[ISA server] Geen verbinding met Mxstream? - Serversoftware en clouddiensten

zondag 10 februari 2002 19:36

Acties:

Topicstarter

Hoi,

ik probeer ISA server te gebruiken op een netwerk, op een losse host met aan de ene kant een niet getweaked MXStream modem, en aan de andere kant het netwerk. Resultaat: niemand krijgt verbinding.

Ik heb genoeg ervaring met ISA server, mede omdat ik dit hiervoor al heb zitten testen in een Vmware omgeving, en dit werkte perfect.
Alle regels zijn nagekeken, en nu heb ik voor de zekerheid nog maar één regel er in zitten: allow from all, to all, all protocols, always. Dat zou toch moeten werken

Mijn conclusie: Mxstream met z'n vervelende VPN verbinding is 'de zwakste schakel' (duh

). Het modem wil ik liever niet tweaken.

Is er een manier om dit geheel toch aan de gang te krijgen

_{specs: celeron 300A, 192 MB RAM@66mhz, 10 gb HD @ NTFS (5;2,5&2,5), 1x 100 mbit Fast Ethernet (intern, aan switch), 1x 10 mbit (combo) ethernet (naar alcatel modem), Windows® 2000 Server, TS voor remote administration (aangezien er 3 stekkers in die bak zitten: stroom, netwerk en netwerk naar alcatel modem ).}

zondag 10 februari 2002 20:00

Acties:

_Arthur

blub

Je enige manier is of wel je modem tweaken of er een router tussen zetten die je vpn verbinding verzorgt.

ISA kan namelijk niet overweg met een vpn als 'internet connectie'.

Als je gaat zoeken op het www.isaserver.org forum kom je een paar nederlanders tegen die ook problemen had met isaserver en mxstream. De meeste hebben dit opgelost door dus hun modem te tweaken en die te laten vpn-en.

Ik heb zelf trouwens ook de alcatel modem getweaked ism isaserver. Werkt perfect.

zondag 10 februari 2002 20:21

Acties:

HunterPro

Topicstarter

Op zondag 10 februari 2002 20:00 schreef _Arthur het volgende:
Je enige manier is of wel je modem tweaken of er een router tussen zetten die je vpn verbinding verzorgt.

ISA kan namelijk niet overweg met een vpn als 'internet connectie'.

Als je gaat zoeken op het www.isaserver.org forum kom je een paar nederlanders tegen die ook problemen had met isaserver en mxstream. De meeste hebben dit opgelost door dus hun modem te tweaken en die te laten vpn-en.

Ik heb zelf trouwens ook de alcatel modem getweaked ism isaserver. Werkt perfect.

ik kan verder geen gegevens vinden over hoe het modem reageert na zo'n tweak op VPN aanvragen, en aangezien ik nu met een ICS deling werk, zou ik dit graag draaiende houden

als ik dit modem tweak, blijft de internet verbinding (en dus de ICS deling) zoals deze nu is, werkend?

zondag 10 februari 2002 21:28

Acties:

_Arthur

blub

Je wilt dus anderen mensen toegang geven tot je eigen netwerk dmv vpn en dat langs je isa server (neem ik aan).

Dit even aannemende, moet dat prima gaan werken.

De situatie die je krijgt is:

internet-isp<--vpn-->alcatelmodem<--10.0.0.xlan-->isaserver<--rest-van-je-interne-lan-->clients

Hierna 'defserver' je je buitenkant van je alcatelmodem (even de tweak handleiding lezen

) naar de buitenkant (10.0.0.x adres) van je isaserver.
Resultaat, alle requests op je publieke ip-adres komen op je isa-server uit. En dat wil je. Want met je isaserver
ga je de rest regelen en dus ook je vpn-server.

zondag 10 februari 2002 21:31

Acties:

Zwelgje

Op zondag 10 februari 2002 20:00 schreef _Arthur het volgende:

ISA kan namelijk niet overweg met een vpn als 'internet connectie'.

huh? hier thuis draait het prima met een ongetweaked modem (inbellen middels vpn met mxstream) draai met ISA server 2000 (wel enterprise edition maar toch)

tzou dus niet mogen werken.... mmm apart, hier dus wel

A wise man's life is based around fuck you

zondag 10 februari 2002 21:31

Acties:

HunterPro

Topicstarter

Op zondag 10 februari 2002 21:28 schreef _Arthur het volgende:
Je wilt dus anderen mensen toegang geven tot je eigen netwerk dmv vpn en dat langs je isa server (neem ik aan).

