Vraag & Antwoord

Servers

ISA server

Anoniem
H.Vogel
17 antwoorden
  • Ik wil mijn netwerk via een ISA server met internet verbinden. Deze server heeft twee netwerkkaarten, de interne kant heeft IP 192.168.1.21 de externe is even de vraag. Het bestaande netwerk zit via een switch op een router en daar hangt het modem weer aan. Werk perfect zo. Mijn DC geeft IP adressen uit aan de client pc's en krijgen als GW nu 192.168.1.25 en is het IP adres van de router (DHCP uitgeschakeld). In de nieuwe situatie zou de GW dus 192.168.1.21 moeten zijn, maar hoe gaat het dan ISA naar router? Moet DHCP op de router aan? Of moet de tweede netwerkkaart ook een vast IP adres krijgen?

    Kenners graag uw hulp.
  • DC?
    GW?
    2e kaart op server sowieso fixed IP.
  • DC=domain controller
    GW=gateway

    DHCP maakt het leven wel eenvoudiger ja, maar echt noodzakelijk is het niet. Op de ISA server stel je als gateway het IP van de router in. Z'n eigen IP moet in de range liggen die je op de router hebt ingesteld, maar is verder vrije keuze. Tip: neem een duidelijk afwijkend nummer tov gewone cliënten. Voorbeeld: range 192.168.1.1 tot 192.168.1.255, waarbij de cliënts in de .10 - .100 range en de server op 192.168.1.200 te vinden is. Wel ff de router vertellen dattie moet gaan NAT-ten naar de server op 192.168.1.200 :)

    Groet, M.V. Wesstein
  • De DC en Exchange server hebben elk een vast IP adres 192.168.1.20 en 192.168.1.22. De DC geeftaan clients 192.168.1.50 t/m 100. Dus DHCP op de router zou dan b.v. 192.168.1.150 t/m 160 kunnen zijn. Maar dan hebben de twee netwerkkaarten in de ISA server aan de LAN kant 192.168.1.21 en aan de WAN kant 192.168.1.15x. Beide kaarten zitten dan in de zelfde range en dat geeft bij mijn weten routerings problemen.
    Of zit ik er nu helemaal naast?
  • Normaal gesproken zet je de boel als volgt op:
    extern netwerk(bijvoorbeeld je adsl-modem etc)
    |
    ISA externe kaart
    ISA interne kaart
    |
    intern netwerk

    Op je Intern netwerk plaats je dan een DC welke zorgt voor DHCP, DNS etc.
    Op deze wijze heeft ISA jaren bij mij gedraaid. Nu zit daar een IP-cop firewall. Deze vindt ik toch weer net even simpeler dan ISA (alhoewel ik m'n ISA-certificaat heb :oops: )
  • Ja dat klopt, de reden van de router is om een pc buiten het netwerk om op internet te krijgen. DHCP van de router zou dan aan moeten staan.
  • Stel DHCP van de router staat aan, range 172.16.0.10 t/m 13 (vier poorten) IP van de router 172.16.0.5 ISA extern krijgt ip uit de range. ISA intern heeft vast IP 192.168.1.21 en zit in de range van het netwerk. De router is van het netwerk uit niet te benaderen, wel vanuit ISA.
    Op de drie vrije poorten van de router kan een pc wordern geprikt buiten het netwerk om. De verbinding tussen ISA intern en extern wordt bij de installatie van ISA ingesteld. O ja op ISA intern GW 172.16.0.5 (router)
    Gaat dit werken??
    Ik heb het nog niet geprobeerd, ben een beetje voorzichtig met het slopen van een goed werkend systeem. Graag uw advies.
  • Zo, weer terug van vakantie…

    Mijn situatie thuis is als volgt:
    Ik heb mijn SpeedTouch 510 modem ingesteld met DHCP-spoofing. Hierachter draait een ISA-server 2004. Door de DHCP-spoofing krijgt mijn ISA-server mijn publieke internet-IP rechtstreeks van mijn provider, terwijl mijn modem nog steeds de verbinding opzet. Deze is nu dus volledig transparant, zonder firewall en enige vorm van address translation. De externe interface van mijn ISA-server staat hiervoor ingesteld als DHCP-client, hij moet immers automatisch een IP-adres verkrijgen. Achter mijn ISA-server draait dan weer mijn eigen netwerk met een DC die middels DHCP adressen uitdeelt op mijn netwerk. Voordeel van deze configuratie (voor mij) is de mogelijkheid tot het bouwen van IPsec VPN-tunnels met ISA-server. Dit kan namelijk niet als er ergens een schakel tussen zit die aan NAT doet, zoals een SpeedTouch modem vaak wordt ingesteld. Je moet echter wel iets handmatig in de config van je modem aanpassen, anders ben je iedere 30 seconden je verbinding kwijt.

    Een andere methode is inderdaad zoals hierboven is beschreven, een apart netwerkje maken tussen je ISA-server en je modem (die je als router ingesteld hebt). Op dit netwerkje gebruik je een IP-reeks apart van je eigen netwerkje met vaste IP-adressen voor de externe kant van je ISA-server en je modem. DHCP is dus niet nodig op dit netwerkje. Je stelt je modem in als GW op de externe kant van je ISA-server en aan de interne kant stel je geen GW in. Om ervoor te zorgen dat je niet op twee plekken poorten open hoeft te zetten, kun je in je modem een default server instellen. Hierdoor zet je alle poorten open naar een bepaald IP-adres. Let op: er wordt nog steeds aan NAT gedaan, waardoor je modem nog steeds niet volledig transparant is, zoals in mijn thuissituatie. IPsec verkeer is dus niet mogelijk in deze configuratie.
  • Ik denk dat de uitleg van [b:a380818e67]Leo S[/b:a380818e67] duidelijk is.
    [b:a380818e67]H.Vogel[/b:a380818e67], jouw idee is ongeveer de 2e situatie die [b:a380818e67]Leo S[/b:a380818e67] uitlegde.

    Maar misschien een domme reactie, waarom zou je een goed werkende installatie afbreken?
    Ik ken de huidige situatie wel niet, maar je moet toch wel een goede reden hebben om hem af te breken.
  • [quote:0144df7ae9="sjouken"]Maar misschien een domme reactie, waarom zou je een goed werkende installatie afbreken?
    Ik ken de huidige situatie wel niet, maar je moet toch wel een goede reden hebben om hem af te breken.[/quote:0144df7ae9]

    ISA server is een goede reden. Naar mijn bescheiden mening is het de beste firewall die er is…
  • Eerst maar even de situatie zoals die nu is:
    ADSL modem (syxel zonder router IP 192.168.1.1) > US Robotics router 4 port (IP 192.168.1.25) DHCP ingeschakeld, range 192.168.1.150 t/m 160 > 16 port switch > DC Ip 192.168.1.20 DHCP range 192.168.1.50 t/m 100, Exchange server IP 192.168.1.22, US Robotics multi function access point IP 192.168.1.15, een aantal client pc''s met IP adressen uit de boven genoemde reeks van de DC. De drie vrije poorten van de router geven de mogelijkheid om een pc buiten het netwerk om te testen met een internet verbinding. De reden om er een ISA server tussen te zetten is om bepaalde verbindingen te (kunnen) blokkeren. En de reden die Leo aangeeft natuurlijk.

    Wat mij nog niet duidelijk is, zijn de IP adressen van de twee NIC's in de server. Moeten die juist wel of juist niet in de zelfde range zitten?
    Het IP adres aan de interne kant staat vast 192.168.1.21.
  • Wat heeft een firewall voor nut als beide interfaces een IP-adres hebben in hetzlefde subnet?

    Technisch is het wel mogelijk om ISA-server niet als firewall te gebruiken, maar dan heb je ook geen twee interfaces nodig. Je gebruikt ISA-server dan alleen als proxy.

    Het is jammer dat je een Zyxel-modem hebt. Waarschijnlijk zit je dan ook niet bij een KPN-provider. Dat is jammer, want nu kun je de eerste situatie zoals ik beschreef niet toepassen. Je zal dus je router en modem zo moeten laten als het nu is, met dat verschil dat je het IP-adres van je router wijzigt in bijvoorbeeld 10.0.0.1. Je sluit nu alleen je ISA-server op je router aan en geeft deze netwerkinterface een vast IP-adres, bijvoorbeeld 10.0.0.2 met als default gateway 10.0.0.1. De interne kant van je ISA-server geef je een vast IP-adres, bijvoorbeeld 192.168.1.1, zonder default gateway en je stelt je DHCP-server op je DC zodanig in dat de PC's dit IP-adres krijgen als default gateway. Je kan nu eventueel ervoor zorgen dat alle poorten op je router worden doorgestuurd naar je ISA-server. Door middel van je firewall policy op je ISA-server kun je nu bepaalde protocollen wel of niet toestaan. Je krijgt nog meer controle over toegang tot Internet als je op je PC's de firewall client installeert.
  • Goed, ik ga het IP adres van de router aanpassen in 10.0.0.1 DHCP blijft om de genoemde reden aan met een range 10.0.0.10 t/m 13. (Een rechtsstreeks aangesloten pc krijgt hier zijn ip van.)
    ISA extern wordt 10.0.0.2 en intern blijft zoals hij nu is 192.168.1.21 geen GW. Op de DC DHCP instelling voor GW aanpassen in 10.0.0.1

    Dan nu ISA zelf. Ik heb gelezen dat een ISA server geen lid hoeft te zijn van het domein, maar kan wel. Mijn Exchange server is wel lid van het domein en ziet ook alle gebruikers van het domein. Gaat dit bij ISA ook zo? en moet hij dan wel lid zijn van het domein? (ik heb 2004 Ent + Strd)

    Er is op dit moment nog geen ISA server geinstalleerd, en op de router wordt port 25 doorgestuurd naar het IP adres van de Exchange server. Als de ISA server er wel tussen zit moet er iets worden aangepast neem ik aan, maar wat en hoe ?

    O ja, ik zit (nog) bij Demon.
  • Om te beginnen moeten je PC's het IP-adres van je ISA-server als gateway krijgen. Dat is immers de default gateway op dat netwerk. die 10.0.0.1 is de default gateway op het netwerkje tussen ISA-server en router.

    Verder is het verstandig om ISA-server lid te maken van het domein. Doe dit dan wel voordat je ISA-server installeert, anders krijg je daar weer problemen mee en moet je de system policy van je ISA-server weer aanpassen. Als je ISA-server lid is van het domein, kun je per gebruiker(groep) binnen Active Directory de toegang tot Internet gaan regelen. Je moet als je gebruik wil maken van controle op gebruikersnivo wel de firewall client installeren op de PC's.

    Verder zet je nu op je router de nodige poorten open naar de externe interface van je ISA-server. Hier kun je door middel van web publishing rules of server publishing rules de benodigde servers op jouw netwerk publiceren op Internet, zeg maar poorten open zetten, alleen is het iets complexer dan alleen het openzetten van een poortje…
  • Soms zit het mee, maar nu even niet! Heb ik de pc waar ISA op moet in het netwerk gezet en de nodige IP adressen aangepast. Maar mooi geen internet met die pc (nog zonder ISA). :-? Netwerkkaartje stuk, heb ik dat! Alles weer in oude staat teruggezet.
    Moet dus eerst even achter een nieuwe aan. :wink:
  • Ik ben bezig ISA 2004 Ent: te installeren, en verwacht iets te zien over domprep en forprep net als bij de installatie van exchange. Nee dus. De gebruikers die op de DC staan zie ik ook niet. Ik zie wel de naam van de pc waar ISA op draait. En wat ik ook zie is dat standaard niets mag / kan. Hoe krijg ik de domein gebruikers en / of groepen in ISA? Op de gebruikte pc draait Win 2003 Ent: Er is geen enkelle server role toegevoegd. Ik neem aan dat dit ook niet hoeft.
  • Is de ISA-server lid van het domein? Je moet de ISA-server lid maken van het domein voordat je ISA zelf gaat installeren.

    Verder is forestprep en domeinprep niet nodig voor ISA-server. Met forestprep en domeinprep maak je namelijk wijzigingen in je Active Directory schema. Voor Exchange is dit nodig om bijvoorbeeld alle Exchange-attributen aan de gebruikers toe te voegen. ISA-server maakt geen wijzigingen in je Active Directory schema.

    Standaard staat inderdaad alles dicht. als je wil dat gebruikers kunnen internetten zul je een access rule aan moeten maken waarbij je je netwerkgebruikers toegang geeft tot het Internet. Ik zou zeggen, speel er eens wat mee. Het meeste spreekt voor zich.

    Om gebruikers uit je Active Directory te halen moet de ISA-server om te beginnen lid zijn van het domein. Als ie dat is en het lukt nog steeds niet, kun je even de system policy nakijken. Dit doe je door met rechts te klikken op "firewall policy" en te kiezen voor "edit system policy". Onder het kopje "Authentication Services" moet uiteraard Active Directory enabled zijn met op het tabblad "to" je interne netwerk.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.

Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord