isa server met adsl - spoof error's

Ik heb een Server met daarop Windows 2000 small business server 2000.
service pack4

daarin zit de isa server met sp1.

nu heb ik een adsl verbinding via een bridge, wanneer ik een werkstation rechtstreeks op die bridge hang krijg ik netjes een IP adres en werkt het internet goed.

ik heb op de server 2 netwerkkaarten, 1 voor intern netwerk 192.168.x.x
en een externe, daarop heb ik DHCP aanstaan.

wanneer ik nu een ipconfig /renew aanvraag geeft mijn ISA server de volgende melding: Event ID: 15108
"Isa server detected a spoof attack from internet protocol (IP) address 213.211.152.1 ..... enz enz"

nu weet ik dat 213.211.152.1 de DHCP server van de provider is.
dus ik wil deze pakketten gewoon doorlaten.

heb al overal gezocht en ook al van isaserver.org een artikel toegepast maar niets helpt.

ik heb een packet-filter draaien op de isa sever die dhcp pakketten doorlaat naar de isa server vanaf 213.211.152.1 en nog werkt het niet.....

Intrusion Detection staat idd aan, maar ik heb bij LAND het vinkje weggehaald.

hiermee zou dan spoofing niet meer moeten worden gezien....

Het probleem is dat ik de modem op Bridge mode moet zetten en daardoor ben ik rechtstreeks lid van het netwerk van de provider.

de dhcp server van de provider deelt dus ook mijn IP adres uit aan de server.

de isa server krijgt wel een IP adres maar kan het niet vernieuwen.
het verkrijgen loopt ook niet altijd even soepel.
dit alles gaat gepaard met een heleboel SPOOF meldingen in mijn log.

ik kan wanneer ik een IP adres heb wel de gateway van de provider pingen, maar dat is dan ook alles....

Kabouterplop01 schreef op 05 August 2003 @ 14:17:
Ok Igmar you make a point.
Maar ik heb volgens mij precies hetzelfde: cistron maxx met bridging modem.
Ik heb mijn ip adres gelijk vast gezet toen ik wist welke ik kreeg.

maar je moet je lease toch verlengen ? of kan dat ook anders ?

probleem is dat mijn isa server totaal niet wil werken ....
hoe krijg ik dit nu opgelost ?, welke instellingen zijn belangrijk om eerst eens naar te kijken?
ik weet verder niet veel van isa server.

ok dat zal ik proberen, subnet van de ISP is anders dus dat moet ook goed zijn.

waar moet ik op letten bij de packet filters? ik wil dus een dhcp adres kunnen krijgen op de externe interface.

zeker weten! !! heb echt alles gelezen en gedaan ... het wil niet helpen. spoof meldingen blijven komen, soms dan werkt het internet even na een herstart maar dan is het naa een uurtje of 2 weer helemaal over.

kan ik op mijn Small business server gewooon ISA server de-installeren zonder grote gevolgen ?, dan probeer ik het met RRAS en een hardware firewall.

log niet maar wel dit:


Windows 2000 IP Configuration


Host Name . . . . . . . . . . . . : ct01
Primary DNS Suffix . . . . . . . : CT.nl
Node Type . . . . . . . . . . . . : Hybrid

IP Routing Enabled. . . . . . . . : No

WINS Proxy Enabled. . . . . . . . : No

DNS Suffix Search List. . . . . . : CT.nl
adsl-bbned.telebyte.nl

Ethernet adapter WAN:


Connection-specific DNS Suffix . : adsl-bbned.telebyte.nl
Description . . . . . . . . . . . : Realtek RTL8139(A) PCI Fast Ethernet Adapter
Physical Address. . . . . . . . . : 00-xx-xx-41-8A-88

DHCP Enabled. . . . . . . . . . . : Yes

Autoconfiguration Enabled . . . . : No

IP Address. . . . . . . . . . . . : 213.211.151.xxx

Subnet Mask . . . . . . . . . . . : 255.255.254.0

Default Gateway . . . . . . . . . : 213.211.150.1

DHCP Server . . . . . . . . . . . : 213.211.152.1

DNS Servers . . . . . . . . . . . : 213.211.129.21
213.211.129.22
Lease Obtained. . . . . . . . . . : maandag 4 augustus 2003 15:46:44

Lease Expires . . . . . . . . . . : dinsdag 2 december 2003 14:46:44


Ethernet adapter CT LAN:


Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connection
Physical Address. . . . . . . . . : 00-07-E9-75-60-57

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 192.168.0.1

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 213.211.150.1

DNS Servers . . . . . . . . . . . : 192.168.0.1
213.211.151.21
Primary WINS Server . . . . . . . : 192.168.0.1

haal de default gateway van je interne nic eens weg. en gebruik alleen je interne dns en maak een forward naar de isp dns... (nog een reden om geen dhcp te willen van isp.)

dit bovenstaande heb ik gedaan, en het externe IP adres wat naar mijn server verwijst in mijn dns server verwijderd. zodat alleen 192.168.0.1 er nog in staat....

en het werkt nu !!! overal internet ook op de client.

tot nu toe nog geen SPOOF meldingen! dank jullie allemaal.

nu heb ik nog wel 1 probleem, wanneer ik de server reboot registreerd hij toch het verkregen IP adres van de externe interface bij de lokale DNS server.
terwijl ik 'register this interface by dns' heb uitstaan.

hoe krijg ik dit nog weg?

Kabouterplop01 schreef op 11 August 2003 @ 09:52:
Die entry staat waarschijnlijk als srv of a record in je DNS. Die moet je eruit slopen. Dan een ipconfig /flushdns en ipconfig /registerdns geven op AL je machines waarmee (intern) je zonefiles worden gerepliceerd. Het kan ook zijn dat die machine hard in de hostfile staat.. (gewoon weghalen) %systemroot%\winnt\system32\drivers\etc

done... maar blijft terugkomen

heb nu DDNS uitgezet.. dat helpt wel.. maar is niet de oplossing....

iemand iedeeen ?