|
| ISA smider forbindelsen... Fra : guess@ofir.dk |
Dato : 28-11-01 17:57 |
|
Hej!
Jeg har et problem med min ISA Server som er forbundet på WAN-interfacet med
en SpeedStream 5781. Routeren er konfigureret med åben konfiguration, alt
NAT til 192.168.1.2 (ISA's WAN-interface), DHCP disablet og diverse filtre
fjernet.
På LAN'et er der en FTP-server, en web-server og en mail-server, samt nogle
klienter.
Når problemet opstår, kan det løses ved at disable ISA'ens LAN-interface og
derefter enable det igen. Tilsyneladende sker det hver gang i forbindelse
med en række warnings omhandlende spoof-attacks efterfulgt af en error 14120
(cannot create packet filter...). Jeg har søgt på TechNet og alverdens andre
steder, men ingen af de løsninger, der foreslås ser ud til at virke. Desuden
skriver MS at man sagtens kan ignorere fejlen - det er bare ikke så let når
det lægger forbindelsen ned
Håber, der er nogen, der kan hjælpe!
På forhånd tak!
Grønbech
| |
Christian E. Lysel (28-11-2001)
| Kommentar Fra : Christian E. Lysel |
Dato : 28-11-01 19:38 |
|
> Når problemet opstår, kan det løses ved at disable ISA'ens LAN-interface og
> derefter enable det igen. Tilsyneladende sker det hver gang i forbindelse
> med en række warnings omhandlende spoof-attacks efterfulgt af en error 14120
> (cannot create packet filter...). Jeg har søgt på TechNet og alverdens andre
Kan du ikke inkludere flere fejlmeddelser?
> steder, men ingen af de løsninger, der foreslås ser ud til at virke. Desuden
> skriver MS at man sagtens kan ignorere fejlen - det er bare ikke så let når
> det lægger forbindelsen ned
Hvad går fejlen ud på?
Hvad virker og hvad virker ikke?
> Håber, der er nogen, der kan hjælpe!
>
> På forhånd tak!
>
> Grønbech
>
>
>
| |
Michael Grønbech Lar~ (28-11-2001)
| Kommentar Fra : Michael Grønbech Lar~ |
Dato : 28-11-01 20:25 |
|
> Kan du ikke inkludere flere fejlmeddelser?
Der er umiddelbart ikke andre...
> Hvad går fejlen ud på?
>
> Hvad virker og hvad virker ikke?
Fejlen går ud på at forbindelsen til Internettet ryger. Jeg kan godt pinge
LAN-adressen på routeren, men ikke nogen adresser på ydersiden. Hvis jeg så
disabler LAN-interfacet på ISA Serveren og enabler det igen, kører det
videre indtil næste gang problemet opstår osv.
| |
Christian E. Lysel (28-11-2001)
| Kommentar Fra : Christian E. Lysel |
Dato : 28-11-01 23:54 |
|
Michael Grønbech Larsen wrote:
>>Kan du ikke inkludere flere fejlmeddelser?
> Der er umiddelbart ikke andre...
Du skrev da:
....derefter enable det igen. Tilsyneladende sker det hver gang i
forbindelse med en række warnings omhandlende spoof-attacks efterfulgt
af en error 14120 (cannot create packet filter...). Jeg har søgt på
TechNet og alverdens andre steder, men ingen af de løsninger, der
foreslås ser ud til at virke. Desuden skriver MS at man sagtens kan
ignorere fejlen - det er bare ikke så let når...
Article ID: Q288396, siger noget andet, kan du ikke tage og læse den
igennem. Dette er en fejl der ikke kan ignoreres. Eller har du fundet en
anden artikel?
Hvilke warnings er det præsist du får?
Så vidt jeg har forstået, bygger ISA'en sine pakkefiltre løbende som der
er brug for dem.
Har du slået logning til på pakkefilterne?
>>Hvad går fejlen ud på?
>>Hvad virker og hvad virker ikke?