Dit even aannemende, moet dat prima gaan werken.

De situatie die je krijgt is:

internet-isp<--vpn-->alcatelmodem<--10.0.0.xlan-->isaserver<--rest-van-je-interne-lan-->clients

Hierna 'defserver' je je buitenkant van je alcatelmodem (even de tweak handleiding lezen ) naar de buitenkant (10.0.0.x adres) van je isaserver.
Resultaat, alle requests op je publieke ip-adres komen op je isa-server uit. En dat wil je. Want met je isaserver
ga je de rest regelen en dus ook je vpn-server.

neuh, het gaat me er vooral om dat ik dalijk (als ik me nog niet verder heb verdiept in het verderrouten van internet met ISA server) nog steeds Internet Connection Sharing voor de clients kan gebruiken

zondag 10 februari 2002 21:32

Acties:

HunterPro

Topicstarter

Op zondag 10 februari 2002 21:31 schreef zwelgje het volgende:

[..]

huh? hier thuis draait het prima met een ongetweaked modem (inbellen middels vpn met mxstream) draai met ISA server 2000 (wel enterprise edition maar toch)

tzou dus niet mogen werken.... mmm apart, hier dus wel

'k heb ook enterprise edition, alleen niet in 'enterprise mode' (in active directory en geclusterd) draaiend

zondag 10 februari 2002 21:40

Acties:

_Arthur

blub

Op zondag 10 februari 2002 21:31 schreef zwelgje het volgende:

[..]

huh? hier thuis draait het prima met een ongetweaked modem (inbellen middels vpn met mxstream) draai met ISA server 2000 (wel enterprise edition maar toch)

tzou dus niet mogen werken.... mmm apart, hier dus wel

Mischien dat ze dat met sp1 verholpen zouden hebben

, maar als je deze : http://www.isaserver.org/cgi-bin/ultimatebb.cgi?ubb=get_topic;f=2;t=001431 tread leest, dan zegt zelfs Microsoft zelf dat het niet kan. Want je zou geen packetfilters op een secure (vpn) connectie mogen/moeten kunnen toepassen. Want tja, het verkeer is secure he, dus kan ie de packets toch al niet meer controleren.

Alleen sp1 is dus niet meer te downloaden.

zondag 10 februari 2002 21:41

Acties:

_Arthur

blub

Op zondag 10 februari 2002 21:32 schreef |HunterPro| het volgende:

[..]

'k heb ook enterprise edition, alleen niet in 'enterprise mode' (in active directory en geclusterd) draaiend

Enterprise is denk ik hier niet echt van toepassing.

En of je ICS nog wel kan gebruiken, dunno, test eens op een 2de machine zou ik zeggen. Werkt dat prima, dan kan je het op je machine installeren waar nu inet op geshared wordt.

zondag 10 februari 2002 21:41

Acties:

Zwelgje

Op zondag 10 februari 2002 21:40 schreef _Arthur het volgende:

[..]

Mischien dat ze dat met sp2 verholpen hebben, maar als je deze : http://www.isaserver.org/cgi-bin/ultimatebb.cgi?ubb=get_topic;f=2;t=001431 tread leest, dan zegt zelfs Microsoft zelf dat het niet kan. Want je zou geen packetfilters op een secure (vpn) connectie mogen/moeten kunnen toepassen. Want tja, het verkeer is secure he, dus kan ie de packets toch al niet meer controleren.

sp2 voor isa server? er is nog niet eens een sp1 voor isa! (was er wel maar die hebben ze teruggetrokken vanwege problemen)

A wise man's life is based around fuck you

zondag 10 februari 2002 21:46

Acties:

_Arthur

blub

Op zondag 10 februari 2002 21:41 schreef zwelgje het volgende:

[..]

sp2 voor isa server? er is nog niet eens een sp1 voor isa! (was er wel maar die hebben ze teruggetrokken vanwege problemen)

Excuse me voor de mis-informatie. Je hebt inderdaad helemaal gelijk (ik liep een beetje ver vooruit op de feiten). En ik doelde op sp1 en niet op sp2, maar dat terzijde.

