merken als hij zijn forwarders niet meer kan bereiken. Gewoon de nieuwe provider DNSen er in gooien en opgelost.
Wel even de juiste trust-untrust rules aanmaken voor je SBS natuurlijk.

vrijdag 14 januari 2011 22:48

Acties:

zaterdag 15 januari 2011 12:06

DiedX schreef op donderdag 13 januari 2011 @ 16:11:
Even tussendoor: maak je gebruik van de ADSL-PIM?

Uitgaande van DHCP op je ADSL-PIM kan je aangeven dat je je DNS-Instellingen wil laten aanpassen daarmee. Als je geen DHCP op je ADSL hebt, dan wordt het heel lastig, en gewoon hopen dat Telfrox zijn DNS-servers niet zomaar aanpast.

Dit is een handige optie, maar niet als je zelf intern een DNS-server hebt die je als primaire DNS wilt gebruiken. De SSG heeft er (in mijn geval althans) een handje van om deze provider-DNS bovenaan te zetten (als primair/secundair). Bovendien werkt dit alleen als je clients de SSG als DHCP-server gebruiken. Ik heb dit vinkje snel uitgezet...

Acties:

zaterdag 15 januari 2011 20:34

Toch klinkt dat niet logisch: de SSG laat dan DNS queries alleen toe van systemen waar hij een DHCP-Lease aan gegeven heeft?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

Acties: