Discussion:
Regel toevoegen in ISA 2000 / SBS 2003
(te oud om op te antwoorden)
Jetze Mellema
2004-11-17 16:10:12 UTC
Permalink
Ik zie door de bomen het bos niet meer. Ik heb een SBS2003 server ingericht,
ging prima. Het externe IP-adres is 10.20.1.253 en het internetverkeer gaat
naar buiten via de firewall op 10.20.1.254. So far so good, maar nu zitten
in dat segment ook nog 2 genetwerkte printers, de 10.20.1.51 en 52.

Nu kunnen server en clients niet printen naar de printers die dus in het
segment aan de externe netwerkinterface staan. Het werkt wel als ik het
10.20-segment aan de LAT toevoeg maar dat wil ik natuurlijk niet.

Ik heb een destinationset gemaakt van het stukje 10.20.1.50-60 maar welke
regel moet ik nu maken om alle verkeer van het interne netwerk toe te staan
naar die destinationset?

Verdere info, het interne netwerk is het 192.168.1.x segment. De workaround
door 10.20.x.x aan de LAT toe te voegen is om andere redenen niet mogelijk.
Ook kan ik de IP-adressen van deze printers niet aanpassen.

Bedankt voor het meedenken!

Jetze Mellema
Marina Roos [SBS-MVP]
2004-11-17 19:49:05 UTC
Permalink
Halloo Jetze,

Waarom hangen die printers in het externe segment in plaats van het internet
segment?
--
Regards,

Marina
Microsoft SBS-MVP
Post by Jetze Mellema
Ik zie door de bomen het bos niet meer. Ik heb een SBS2003 server ingericht,
ging prima. Het externe IP-adres is 10.20.1.253 en het internetverkeer gaat
naar buiten via de firewall op 10.20.1.254. So far so good, maar nu zitten
in dat segment ook nog 2 genetwerkte printers, de 10.20.1.51 en 52.
Nu kunnen server en clients niet printen naar de printers die dus in het
segment aan de externe netwerkinterface staan. Het werkt wel als ik het
10.20-segment aan de LAT toevoeg maar dat wil ik natuurlijk niet.
Ik heb een destinationset gemaakt van het stukje 10.20.1.50-60 maar welke
regel moet ik nu maken om alle verkeer van het interne netwerk toe te staan
naar die destinationset?
Verdere info, het interne netwerk is het 192.168.1.x segment. De workaround
door 10.20.x.x aan de LAT toe te voegen is om andere redenen niet mogelijk.
Ook kan ik de IP-adressen van deze printers niet aanpassen.
Bedankt voor het meedenken!
Jetze Mellema
Jetze Mellema
2004-11-18 08:17:24 UTC
Permalink
Post by Marina Roos [SBS-MVP]
Waarom hangen die printers in het externe segment in plaats van het internet
segment?
Wat is het verschil tussen het externe en het internetsegment? Ze hangen aan
het segment waar de externe adapter in zit, via de default gateway gaan ze
ook het internet op.

Maar laat ik het anders zeggen, hoe kan ik mijn clients volledige toegang
verschaffen tot 2 IP adressen op het internet?

Vriendelijke groet,

Jetze Mellema
Marina Roos [SBS-MVP]
2004-11-18 10:12:00 UTC
Permalink
Hallo Jetze,

Ik begrijp er helemaal niets van. Je printers horen in het interne netwerk
te zitten. Je gebruikers moeten toch van die printer gebruik kunnen maken?
Waarom moet een printer het internet op kunnen???
Internet segment was een type fout, had interne segment moeten zijn.
--
Regards,

Marina
Microsoft SBS-MVP
Post by Jetze Mellema
Post by Marina Roos [SBS-MVP]
Waarom hangen die printers in het externe segment in plaats van het
internet
Post by Marina Roos [SBS-MVP]
segment?
Wat is het verschil tussen het externe en het internetsegment? Ze hangen aan
het segment waar de externe adapter in zit, via de default gateway gaan ze
ook het internet op.
Maar laat ik het anders zeggen, hoe kan ik mijn clients volledige toegang
verschaffen tot 2 IP adressen op het internet?
Vriendelijke groet,
Jetze Mellema
Jetze Mellema
2004-11-23 14:59:06 UTC
Permalink
Dag Marina,
Post by Marina Roos [SBS-MVP]
Ik begrijp er helemaal niets van. Je printers horen in het interne
netwerk te zitten. Je gebruikers moeten toch van die printer gebruik
kunnen maken? Waarom moet een printer het internet op kunnen???
Internet segment was een type fout, had interne segment moeten zijn.
Ik weet waar de printers *horen* te staan. ;-)

Ze staan nu als het ware in de DMZ, omdat ze ook vanaf een andere plek nog
bereikbaar moeten zijn onder het huidige IP-adres. Op termijn wordt dit
opgelost maar voorlopig moeten mijn SBS clients kunnen printen naar printers
in de DMZ, oftwel het internetsegment.

