port forwarding onder isa - Serversoftware en clouddiensten

vrijdag 4 april 2003 10:49

Acties:

Topicstarter

Hoi, het volgende probleem speelt.

Wij hebben een Cisco 826 ADSL router met daarachter een ISA Server en daarachter dus ons interne netwerk.

LAN-----ISA-----CISCO----INTERNET.

De bedoeling is om via cisco vpn te connecten en dan via terminal services een server binnen het LAN over te nemen.

Echter krijg ik het in ISA niet voor mekaar om een poort door te laten. In dit geval dus 3389 (standaard poort van terminal services)

Ping ik vanaf een host vanuit het lan naar de cisco krijg ik netjes een reply. De routing klopt dus.

In ISA heb ik een allow op poort 3389 inbound.
Dat werkt voor de ISA zelf want ik kan dus via de vpn op de cisco met terminal services de ISA Server overnemen.

Echter wanneer ik probeer een server in het LAN over te nemen lukt het mij niet.
Dit doe ik door te een ip adres + poort op te geven van een LAN server.

IP Packet filtering en IP routing staat aan op de ISA.

Ook als ik via publishing probeer te connecten, dus een connectie op het externe ip adres van de ISA + poort 3389 lukt het mij niet om een LAN server over te nemen.

Wat doe ik verkeerd ?

vrijdag 4 april 2003 13:08

Acties:

Verwijderd

Kijk eens in logs, daar kun je achterhalen wat er fout zit.

zaterdag 5 april 2003 04:06

Acties:

SED

3389 is zowel tcp als UDP, met name voor het geluid heb je udp nodig.
( RDP 5.2, windows 2003)

Copyright and left by SED...

zaterdag 5 april 2003 13:23

Acties:

Verwijderd

Suggestie:
Terminal service binden aan de interne kaart van ISA.
Via server publishing externe ip adres van ISA server poort 3389 mappen naar interne ip adres.
Voor iedere "extra" terminal server die je wilt publiceren heb je een "extra" extern ip adres nodig!.
Een alternatief is om de poort op de terminal server te wijzigen naar bijv. 3390, en die door te mappen, je moet dan wel aan de client klant connecten naar 3390 ipv 3389 (dit kan met remote desktop client van XP, die kun je overigens voor alle windows versies gebruiken)

maandag 7 april 2003 12:17

Acties:

Verwijderd

Zoals op de MS site ook al staat, mag je op de ISA Server geen terminal services draaien, omdat hij deze anders niet doormapped.

maandag 7 april 2003 15:39

Acties:

QuikSoft

Nou bij mij draait isa en terminal server op een machine is alleen een kwestie van de goede rules aanmaken,, had voorheen al vermeld dat ie maar even contact met me opneemt en dan stuur ik hem de screenshots van mijn instellingen.

I Think i gonne be Sick!!!

maandag 7 april 2003 16:26

Acties:

relaxteb

Topicstarter

kep een mailtje naar je multiweb account gestuurd omdat volgens mij je hotmail niet meer geldig is ?

maandag 7 april 2003 19:30

Acties:

Verwijderd

QuikSoft schreef op 07 April 2003 @ 15:39:
Nou bij mij draait isa en terminal server op een machine is alleen een kwestie van de goede rules aanmaken,, had voorheen al vermeld dat ie maar even contact met me opneemt en dan stuur ik hem de screenshots van mijn instellingen.

Ja, maar als je een terminalserver ACHTER je ISAserver hebt draaien, dan mag je geen terminalserver op je ISAserver draaien.

Als je ze allebei op een systeem draait, dan moet je het wel geinstalleerd hebben natuurlijk.

maandag 7 april 2003 19:46

Acties:

relaxteb

Topicstarter

Eh volgens mij kan het wel OP de isa en op een andere server.
dat las ik op microsoft. Alleen moet je dan een andere poort gebruiken voor 1 van de 2.
Alleen het hele forwarden lijkt gewoon niet te werken

maandag 7 april 2003 21:00

Acties:

Verwijderd

Verwijderd schreef op 07 April 2003 @ 19:30:
[...]

Ja, maar als je een terminalserver ACHTER je ISAserver hebt draaien, dan mag je geen terminalserver op je ISAserver draaien.

Als je ze allebei op een systeem draait, dan moet je het wel geinstalleerd hebben natuurlijk.

Moet mijn post goed lezen, hierboven, daar staat het exact....

dinsdag 8 april 2003 11:29

Acties:

relaxteb

Topicstarter

Kzag het ja, ik heb tevens ook een ander probleem wat ik niet onder een ander topic van een moderator mog plaatsen :

Bij een klant van ons wilde zij graag filters voor bepaalde websites (porno etc)

ISA werkte goed, er werd geen firewall client gebruikt alleen maar een instelling in IE.
Nou heb ik een grote destination set met sex sites gemaakt.
En deze in de site en content rules toegevoegd :

Sex contect ...deny....any request

Alle andere webpages zijn gewoon toegangelijk behalve voor 1 account, deze heeft alleen maar rechten op het interne web :

all webpages....allow....webusers ...exeption account algemeen

interneweb.nl.....allow....any request

Probleem is nu dat als deze filters aan staan IE naar een username/password/domain vraagt als je naar een site gaat.
Dit gebeurd alleen de 1e keer als je IE opgestart hebt en naar een page wilt gaan.
Klik je op annuleren kun je gewoon verder internetten.

Zet ik nu die webpage filters uit dan wordt er niet meer om authenticatie gevraagd.

Erg vaag !

Iemand een idee ? Ik heb al gezocht op isaserver.org maar daar heb ik nog niet heel veel reacties gekregen

dinsdag 8 april 2003 13:55

Acties:

Verwijderd

Verwijderd schreef op 07 april 2003 @ 21:00:
[...]

Moet mijn post goed lezen, hierboven, daar staat het exact....

Ja dat zie ik.
Maar een extra IP adres aanvragen of een andere poort instellen is wel wat omslachtiger/duurder dan gewoon je terminal service uit te schakelen, lijkt mij

dinsdag 8 april 2003 14:09

Acties:

QuikSoft

Met isa kun je gewoon port forwarden naar een ander server,,, kan ook gewoon met de publishing rules..
Of via FQN (dns)door mappen naar een intern ipadres binnen private range .
Het is juist de bedoeling van isa dat alles op 1 ip adress binnenkomt en dat je niet honderden of duizenden guldens aan hardware en dergelijke hoeft uittegeven.

p.s
relaxteb multiweb account benik het passwordt van kwijt,, stuur maar naar mijn planet of hotmail account.

I Think i gonne be Sick!!!

dinsdag 8 april 2003 15:19

Acties:

relaxteb

Topicstarter

Het werkt maar nu snap ik het niet meer :
Ik heb TS disabled(al dan niet tijdelijk) op de ISA en een publish server rule aangemaakt voor de interne TS server. Dit werkt. Maar nu gebruik je als doel het externe ip adres van de ISA. Wat ik dacht dat kon was het adres gebruiken van de interne TS server en bij packet filtering ip routing aanzetten. Dan zou de isa namelijk echt als router fungeren en niet als NAT gateway.
Afijn, ben bezig met mijn ISA certificering dus het zal hopelijk allemaal nog wel wat duidelijker worden.

Kan iemand mij nog duidelijkheid verschaffen over de content filtering zoals ik hierboven genoemd heb ?

Tnx

dinsdag 8 april 2003 19:48

Acties:

QuikSoft

content filtering,, hebben ze mooie addon pakketten voor wij gebruiken op h et werk superscout,, werkt perfect.

I Think i gonne be Sick!!!

woensdag 9 april 2003 09:57

Acties:

relaxteb

Topicstarter

Ja maar ik gebruik die spullen van isatools.
En dat moet gewoon werken aangezien er meerdere mensen dat gebruiken.
Scheelt weer extra software etc.

woensdag 9 april 2003 18:46

Acties:

Verwijderd

relaxteb schreef op 08 April 2003 @ 15:19:
Het werkt maar nu snap ik het niet meer :
Ik heb TS disabled(al dan niet tijdelijk) op de ISA en een publish server rule aangemaakt voor de interne TS server. Dit werkt. Maar nu gebruik je als doel het externe ip adres van de ISA. Wat ik dacht dat kon was het adres gebruiken van de interne TS server en bij packet filtering ip routing aanzetten. Dan zou de isa namelijk echt als router fungeren en niet als NAT gateway.
Afijn, ben bezig met mijn ISA certificering dus het zal hopelijk allemaal nog wel wat duidelijker worden.

Kan iemand mij nog duidelijkheid verschaffen over de content filtering zoals ik hierboven genoemd heb ?

