Toon posts:

ISA Server verbindt niet met mxstream

Pagina: 1
Acties:

donderdag 13 februari 2003 10:24

Acties:

Verwijderd

Topicstarter
Bij ons nu ook mxstream van de kpn uitgerold, jan2003.

Kpn mxstream is hier op dit moment het enige zakelijk DSL internet access abonn. dat beschikbaar is. Adsl 256/1536, overboekingsfactor: 10.
De meegeleverde adsl router/4 port switch is een Alcatel SpeedTouch ST510i
KPN levert maar 1 ip nummer.

De huidige ISA internetconnectie (ISDN2 Flatfee) config is gebaseerd op
2 IP nummers:
1- 1 ip nummer voor (isdn2)router 212.45.56.241
2- 1 ip nummer voor ISA "routernetwerk" 212.45.56.242
Intern netwerkkaart ISA (=LAN ) is een 172.16.x.x netwerk.

Config;

< INternet > -- < router > -- < ISA Server > -- < LAN >

Bij ons draait ms ISA (W2K) als internet access control voor het gehele bedrijfsnetwerk. Bandbreedte is zeer gewenst.
Actief internet protocols : BSMTP, DNS, HTTP+S, FTP, News

Het probleem:
*ISA werkt niet samen met mxstream ( kpn VPN internetconnectie)
*Maar 1 ip nummer beschikbaar bij kpn mxstream, huidige config daardoor niet te handhaven
*Ik snap de "tweak-termologie " niet.

De geschetse 'TweakNet Forum' oplossing;

*VPN connectie door router laten uitvoeren, ISA <> adsl router een apart 10.x.x.x Subnet en hiermee de vpn van de ISA afkiepen : OK
*adsl router ip nummer : 10.0.0.138 :OK
*ISA extern NIC : 10.0.0.150 GW: 10.0.0.138 netwask 255.0.0.0 :OK
*en nu komt het ".. zorg wel voor de defserver=10.0.0.150 in je alcatelmodem... hierdoor wordt je publieke ip op je isa server 'geprojecteerd' " :??

Tja, daarbij haak ik ff af !
Is hier hierover iets meer uitleg te geven
*wat is de genoemde Router-defserver ?
*Ja, ik wil het publiek ip nummer op de externe NIC ISA server, maar hoe ?
*hierover de 'tweakhandleiding' lezen, waar vind ik die?


Vriendelijk bedankt voor jullie reacties :) !!

donderdag 13 februari 2003 16:02

Acties:

Verwijderd

Ik heb het met ISA nog nooit geprobeerd, maar met W2K RRAS een VPN maken naar het modem is zeer goed mogelijk. Volgens mij moet je dat als basis nemen (de PPTP verbinding gedraagt zich dan als een gewoon interface). Heb wel verhalen gehoord dat het niet heel erg makkelijk is. Modem 'hack' zou ik niet doen, dan krijg je dubbele nat, dubbele port-forwarding etc, lijkt mij niet erg wenselijk!

donderdag 13 februari 2003 17:54

Acties:

Verwijderd

met isa is dit volgens mij ook goed mogelijk... je zal wel pptp moeten toestaan.

(maak een 2 pptp ip packet filters 1 pptp call en 1 pptp recieve)

[ Voor 61% gewijzigd door Verwijderd op 13-02-2003 17:58 ]

donderdag 13 februari 2003 22:54

Acties:

Verwijderd

Verwijderd schreef op 13 February 2003 @ 10:24:
*en nu komt het ".. zorg wel voor de defserver=10.0.0.150 in je alcatelmodem... hierdoor wordt je publieke ip op je isa server 'geprojecteerd' " :??
Je kunt in de NAT setup van dat routertje aangeven dat alle poorten geforward moeten worden naar 10.0.0.150. Dat is wat er bedoelt wordt met def server.
NAT setup kun je alleen benaderen dmv telnet.
Als je dit niet zou uitvoeren en je draait dus NAT over NAT, dan komen binnenkomende connecties, bijv SMTP,FTP,HTTP etc services nooit aan op de externe interface van de ISA machine.
Een beter alternatief, volgens mij althans, is om alleen de bewuste poorten die je daadwerkelijk nodig hebt door te mappen in de adsl router naar 10.0.0.150.
Je krijgt dan iets als:
nat create protocol=tcp inside_addr=10.0.0.150:25 outside_addr=0:25
Vrij vertaalt: alles wat op poort 25(smtp server inbound) binnekomt aan de buitenkant van de adsl modem, doormappen naar 10.0.0.150.
Op die adsl sites is vrij veel info te vinden hierover.

vrijdag 14 februari 2003 09:25

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 13 February 2003 @ 22:54:
[...]

....Je kunt in de NAT setup van dat routertje aangeven dat alle poorten geforward moeten worden naar 10.0.0.150. Dat is wat er bedoelt wordt met def server.
OK! , Dit is getest met een W2K client PC ( ipv de ISA server) achter de router. De externe interface is hier dus ( als test ff ) de nic van de W2K PC.
Een check met iCMP commands ping, tracert en nslookup functioneren perfect.
OOk HTTP-S,FTP,SMTP,News, Telnet services functioneren perfect. Conslusie alle poorten geforward, door de def server setting.
Verwijderd schreef op 13 February 2003 @ 22:54:
[...]
....NAT setup kun je alleen benaderen dmv telnet.
Als je dit niet zou uitvoeren en je draait dus NAT over NAT, dan komen
binnenkomende connecties, bijv SMTP,FTP,HTTP etc services nooit aan op de externe interface van de ISA machine.
Maar de test mbv de W2K client PC, geeft toch juist aan dat alle binnenkomende connecties óók op de ISA externe interface binnenkomen als nú de ISA server achter de router geplaatst wordt ?

Router heeft NAT/PAT actief en alle poorten forwarded naar ISA ( geen poort disabled) en def server is ingesteldt extern nic ISA server, ISA server ook NAT.
<internal network(172.16.x.x)>-- <ISA-NAT>--- <(10.0.0.0)router NAT/PAT(publiek ip adres)>--<internet>

Dit is nu de 'NAT-opstelling'. Komen nu de binnenkomende connecties ( SMTP, HTTP.. nooit aan op de externe interface ISA server? Ook als mbv de def server router setting het externe publieke ip nummer geprojecteerd wordt op de externe interface van de ISA server ?

Komt dit omdat NAT alleen functioneert tussen een private ip adres en een publiek (internet) ip adres?
Verwijderd schreef op 13 February 2003 @ 22:54:
[...]
....Een beter alternatief, volgens mij althans, is om alleen de bewuste poorten die je daadwerkelijk nodig hebt door te mappen in de adsl router naar 10.0.0.150.
Je krijgt dan iets als:
nat create protocol=tcp inside_addr=10.0.0.150:25 outside_addr=0:25
Vrij vertaalt: alles wat op poort 25(smtp server inbound) binnekomt aan de buitenkant van de adsl modem, doormappen naar 10.0.0.150.
Akkoord ! Maar op de ISA server staan deze poorten al 'dicht'.
Toch op de router deze poorten ook dichtzetten ?

Wil je een adsl url 's opgeven ?

vriendelijk Bedankt!

vrijdag 14 februari 2003 09:41

Acties:
  • Mr.Wizzard
  • Registratie: Januari 2002
  • Niet online

Mr.Wizzard

Brullen met die spullen

Verwijderd schreef op 13 February 2003 @ 16:02:
Ik heb het met ISA nog nooit geprobeerd, maar met W2K RRAS een VPN maken naar het modem is zeer goed mogelijk. Volgens mij moet je dat als basis nemen (de PPTP verbinding gedraagt zich dan als een gewoon interface). Heb wel verhalen gehoord dat het niet heel erg makkelijk is. Modem 'hack' zou ik niet doen, dan krijg je dubbele nat, dubbele port-forwarding etc, lijkt mij niet erg wenselijk!
Dat feest gaat helaas niet door, ISA is niet in staat op een VPN verbinding een firewall te voeren. Het zal wel werken maar het log ziet geel van de meldingen dat de firewall service niet gestart is op verbinding xxx.

Als je je Externe IP van de provider op je ISA wilt hebben moet die router er tussenuit, de ISA meteen op de Alcatel worden gehangen en de DHCP spoof truuk uitgevoerd worden. Dan heb je het voor elkaar om Extern IP aan de ISA netwerkkaart te hangen. (vergeet de externe NIC van de server niet op DHCP te zetten)

Andere oplossing is, router verbinding laten maken met vpn naar je Alcatel, daar mits aanwezig de DMZ opgeven naar de ISA server of enkele poortranges doorgeven. ISA externe NIC een vast IP geven in dezelfde range als de router met een default gateway naar je router en in je DNS de nummers van je provider.

Hopelijk kom je weer wat verder :)

TEAM_JOE_BAR

vrijdag 14 februari 2003 09:55

Acties:

Verwijderd

Je moet wel de registry aanpassen nadat SP1 voor ISA geinstalleerd is. Anders is het niet mogelijk om een dailup connection te maken met ISA.