> Fejlen går ud på at forbindelsen til Internettet ryger. Jeg kan godt pinge
Kan du fra ISA'en tilgå internettet, dvs. "ping 193.88.44.22", "tracert
193.88.44.22", "nslookup dk. 193.88.44.22", "telnet 193.88.44.22 25"?
> LAN-adressen på routeren, men ikke nogen adresser på ydersiden. Hvis jeg så
ISP (WAN) siden kører du med 192.168.1/24, er ISA'ens antispoofing ikke
hardcode'et ind i softwaren? Det kan evt. også være dette der er galt.
> disabler LAN-interfacet på ISA Serveren og enabler det igen, kører det
> videre indtil næste gang problemet opstår osv.
Prøv at slå noget mere logning til.
De gange jeg har set en ISA, har de opført sig meget ustabilt (blå
skærm, maskine fryser, osv.) Hvad med at bruge en anden firewall?
| |
Michael Grønbech Lar~ (29-11-2001)
| Kommentar Fra : Michael Grønbech Lar~ |
Dato : 29-11-01 09:42 |
|
> Du skrev da:
>
> ...derefter enable det igen. Tilsyneladende sker det hver gang i
> forbindelse med en række warnings omhandlende spoof-attacks efterfulgt
> af en error 14120 (cannot create packet filter...). Jeg har søgt på
> TechNet og alverdens andre steder, men ingen af de løsninger, der
> foreslås ser ud til at virke. Desuden skriver MS at man sagtens kan
> ignorere fejlen - det er bare ikke så let når...
Spoof-attack warning event id 15108:
ISA Server detected a spoof attack from Internet Protocol (IP) address
131.165.204.237. A spoof attack occurs when an IP address that is not
reachable via the interface on which the packet was received. If logging for
dropped packets is set, you can view details in the packet filter log.
Men de kommer også uden at forbindelsen ryger, hvorfor jeg går ud fra at det
er 14120'eren, der giver problemet.
> Article ID: Q288396, siger noget andet, kan du ikke tage og læse den
> igennem. Dette er en fejl der ikke kan ignoreres. Eller har du fundet en
> anden artikel?
Det er den, jeg har læst... Under RESOLUTION, står som det aller første:
"Although you can ignore this event..."
> Så vidt jeg har forstået, bygger ISA'en sine pakkefiltre løbende som der
> er brug for dem.
>
> Har du slået logning til på pakkefilterne?
Ja
> Kan du fra ISA'en tilgå internettet, dvs. "ping 193.88.44.22", "tracert
> 193.88.44.22", "nslookup dk. 193.88.44.22", "telnet 193.88.44.22 25"?
Nej - ikke før LAN'et har været disabled og enbled.
> ISP (WAN) siden kører du med 192.168.1/24, er ISA'ens antispoofing ikke
> hardcode'et ind i softwaren? Det kan evt. også være dette der er galt.
???
> De gange jeg har set en ISA, har de opført sig meget ustabilt (blå
> skærm, maskine fryser, osv.) Hvad med at bruge en anden firewall?
Det kunne også være en løsning, men nu er det ISA, jeg gerne vil lære at
bruge og det burde vel også kunne lade sig gøre...
| |
Michael Grønbech Lar~ (29-11-2001)
| Kommentar Fra : Michael Grønbech Lar~ |
Dato : 29-11-01 21:39 |
|
> Spoof-attack warning event id 15108:
> ISA Server detected a spoof attack from Internet Protocol (IP) address
> 131.165.204.237. A spoof attack occurs when an IP address that is not
> reachable via the interface on which the packet was received. If logging
for
> dropped packets is set, you can view details in the packet filter log.
>
> Men de kommer også uden at forbindelsen ryger, hvorfor jeg går ud fra at
det
> er 14120'eren, der giver problemet.
Det er IKKE 14120'eren, der foreager 'nedbrudet'. De fremkommer, hvis en
klient forsøger at kommet på Internettet efter at nedbruddet er sket!
Hva' fa'en kan det være, der gør det? Jeg har fået skiftet routeren, skiftet
samtlige kabler og skiftet netkortene i ISA-serveren - alt sammen uden held!
| |
|
|