Tnx

Dit is zoals het hoort met ISA, je kan geen internadres aanspreken via internet.

woensdag 9 april 2003 20:26

Acties:

QuikSoft

Tuurlijk wel..... kijk maar eens op mijn site alles subdomains draaien op 1 ip adress terwijl er 3 servers achter zitten... http://www.quiksoft.nl

I Think i gonne be Sick!!!

donderdag 10 april 2003 08:06

Acties:

Remco

eeeeh, quiksoft...... Lees het even goed door.
Jij beweert nu dat ik jouw server die adres 192.168.0.1 heeft, vanuit hier kan benaderen
met dat adres ?
Nah, dacht het niet.

Je moet inderdaad altijd het externe adres gebruiken. Als je dan meerdere ts-servers hebt staan, dan kan je ze allemaal een andere poort geven.
3389
3390
enz.
Dan in isa aangeven dat poort 3389 naar 192.168.0.1 gaat en
poort 3390 naar 192.168.0.2.

En anders gaat het niet ....

The best thing about UDP jokes is that I don't care if you get them or not.

donderdag 10 april 2003 10:26

Acties:

relaxteb

Topicstarter

Niemand over het content filtering ?

donderdag 10 april 2003 14:48

Acties:

QuikSoft

Precies,,,,,, wat ik bedoelde is dat je niet meer voor elke iis server of een ts server een geregistreerd ip adress nodig heb... maar je kan dus nu doormiddel van hostheaders en of fqdn alles forwarden naar een andere server....

op dns naam kun je mijn server met ip 192.168.0.2 gewoon benaderen ,,, isa reroute gewoon die dns naam door intern op dezelfde poort...

I Think i gonne be Sick!!!

vrijdag 11 april 2003 11:08

Acties:

Verwijderd

QuikSoft schreef op 10 April 2003 @ 14:48:
op dns naam kun je mijn server met ip 192.168.0.2 gewoon benaderen ,,, isa reroute gewoon die dns naam door intern op dezelfde poort...

Intern, ja.

Maar als ik vanuit thuis over internet naar 192.168.0.2 probeer te gaan, lukt dat niet

vrijdag 11 april 2003 20:28

Acties:

mutsje

Certified Prutser

Wat je ook kunt doen is je poort van je Terminal Server ff tweaken naar een poort die wel werkt om daarna uit te zoeken welke poorten je verkeerd gezet hebt. hier linkhttp://www.datacrash.net/...CT=17&grp=5&msg=26&page=0

vrijdag 11 april 2003 23:45

Acties:

QuikSoft

VIP tweak,, luister nou eens goed mijn 2e server heeft bijv als ip 192.168.0.2 met een fqdn mail.quiksoft.nl als jij die dns naam in tikt in je browser kom je via isa binnen op mijn geregistreerd ip adress waar mijn dns opdraaid en isa retoured hem gewoon intern door naar ip adres 192.168.0.2 snap je het nou of lijkt je een cursusje MCSE2000 of ISA 2000 wel handig.
Dan kun je zien dat je via je dns (moet je hem wel zelf hosten) en een isa gewoon meerder servers met een private ip adress toch op het internet kunt krijgen..

I Think i gonne be Sick!!!

zaterdag 12 april 2003 10:42

Acties:

Verwijderd

QuikSoft schreef op 11 april 2003 @ 23:45:
VIP tweak,, luister nou eens goed mijn 2e server heeft bijv als ip 192.168.0.2 met een fqdn mail.quiksoft.nl als jij die dns naam in tikt in je browser kom je via isa binnen op mijn geregistreerd ip adress waar mijn dns opdraaid en isa retoured hem gewoon intern door naar ip adres 192.168.0.2 snap je het nou of lijkt je een cursusje MCSE2000 of ISA 2000 wel handig.
Dan kun je zien dat je via je dns (moet je hem wel zelf hosten) en een isa gewoon meerder servers met een private ip adress toch op het internet kunt krijgen..

Het IP adres van mail.quicksoft.nl is : 217.22.64.81
Intern zal het best 192.168.0.2 zijn, maar publiek is het toch echt 217.22.64.81

Dus jij hebt poort 217.22.64.81 (mail.quicksoft.nl) doorgemapped naar 192.168.0.2

Snap je het zelf eigenlijk wel? Anders moet jij misschien even een cursusje TCP/IP volgen.

zaterdag 12 april 2003 12:22

Acties:

QuikSoft

Heheheh,,, laten we er maar over op houden,, want we bedoelen het zelfde,,,,,En isa is juist voor dit soort dingen bedoeld,,en het is QuikSoft zonder C,,,,,,,,lol
btw curcusje tcp/ip allang gehad..

I Think i gonne be Sick!!!