Ik had (nog) niet gezien dat sp1 was terruggetrokken, naja, ik gebruik de smtp-filter (nog) niet. Dus mijn beide isa servers gaan als sp1 door het verdere leven.

zondag 10 februari 2002 21:52

Acties:

HunterPro

Topicstarter

Op zondag 10 februari 2002 21:41 schreef zwelgje het volgende:

[..]

sp2 voor isa server? er is nog niet eens een sp1 voor isa! (was er wel maar die hebben ze teruggetrokken vanwege problemen)

maar heb jij SP1 geinstalleerd?

zondag 10 februari 2002 22:26

Acties:

HunterPro

Topicstarter

Okee, dat wordt dus tweaken. Welke instellingen in ISA server moet ik hiervoor dan aanpassen? (IP's, zowel intern als extern, houd ik gelijk).

zondag 10 februari 2002 23:58

Acties:

_Arthur

blub

De VPNconnectie (voor mxstream) van je isa server afkiepen. En je externe ipadres moet de 10.0.0.150 worden. Met als netmask 255.0.0.0 en gateway 10.0.0.138 (138= dus je getweakte alcatel).

Zorg wel voor de defserver=10.0.0.150 in je alcatelmodem (of iets vergelijkbaars, kweenie meer wat het precies is). Hierdoor wordt je publieke ip op je isa server 'geprojecteerd'.

zondag 10 februari 2002 23:59

Acties:

HunterPro

Topicstarter

Op zondag 10 februari 2002 23:58 schreef _Arthur het volgende:
VPN van je isa server afkiepen. En je externe ipadres moet de 10.0.0.150 worden. Met als netmask 255.0.0.0 en gateway 10.0.0.138 (138= dus je getweakte alcatel).

Zorg wel voor de defserver=10.0.0.150 in je alcatelmodem (of iets vergelijkbaars, kweenie meer wat het precies is). Hierdoor wordt je publieke ip op je isa server 'geprojecteerd'.

dat laatste stuk ga ik nog in knippen, aangezien ik alleen poorten 80, 21 en 113 door wil hebben (en eventueel remote desktop), dat scheelt weer een jas in trojans op het net, en poort 135 open vind ik niet zo netjes

maandag 11 februari 2002 00:08

Acties:

_Arthur

blub

Op zondag 10 februari 2002 23:59 schreef |HunterPro| het volgende:

[..]

dat laatste stuk ga ik nog in knippen, aangezien ik alleen poorten 80, 21 en 113 door wil hebben (en eventueel remote desktop), dat scheelt weer een jas in trojans op het net, en poort 135 open vind ik niet zo netjes

Euh ISA heeft alle poorten al standaard dicht zitten zoals je zou moeten weten. Dus als die poorten open staan naar buiten toe heb je ze toch echt zelf open gezet allemaal!

En daarnaast beschermt een firewall je echt niet tegen trojans. Gebruiker krijgt attachment, let niet op (of is een domme

), opent attachment, hop, trojan op de pc. Zit je daar met je ISA server

maandag 11 februari 2002 00:10

Acties:

HunterPro

Topicstarter

Op maandag 11 februari 2002 00:08 schreef _Arthur het volgende:

[..]

Euh ISA heeft alle poorten al standaard dicht zitten zoals je zou moeten weten. Dus als die poorten open staan naar buiten toe heb je ze toch echt zelf open gezet allemaal!

