Toon posts:

dns resolving met securenat via isa

Pagina: 1
Acties:

vrijdag 12 november 2004 10:58

Acties:
  • relaxteb
  • Registratie: April 2002
  • Laatst online: 16-02 20:12

relaxteb

Topicstarter
Hoi
Op dit moment zijn we in een migratie periode en vandaar het volgende probleem :

CLIENTS : Windows XP SP2 met alle service packs
DNS SERVER : Windows 2000
ISA Server : Windows 2003 + ISA Server 2000

We hebben een LAN met een default gateway naar het internet.
Als dns gebruiken we een windows 2000 server, die zelf zijn dns requests naar buiten forward.

Clients kunnen zelf hun hosts file aanpassen om zo een dns naam naar een nieuw ip adres te laten wijzen zodat overige internet gebruikers geen last daarvan ondervinden en naar het oude ip adres blijven gaan.

Nu hebben we een ISA server geïmplementeerd.
Deze is zo geconfigureerd dat we gebruik maken van SecureNAT.
Dit is tijdelijk, zodat clients nog steeds hun HOSTS file kunnen gebruiken.

Nu is het geval dat wanneer de ISA server als default gateway is opgegeven, het wel lijkt alsof de HOSTS file op de clients wordt overgeslagen.

Als je namelijk een wijziging maakt in de HOSTS file, wordt deze niet gebruikt.

Wijzigen wij echter de default gateway van de clients naar de oude device, dan werkt het wel weer.


Dit vind ik erg raar, in mijn begrip van dns wordt altijd eerst de HOSTS file geraadpleegd en daarna pas een DNS server.


Even voor de duidelijkheid :
We gebruiken GEEN proxy instelling in Internet Explorer.
We gebruiken GEEN firewall client.

Kent iemand dit verschijnsel ?

vrijdag 12 november 2004 11:18

Acties:

Verwijderd

ISA met Secure NAT gedraagt zich net zoals een normale transparante proxy, router of ander NAT-apparaat. Dat zou dus helemaal geen verschil moeten maken.

Heb je al eens geprobeerd DNS-chache op de clients te flushen?

vrijdag 12 november 2004 11:22

Acties:
  • relaxteb
  • Registratie: April 2002
  • Laatst online: 16-02 20:12

relaxteb

Topicstarter
Verwijderd schreef op 12 november 2004 @ 11:18:
ISA met Secure NAT gedraagt zich net zoals een normale transparante proxy, router of ander NAT-apparaat. Dat zou dus helemaal geen verschil moeten maken.

Heb je al eens geprobeerd DNS-chache op de clients te flushen?
Ja, dat dacht ik dus ook.
Ik heb dns geflushed, pc's gereboot.
Het gebeurd op meerdere pc's.

vrijdag 12 november 2004 13:21

Acties:
  • zomertje
  • Registratie: Januari 2000
  • Laatst online: 17-02 12:22

zomertje

Barisax knorretje

En er is zekerweten niks veranderd aan de dhcp? (of is het allemaal vast spul?)

het ultieme jaargetijde.... | #!/usr/bin/girl | Art prints and fun

vrijdag 12 november 2004 13:22

Acties:

Verwijderd

ISA is een proxy en de dnsrequest worden op een proxy afgehandeld wat betreft http/ftp verkeer. (vul maar eens geen dns server in op een client).

edit: als isa als proxy is ingevuld natuurlijk...

[ Voor 16% gewijzigd door Verwijderd op 12-11-2004 13:23 ]

vrijdag 12 november 2004 17:49

Acties:
  • kell.nl
  • Registratie: Januari 2002
  • Laatst online: 27-09-2023

kell.nl

Fizzgig's evil twin

Stiekem worden normale nat clients toch geproxied door ISA als je dat niet expliciet uitzet.
Zet bij de application filters de proxy filter uit, en het probleem zou zich niet meer moeten voordoen.
(De filter heet niet echt proxy filter, maar ik heb geen ISA hier, dus ik kan niet checken wat de daadwerkelijke naam is, maar het is duidelijk als je kijkt bij de application filters (als ik die goed herinner :P))

vrijdag 12 november 2004 18:26

Acties:

Verwijderd

Ik heb het hier even getest; als ik iets in m'n HOSTS-file zet wordt dat gewoon goed opgepakt terwijl SOCKS4 filter (die bedoel je neem ik aan?) gewoon enabled staat in ISA Server.