Nu weet ik dat ze dan via TCP 9100 naar buiten moeten kunnen maar ik kan
niet ontdekken waarom dat nu niet kan. Ik kan de printers namelijk wel
pingen. Als ik deruls ga bekijken in de ISA volgorde dan zie ik het
volgende:
- Er is geen protocol rule die het verzoek weigert (er staat een allow rule
voor alle verkeer, altijd voor SBS Internet Users)
- Er is een protocol rule die het toestaat (zie de allow rule)
- Er is geen site and content rule die het blokkeert (er staan 3 allow rules
inclusief eentje voor alles, altijd en overal heen)
- Er is een site and content rule die het toestaat (zie bovenstaande regel)
- Er is geen IP Packet filter die het blokkeert (24 packet filters, allemaal
allow)
- Er is geen routing rule behalve de standaard rule

Volgens de ISA regels zou mijn verzoek dus gewoon naar buiten mogen.
Overigens gebruik ik geen firewall client maar zijn de clients secure nat
client, maw. de ISA/SBS-server is default gateway. Kan het zijn dat de
ISA-server daardoor niet weet dat ik in de groep DOMEIN\SBS Internet Users
zit?
--
Met vriendelijke groet,

Jetze Mellema
http://www.mellema.net/homecomputers 'Heel erg vet spul!'
http://www.mellema.net/tekoop IBM Pentium IV systeem, Tulip Pentium III
systeem
Marina Roos [SBS-MVP]
2004-11-23 15:04:48 UTC
Permalink
Hallo Jetze,

Sorry, geen idee.
--
Regards,

Marina
Microsoft SBS-MVP
Post by Jetze Mellema
Dag Marina,
Post by Marina Roos [SBS-MVP]
Ik begrijp er helemaal niets van. Je printers horen in het interne
netwerk te zitten. Je gebruikers moeten toch van die printer gebruik
kunnen maken? Waarom moet een printer het internet op kunnen???
Internet segment was een type fout, had interne segment moeten zijn.
Ik weet waar de printers *horen* te staan. ;-)
Ze staan nu als het ware in de DMZ, omdat ze ook vanaf een andere plek nog
bereikbaar moeten zijn onder het huidige IP-adres. Op termijn wordt dit
opgelost maar voorlopig moeten mijn SBS clients kunnen printen naar printers
in de DMZ, oftwel het internetsegment.
Nu weet ik dat ze dan via TCP 9100 naar buiten moeten kunnen maar ik kan
niet ontdekken waarom dat nu niet kan. Ik kan de printers namelijk wel
pingen. Als ik deruls ga bekijken in de ISA volgorde dan zie ik het
- Er is geen protocol rule die het verzoek weigert (er staat een allow rule
voor alle verkeer, altijd voor SBS Internet Users)
- Er is een protocol rule die het toestaat (zie de allow rule)
- Er is geen site and content rule die het blokkeert (er staan 3 allow rules
inclusief eentje voor alles, altijd en overal heen)
- Er is een site and content rule die het toestaat (zie bovenstaande regel)
- Er is geen IP Packet filter die het blokkeert (24 packet filters, allemaal
allow)
- Er is geen routing rule behalve de standaard rule
Volgens de ISA regels zou mijn verzoek dus gewoon naar buiten mogen.
Overigens gebruik ik geen firewall client maar zijn de clients secure nat
client, maw. de ISA/SBS-server is default gateway. Kan het zijn dat de
ISA-server daardoor niet weet dat ik in de groep DOMEIN\SBS Internet Users
zit?
--
Met vriendelijke groet,
Jetze Mellema
http://www.mellema.net/homecomputers 'Heel erg vet spul!'
http://www.mellema.net/tekoop IBM Pentium IV systeem, Tulip Pentium III
systeem
Arie de Haan
2004-11-23 16:56:16 UTC
Permalink
Post by Jetze Mellema
Volgens de ISA regels zou mijn verzoek dus gewoon naar buiten mogen.
Overigens gebruik ik geen firewall client maar zijn de clients secure nat
client, maw. de ISA/SBS-server is default gateway. Kan het zijn dat de
ISA-server daardoor niet weet dat ik in de groep DOMEIN\SBS Internet Users
zit?
Spijker op de kop. Je hebt de firewall client nodig voor
'geauthenticeerd' verkeer anders dan http via IE. Dus ....
Of een rule aanmaken die alle requests doorlaat (op poort 9100 toch?).
Tevens zou ik een destination set voor deze printers aaanmaken, en daar
alleen op 'allowen'.



succes
--
Greetz,

Arie
This posting is provide "AS IS" with no guarantees, warranties, rigths
etc.
Peter
2004-11-25 21:28:34 UTC
Permalink
Post by Jetze Mellema
Volgens de ISA regels zou mijn verzoek dus gewoon naar buiten mogen.
Overigens gebruik ik geen firewall client maar zijn de clients secure nat
client, maw. de ISA/SBS-server is default gateway. Kan het zijn dat de
ISA-server daardoor niet weet dat ik in de groep DOMEIN\SBS Internet Users
zit?
Authenticatie met ISA is een lastig verhaal om het goed te krijgen moet
je veel geluk hebben, mijn ervaring is dat het meestel niet werkt en
zonder autenticatie gaat het vaak een stuk beter.
ISA 2004 kan beter met authenticatie overweg maar ook daar houd het niet
over.
Als je secuere nat gebruikt dan kan je geen authenticatie gebruiken.
Loading...