Lees het volgende artikel van microsoft:
http://support.microsoft....spx?scid=kb;en-us;Q313433

Hierna werkt Mxstream wel icm ISA zonder de tweak of router.

SpeeDer

vrijdag 14 februari 2003 10:03

Acties:
  • Massiefje
  • Registratie: Mei 2002
  • Laatst online: 15-04 13:43

Massiefje

Verwijderd schreef op 14 February 2003 @ 09:55:
Je moet wel de registry aanpassen nadat SP1 voor ISA geinstalleerd is. Anders is het niet mogelijk om een dailup connection te maken met ISA.

Lees het volgende artikel van microsoft:
http://support.microsoft....spx?scid=kb;en-us;Q313433

Hierna werkt Mxstream wel icm ISA zonder de tweak of router.

SpeeDer
dit gaat nergens over.

voor de TS: in ISA aangeven bij networkconfig --> properties --> use Dial-up
bij primaire route aangeven: action --> use dialup for primary rout
Handmatig even een VPN verbinding aanmaken, zoals je zou doen, ZONDER ISA
IN isa dialups aangeven dat je een dialwilt maken en dan verwijzen naar de VPN.
Heeft hier een tijd lang goed gewerkt. Alleen je krijgt problemen met interne servers die je extern beschikbaar wilt maken.

Indien je andere config wil horen, mail me..........

vrijdag 14 februari 2003 10:16

Acties:

Verwijderd

Handleiding waar je wellicht wat aan hebt: http://www.bruring.com

vrijdag 14 februari 2003 10:18

Acties:

Verwijderd

Verwijderd schreef op 14 February 2003 @ 10:16:
Handleiding waar je wellicht wat aan hebt: http://www.bruring.com
Vergeet ook niet www.isaserver.org..

vrijdag 14 februari 2003 10:24

Acties:

Verwijderd

http://isaserver.org/tuto...L_by_David_Fosbenner.html misschien wat?

zaterdag 15 februari 2003 22:45

Acties:

Verwijderd

Verwijderd schreef op 14 February 2003 @ 09:25:
Router heeft NAT/PAT actief en alle poorten forwarded naar ISA ( geen poort disabled) en def server is ingesteldt extern nic ISA server, ISA server ook NAT.
<internal network(172.16.x.x)>-- <ISA-NAT>--- <(10.0.0.0)router NAT/PAT(publiek ip adres)>--<internet>

Dit is nu de 'NAT-opstelling'. Komen nu de binnenkomende connecties ( SMTP, HTTP.. nooit aan op de externe interface ISA server? Ook als mbv de def server router setting het externe publieke ip nummer geprojecteerd wordt op de externe interface van de ISA server ?
Dat is de juiste opstelling. Omdat de def server naar 10.0.0.150 verwijst komt alles aan op de externe interface van de ISA bak.
Nu is het alleen een kwestie van op de juiste manier poorten doormappen, via server publishing.
Vergeet niet dat als je services op de ISA server zelf hebt draaien, je socket pooling uit moet zetten (multi homed win2000 server!) en je packet filters aan moet maken.

donderdag 20 februari 2003 15:30

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 15 February 2003 @ 22:45:
[...]
Vergeet niet dat als je services op de ISA server zelf hebt draaien, je socket pooling uit moet zetten (multi homed win2000 server!) en je packet filters aan moet maken.
De (kpn) Adsl internet connectie via ISA server functioneerd nu goed.

De config;

-Thomson Speedtouch 510i Adsl router/4 ports 100Base-T switch
-KPN Adsl 256/1536 ( mxstream )
-ISA server ( zonder SP1 ) op W2K os
-ISA Server LAT en server publising rules , aanpassen.

<Internet/ISP>--<router>--<ISA>--LAN----<BSMTP mailserver>

Router:
-config.ini: ADSL KPN Telecom+NAT/PAT connectie
-DHCP: UIT
-router IP: 10.0.0.138
-Def Server: 10.0.0.150

Een 10.0.0.x Subnet tussen de router en de ISA server.

ISA Server;
-2 st. NIC
-router-NIC IP: 10.0.0.150, GW: 10.0.0.138, MS: 155.255.255.0
-DNS1 en DNS2 van ISP invullen
-LAT het subnet 10.0.0.x excluded !
-server publising rules: aanpassen

ISP;
-Test connectie naar de mailserver via ISA
-OK: dan aanpassen ip nummer <bedrijfs>domain aan het nw. publieke ip-nummer

-en nu nog een cursus ISA server!
Pagina: 1
Reageer