En daarnaast beschermt een firewall je echt niet tegen trojans. Gebruiker krijgt attachment, let niet op (of is een domme ), opent attachment, hop, trojan op de pc. Zit je daar met je ISA server

omdat ik ISA server dus nog niet online heb gekregen, heb ik dat dus nog niet gezien. Wel al eerder werkend gehad, in een Vmware testomgeving. Maar goed, ga ik morgen ff spelen

maandag 11 februari 2002 00:15

Acties:

_Arthur

blub

Zoals ik al hier boven zei, test het eerst op een test systeem. MS-ISA is geen 'click-and-go' firewall/proxy oplossing en er zitten 100-den valkuilen en andere dingen in waardoor sommige zaken mischien wel/niet willen werken.

Owja, het forum op www.isaserver.org is je vriendje voor al de vragen die je hebt

maandag 11 februari 2002 00:33

Acties:

HunterPro

Topicstarter

Op maandag 11 februari 2002 00:15 schreef _Arthur het volgende:
Zoals ik al hier boven zei, test het eerst op een test systeem. MS-ISA is geen 'click-and-go' firewall/proxy oplossing en er zitten 100-den valkuilen en andere dingen in waardoor sommige zaken mischien wel/niet willen werken.

Owja, het forum op www.isaserver.org is je vriendje voor al de vragen die je hebt

'k heb me maar vast geregged

ziet er idd erg behulpzaam uit, vooral omdat de auteur van het boek er ook rondwandelt

maandag 10 februari 2003 15:32

Acties:

Verwijderd

Bij ons in de Betuwe is nu ook mxstream vd kpn uitgerold, jan2003.
Kpn mxstream is hier op dit moment het enige zakelijk DSL internet access abonn. dat beschikbaar is. Adsl 256/1536, overboekingsfactor: 10.
De meegeleverde adsl router is een Alcatel SpeedTouch ST510i
KPN levert 1 ip nummer (via ISP login account) toegekend.

De huidige ISA internetconnectie (ISDN2 Flatfee) config is gebaseerd op
2 ip nummers;
1- 1 ip nummer voor (isdn2)router 212.45.56.241
2- 1 ip nummer voor ISA "routernetwerk" 212.45.56.242

Intern netwerkkaart ISA is een 172.16.x.x netwerk.

Bij ons draait ms ISA (W2K) als internet access control voor het gehele bedrijfsnetwerk. Bandbreedte is zeer gewenst.
Ook draait ms Exchange ( BSMTP ), DNS, HTTP+S, FTP, +def prot. , als internet protocols achter de ISA server.

Probleem:
*ISA en kpn VPN internetconnectie werkt niet. ( ISA packetfiltering )
*Maar 1 ip nummer beschikbaar bij kpn mxstream.
*Ik snap de "tweak-termologie " niet.

De geschetse oplossing;
*VPN connectie door router uitvoeren ( ISA <> adsl router een apart 10.x.x.x Subnet en hiermee de vpn van de ISA afkiepen.
*adsl router ip nummer : 10.0.0.138
*ISA extern NIC : 10.0.0.150 GW: 10.0.0.138 netwask 255.0.0.0
*en nu komt het ".. zorg wel voor de defserver=10.0.0.150 in je alcatelmodem... hierdoor wordt je publieke ip op je isa server 'geprojecteerd' "

Tja, daarbij haak ik ff af !
Kun je hierover iets meer uitleg geven,
*wat is een defserver?
*Ja, ik wil het publiek ip nummer op de externe NIC ISA server, maar hoe?
*hierover de 'tweakhandleiding' lezen, waar vind ik die?

bedankt !!

ISA

maandag 10 februari 2003 15:59

Acties:

HunterPro

Topicstarter

Verwijderd schreef op 10 February 2003 @ 15:32:
[..]

dit is een schop van meer dan een jaar, en een beetje lastig om zo het topic te lezen. Open je eigen topic waarin je duidelijk uiteenzet wat je probleem met ISA server is

_{overigens voor mensen die zich verplicht voelen te reply'en: kijk naar de postdata en neem Nieuwe policy mbt replies in 'slechte' topics in acht}

maandag 10 februari 2003 16:47

Acties:

Koffie

Koffiebierbrouwer

Braaimeneer

Zie de melding van HunterPro

Tijd voor een nieuwe sig..

Pagina: 1

Dit topic is gesloten.