Het is inderdaad zo dat Secure NAT-clients gewoon door de proxy geleid worden (hence transparant proxy), maar voor HOSTS-files/DNS zou dat m.i. weinig moeten uitmaken.

vrijdag 12 november 2004 18:40

Acties:
  • Eldee
  • Registratie: Juni 2003
  • Laatst online: 26-01 09:38

Eldee

relaxteb schreef op vrijdag 12 november 2004 @ 10:58:
Nu hebben we een ISA server geïmplementeerd.
Deze is zo geconfigureerd dat we gebruik maken van SecureNAT.
Dit is tijdelijk, zodat clients nog steeds hun HOSTS file kunnen gebruiken.

Nu is het geval dat wanneer de ISA server als default gateway is opgegeven, het wel lijkt alsof de HOSTS file op de clients wordt overgeslagen.

Als je namelijk een wijziging maakt in de HOSTS file, wordt deze niet gebruikt.
Ik heb nog wel een paar vraagjes:
- Is er verschil in werking bij resolving van verschillende domeinnamen? met name intern vs extern?

- hoe constateer en/of test je het probleem? (er is nl verschil tussen de implementatie van bv ping en nslookup, daar heb ik ook al eens wat tijd door verloren)

- heb je misschien wat voorbeelden ter illustratie?

[ Voor 17% gewijzigd door Eldee op 12-11-2004 18:50 ]

zaterdag 13 november 2004 03:41

Acties:
  • kell.nl
  • Registratie: Januari 2002
  • Laatst online: 27-09-2023

kell.nl

Fizzgig's evil twin

Verwijderd schreef op vrijdag 12 november 2004 @ 18:26:
Ik heb het hier even getest; als ik iets in m'n HOSTS-file zet wordt dat gewoon goed opgepakt terwijl SOCKS4 filter (die bedoel je neem ik aan?) gewoon enabled staat in ISA Server.

Het is inderdaad zo dat Secure NAT-clients gewoon door de proxy geleid worden (hence transparant proxy), maar voor HOSTS-files/DNS zou dat m.i. weinig moeten uitmaken.
Ik bedoel niet de SOCKS4 filter, maar de HTTP redirection filter. Die staat ook standaard aan. (heb eff op i-net gezocht naar de benaming. Ik wist dat het niet SOCKS was)

maandag 15 november 2004 08:47

Acties:
  • relaxteb
  • Registratie: April 2002
  • Laatst online: 16-02 20:12

relaxteb

Topicstarter
Het is inderdaad zo dat de request gewoon door de proxy heen gaan.
Echter waar het om gaat is dus de name resolving.
Voorbeeld :

internet dns record www.test.nl wijst naar x.x.x.x
ik pas mijn HOSTS file aan en zet daar een entry neer y.y.y.y www.test.nl
Als ik een ander device als Default Gateway gebruik dan de ISA, dan wordt dus de HOSTS file entry gebruikt en wordt ik geleid naar y.y.y.y

Als ik als Default Gateway de ISA gebruikt, kom ik op x.x.x.x

Als je een proxy setting enable in Internet Explorer heb je inderdaad geen DNS instelling nodig voor je netwerk adapter.
Echter staat er dus geen enkele instelling in IE. En zou dus de DNS resolving door de client geïnitieerd moeten worden.

Het testen :
Met een HOSTS entry ingevuld en een ping naar www.test.nl krijg ik reply van y.y.y.y
Zonder HOSTS entry ingevuld en een ping naar www.test.nl krijg ik reply van x.x.x.x
Dus dat werkt

De dns namen bestaan niet op de interne DNS server.

[ Voor 16% gewijzigd door relaxteb op 15-11-2004 08:50 ]

maandag 15 november 2004 10:19

Acties:

Verwijderd

Voor name resolution pakt ook bij gebruik van SecureNAT de PC altijd eerst de lokale hostfile hoor, werk al jaren met ISA2000 en gebruik de hosts file frequent (bijv. voor testdoeleinden). Lijkt me meer een caching probleempje....

maandag 15 november 2004 15:19

Acties:
  • relaxteb
  • Registratie: April 2002
  • Laatst online: 16-02 20:12

relaxteb

Topicstarter
Verwijderd schreef op maandag 15 november 2004 @ 10:19:
Voor name resolution pakt ook bij gebruik van SecureNAT de PC altijd eerst de lokale hostfile hoor, werk al jaren met ISA2000 en gebruik de hosts file frequent (bijv. voor testdoeleinden). Lijkt me meer een caching probleempje....
Ik kreeg net via een ander kanaal deze info :
Het volgende gebeurt er:
- vanuit de client wordt een webrequest gedaan naar www.test.nl
- de URL wordt m.b.v. DNS of via de hostfile op de client opgelost
- vervolgens wordt via de gateway deze webrequest naar de ISA server gestuurd
- de ISA server staat standaard ingesteld dat alle webrequests die via SecureNAT of via de firewall client binnenkomen worden doorgestuurd naar zijn webproxy service
- de webproxy service gaat de URL opnieuw oplossen naar IP (hier gaat het dus fout)
- vervolgens wordt de webrequest (naar het opnieuw opgeloste IP adres) doorgestuurd naar de webserver

Het resultaat is dat je dus, onafhankelijk van je host file instellingen, bij de verkeerde website uitkomt.
Het lijkt dus of de hostfile genegeerd wordt, maar in feite lost de ISA server de URL opnieuw op en overruled daarmee het IP adres dat in de hostfile staat.

Om dit te voorkomen kan het volgende op de ISA server worden ingesteld:
- open de ISA Management console
- ga naar 'extensions' - 'Application Filters'
- selecteer de 'HTTP redirector Filter'
- ga naar het tabblad 'Options'
- wijzig 'response to HTTP requests' naar 'send to requested web server' (standaard staat deze op 'redirect to local web proxy service'

Ik heb dit nog niet kunnen testen maar zodat ik weet of het werkt komt het natuurlijk hier te staan :)

maandag 15 november 2004 15:24

Acties:

Verwijderd

Dat heb ik dus hier lokaal getest. Ik zit als SecureNAT client op een ISA 2000 Server die goed DNS kan resolven en gebruik op de client de ISA server tevens als DNS-server (forwarder). Als ik naar de site van bijvoorbeeld MSI ga krijg ik netjes een site in beeld en als ik dan die URL in m'n HOSTS-file opneem met een verwijzing naar een niet bestaand intern IP-adres krijg ik een timeout als ik dezelfde URL wil bezoeken.

En ik heb hem echt gewoon staan op 'Redirect to local web proxy service'.

Edit: maar test het gerust bij jou :)

[ Voor 6% gewijzigd door Verwijderd op 15-11-2004 15:26 ]

maandag 15 november 2004 16:25

Acties:
  • relaxteb
  • Registratie: April 2002
  • Laatst online: 16-02 20:12

relaxteb

Topicstarter
Verwijderd schreef op maandag 15 november 2004 @ 15:24:
Dat heb ik dus hier lokaal getest. Ik zit als SecureNAT client op een ISA 2000 Server die goed DNS kan resolven en gebruik op de client de ISA server tevens als DNS-server (forwarder). Als ik naar de site van bijvoorbeeld MSI ga krijg ik netjes een site in beeld en als ik dan die URL in m'n HOSTS-file opneem met een verwijzing naar een niet bestaand intern IP-adres krijg ik een timeout als ik dezelfde URL wil bezoeken.

En ik heb hem echt gewoon staan op 'Redirect to local web proxy service'.

Edit: maar test het gerust bij jou :)
Wazig hoor, hier nogmaals getest maar het werkt niet.
Ik gebruik een andere server als DNS server maar lijkt me sterk dat het daarmee te maken heeft :S

/edit
Ik heb op de ISA de dns instelling staan naar de w2k server, deze is weer allowed op dns requests naar het internet te versturen.
Misschien dat het uitmaakt(heb het nog niet getest) als je de dns instelling op de ISA direct naar buiten laat gaan ?
/edit

[ Voor 16% gewijzigd door relaxteb op 15-11-2004 16:58 ]

maandag 15 november 2004 17:22

Acties:

Verwijderd

relaxteb schreef op maandag 15 november 2004 @ 16:25:
/edit
Ik heb op de ISA de dns instelling staan naar de w2k server, deze is weer allowed op dns requests naar het internet te versturen.
Misschien dat het uitmaakt(heb het nog niet getest) als je de dns instelling op de ISA direct naar buiten laat gaan ?
/edit
Moet niet nodig zijn. Gewoon naar een interne DNS server laten verwijzen die op zijn beurt weer een forwarder heeft ingesteld naar bijv. die DNS van je ISP, dan moet het werken.

maandag 15 november 2004 17:55

Acties:

Verwijderd

Dat is het punt: het moet niets uitmaken. Maar je zou haast denken dat daar ergens toch je probleem zit.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq