Discussion:
Netwerkprobleem
(te oud om op te antwoorden)
Paul van der Vlis
2009-09-07 14:27:18 UTC
Permalink
Hallo,

Ik heb een jaar geleden een mailserver ingericht bij een bedrijf, ik
beheer daar niet het netwerk. De mailserver heeft een eigen extern IP.
Er is daar verder een lokaal windows netwerk.

Nu was het vandaag al voor de derde keer zo dat mensen uit het lokale
netwerk de mailserver niet kunnen bereiken. Ik kan de mailserver vanaf
extern dan echter wel prima bereiken. Een reboot verhelpt het probleem.

Wat zou hier aan de hand kunnen zijn?

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Aart Koelewijn
2009-09-07 14:53:05 UTC
Permalink
Post by Paul van der Vlis
Hallo,
Ik heb een jaar geleden een mailserver ingericht bij een bedrijf, ik
beheer daar niet het netwerk. De mailserver heeft een eigen extern IP.
Er is daar verder een lokaal windows netwerk.
Nu was het vandaag al voor de derde keer zo dat mensen uit het lokale
netwerk de mailserver niet kunnen bereiken. Ik kan de mailserver vanaf
extern dan echter wel prima bereiken. Een reboot verhelpt het probleem.
Wat zou hier aan de hand kunnen zijn?
Met vriendelijke groet,
Paul van der Vlis.
Zonder verdere informatie over de opbouw van het netwerk blijft het een
gok. Maar behoud de server wel zijn route naar het interne netwerk?
--
Aart
Paul van der Vlis
2009-09-07 15:23:41 UTC
Permalink
Post by Aart Koelewijn
Post by Paul van der Vlis
Hallo,
Ik heb een jaar geleden een mailserver ingericht bij een bedrijf, ik
beheer daar niet het netwerk. De mailserver heeft een eigen extern IP.
Er is daar verder een lokaal windows netwerk.
Nu was het vandaag al voor de derde keer zo dat mensen uit het lokale
netwerk de mailserver niet kunnen bereiken. Ik kan de mailserver vanaf
extern dan echter wel prima bereiken. Een reboot verhelpt het probleem.
Wat zou hier aan de hand kunnen zijn?
Met vriendelijke groet,
Paul van der Vlis.
Zonder verdere informatie over de opbouw van het netwerk blijft het een
gok. Maar behoud de server wel zijn route naar het interne netwerk?
De kernel heeft geen speciale route naar het interne netwerk.
De connectie verloopt via de default gateway (= de router)
En die blijft werken, anders kon ik er via internet ook niet meer in.

Daarom denk ik dat er iets mis is met de router.

Maar waarom helpt dan een reboot van 'mijn' server om het probleem op te
lossen?

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Huub Reuver
2009-09-07 17:10:12 UTC
Permalink
Post by Paul van der Vlis
Post by Aart Koelewijn
Post by Paul van der Vlis
Hallo,
Ik heb een jaar geleden een mailserver ingericht bij een bedrijf, ik
beheer daar niet het netwerk. De mailserver heeft een eigen extern IP.
Er is daar verder een lokaal windows netwerk.
Nu was het vandaag al voor de derde keer zo dat mensen uit het lokale
netwerk de mailserver niet kunnen bereiken. Ik kan de mailserver vanaf
extern dan echter wel prima bereiken. Een reboot verhelpt het probleem.
Wat zou hier aan de hand kunnen zijn?
Met vriendelijke groet,
Paul van der Vlis.
Zonder verdere informatie over de opbouw van het netwerk blijft het een
gok. Maar behoud de server wel zijn route naar het interne netwerk?
De kernel heeft geen speciale route naar het interne netwerk.
De connectie verloopt via de default gateway (= de router)
En die blijft werken, anders kon ik er via internet ook niet meer in.
Daarom denk ik dat er iets mis is met de router.
Maar waarom helpt dan een reboot van 'mijn' server om het probleem op te
lossen?
Als je een goede infrastructuur hebt staat de mailserver waarschijnlijk
in een (fysieke) DMZ. Dan gaat alle verkeer over 1 of 2 routers (intern/
extern)

Kan op een of andere manier de (interne) router de route-informatie
kwijtraken? Het is in dat geval logisch dat na een herstart die info
hersteld wordt, alleen al vanwege de hostnamelookups en arp-requests.
Misschien zelfs DHCP-refresh...

Ik zou ook even kijken naar actieve verbindingen. Bij een herstart
worden alle actieve verbindingen uit de routercache geflusht.

Normaal zou ik zeggen van "ping eens naar het interne netwerk", maar
dat kan niet vanaf de servers die ik beheer. Wel kun je altijd de uitvoer
van "/bin/ip route ls", "/sbin/ifconfig", "/usr/sbin/arp -a" en
"/bin/netstat" controleren.

In plaats van meer geavanceerde tools zou ik in dat geval eens gaan praten
met de beheerder van de router. Het lijkt me niet dat iemand graag ziet
dat jij het netwerkverkeer van je klanten monitort of in kaart brengt.
In overleg kan dat wel een optie zijn als je iets specifieks wil
vastleggen.

Met vriendelijke groet,
Huub Reuver
Paul van der Vlis
2009-09-07 18:13:04 UTC
Permalink
Post by Huub Reuver
Post by Paul van der Vlis
Post by Aart Koelewijn
Post by Paul van der Vlis
Hallo,
Ik heb een jaar geleden een mailserver ingericht bij een bedrijf, ik
beheer daar niet het netwerk. De mailserver heeft een eigen extern IP.
Er is daar verder een lokaal windows netwerk.
Nu was het vandaag al voor de derde keer zo dat mensen uit het lokale
netwerk de mailserver niet kunnen bereiken. Ik kan de mailserver vanaf
extern dan echter wel prima bereiken. Een reboot verhelpt het probleem.
Wat zou hier aan de hand kunnen zijn?
Met vriendelijke groet,
Paul van der Vlis.
Zonder verdere informatie over de opbouw van het netwerk blijft het een
gok. Maar behoud de server wel zijn route naar het interne netwerk?
De kernel heeft geen speciale route naar het interne netwerk.
De connectie verloopt via de default gateway (= de router)
En die blijft werken, anders kon ik er via internet ook niet meer in.
Daarom denk ik dat er iets mis is met de router.
Maar waarom helpt dan een reboot van 'mijn' server om het probleem op te
lossen?
Als je een goede infrastructuur hebt staat de mailserver waarschijnlijk
in een (fysieke) DMZ. Dan gaat alle verkeer over 1 of 2 routers (intern/
extern)
Ik weet dat niet precies.

Volgens mij hangt de mailserver direct aan de router voor glasvezel, en
hangt het lokale netwerk daar ook aan.
Post by Huub Reuver
Kan op een of andere manier de (interne) router de route-informatie
kwijtraken? Het is in dat geval logisch dat na een herstart die info
hersteld wordt, alleen al vanwege de hostnamelookups en arp-requests.
Misschien zelfs DHCP-refresh...
Er komt op die machine steeds mail binnen, en voor elke mail worden er
volgens mij dingen geresolved. Het lijkt me dus dat dit steeds gebeurd,
ook zonder een reboot. Mail komt ook gewoon nog binnen ten tijde van de
problemen, en ik kan van buiten af inloggen. De machine gebruikt geen DHCP.

Wel opvallend dat de problemen steeds op maandag waren, als ik me niet
vergis.
Post by Huub Reuver
Ik zou ook even kijken naar actieve verbindingen. Bij een herstart
worden alle actieve verbindingen uit de routercache geflusht.
Ik zal eens kijken met netstat, als het weer mis is. Ik moet een lijstje
gaan maken voor de volgende keer... Punt is dat de boel dan zo snel
mogelijk weer moet werken.
Post by Huub Reuver
Normaal zou ik zeggen van "ping eens naar het interne netwerk", maar
dat kan niet vanaf de servers die ik beheer.
Hier ook niet, zit achter NAT.
Post by Huub Reuver
Wel kun je altijd de uitvoer
van "/bin/ip route ls", "/sbin/ifconfig", "/usr/sbin/arp -a" en
"/bin/netstat" controleren.
In plaats van meer geavanceerde tools zou ik in dat geval eens gaan praten
met de beheerder van de router. Het lijkt me niet dat iemand graag ziet
dat jij het netwerkverkeer van je klanten monitort of in kaart brengt.
In overleg kan dat wel een optie zijn als je iets specifieks wil
vastleggen.
Punt is dat die geld kost en naar mijn mening niet zoveel verstand van
zaken heeft. Ik vermoed verder dat hij ze graag een Windows mailserver
zou verkopen, die niet van dit soort "rare problemen" heeft.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Max
2009-09-07 20:02:16 UTC
Permalink
Post by Paul van der Vlis
Hallo,
Ik heb een jaar geleden een mailserver ingericht bij een bedrijf, ik
beheer daar niet het netwerk. De mailserver heeft een eigen extern IP.
Er is daar verder een lokaal windows netwerk.
Nu was het vandaag al voor de derde keer zo dat mensen uit het lokale
netwerk de mailserver niet kunnen bereiken. Ik kan de mailserver vanaf
extern dan echter wel prima bereiken. Een reboot verhelpt het probleem.
Wat zou hier aan de hand kunnen zijn?
Met vriendelijke groet,
Paul van der Vlis.
Hallo Paul,

Is de error count van de nic van het lokale netwerk flink opgelopen als
de storing zich voordoet en kun je vanuit de mailserver wel systemen
pingen op het lokale netwerk? Als men een mailserver niet kan bereiken
dan kan dit liggen aan de mailserver software, maar zou andere
netwerkfunctionaliteit zoals ping hier geen last van moeten hebben. Als
het aan netwerkhardware ligt, verwacht ik dat je dat moet kunnen zien
aan counters.
--
Max

Open Source is an ode to common sense
Paul van der Vlis
2009-09-08 08:20:51 UTC
Permalink
Post by Max
Post by Paul van der Vlis
Hallo,
Ik heb een jaar geleden een mailserver ingericht bij een bedrijf, ik
beheer daar niet het netwerk. De mailserver heeft een eigen extern IP.
Er is daar verder een lokaal windows netwerk.
Nu was het vandaag al voor de derde keer zo dat mensen uit het lokale
netwerk de mailserver niet kunnen bereiken. Ik kan de mailserver vanaf
extern dan echter wel prima bereiken. Een reboot verhelpt het probleem.
Wat zou hier aan de hand kunnen zijn?
Met vriendelijke groet,
Paul van der Vlis.
Hallo Paul,
Is de error count van de nic van het lokale netwerk flink opgelopen als
de storing zich voordoet
Dat staat op mijn lijstje om de volgende keer bij een storing te checken.
Post by Max
en kun je vanuit de mailserver wel systemen
pingen op het lokale netwerk?
Nee, dat kan niet. Want die systemen zitten achter NAT. Dat kan dus
nooit, ook niet als er geen storing is.
Post by Max
Als men een mailserver niet kan bereiken
dan kan dit liggen aan de mailserver software, maar zou andere
netwerkfunctionaliteit zoals ping hier geen last van moeten hebben.
Als er storing is, kan er ook niet gepingt worden naar de server.
Post by Max
Als
het aan netwerkhardware ligt, verwacht ik dat je dat moet kunnen zien
aan counters.
Ga ik checken, bedankt.


Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Richard Lucassen
2009-09-07 20:54:18 UTC
Permalink
On Mon, 07 Sep 2009 16:27:18 +0200
Post by Paul van der Vlis
Ik heb een jaar geleden een mailserver ingericht bij een bedrijf, ik
beheer daar niet het netwerk. De mailserver heeft een eigen extern IP.
Er is daar verder een lokaal windows netwerk.
Nu was het vandaag al voor de derde keer zo dat mensen uit het lokale
netwerk de mailserver niet kunnen bereiken. Ik kan de mailserver vanaf
extern dan echter wel prima bereiken. Een reboot verhelpt het
probleem.
Wat zou hier aan de hand kunnen zijn?
Ik denk het niet als ik het zo lees, maar is er ergens misschien een zelfde ip actief als de mailserver op het interne netwerk?

R.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Paul van der Vlis
2009-09-08 08:22:08 UTC
Permalink
On Mon, 07 Sep 2009 16:27:18 +0200 Paul van der Vlis
Post by Paul van der Vlis
Ik heb een jaar geleden een mailserver ingericht bij een bedrijf,
ik beheer daar niet het netwerk. De mailserver heeft een eigen
extern IP. Er is daar verder een lokaal windows netwerk.
Nu was het vandaag al voor de derde keer zo dat mensen uit het
lokale netwerk de mailserver niet kunnen bereiken. Ik kan de
mailserver vanaf extern dan echter wel prima bereiken. Een reboot
verhelpt het probleem.
Wat zou hier aan de hand kunnen zijn?
Ik denk het niet als ik het zo lees, maar is er ergens misschien een
zelfde ip actief als de mailserver op het interne netwerk?
Dan zou pingen naar dat IP mogelijk moeten zijn, en dat is niet mogelijk.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Richard Lucassen
2009-09-08 16:46:16 UTC
Permalink
On Tue, 08 Sep 2009 10:22:08 +0200
Post by Paul van der Vlis
Post by Richard Lucassen
Ik denk het niet als ik het zo lees, maar is er ergens misschien een
zelfde ip actief als de mailserver op het interne netwerk?
Dan zou pingen naar dat IP mogelijk moeten zijn, en dat is niet mogelijk.
Als er een firewall actief is niet. En als je arp-cache in de war is ook niet. Probeer eens arping. Misschien geeft-ie wel duplicates.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Huub Reuver
2009-09-08 18:52:44 UTC
Permalink
Post by Richard Lucassen
On Tue, 08 Sep 2009 10:22:08 +0200
Post by Paul van der Vlis
Post by Richard Lucassen
Ik denk het niet als ik het zo lees, maar is er ergens misschien een
zelfde ip actief als de mailserver op het interne netwerk?
Dan zou pingen naar dat IP mogelijk moeten zijn, en dat is niet mogelijk.
Als er een firewall actief is niet. En als je arp-cache in de war is
ook niet. Probeer eens arping. Misschien geeft-ie wel duplicates.
"arping"? Bedoel je "arp -a" of heb je een ander programma in gedachten?
Welk package?
(arp == net-tools in debian)

Je mist nog de mogelijkheid van vervuiling van de cache van de ipfilters
van de server of de router. Hoewel je bij vervuiling van de filters van
de router natuurlijk niet verwacht dat een reboot gaat helpen.

Met vriendelijke groet,
Huub Reuver
Richard Lucassen
2009-09-08 19:09:59 UTC
Permalink
On 08 Sep 2009 18:52:44 GMT
Post by Huub Reuver
Post by Richard Lucassen
Als er een firewall actief is niet. En als je arp-cache in de war
is ook niet. Probeer eens arping. Misschien geeft-ie wel duplicates.
"arping"? Bedoel je "arp -a" of heb je een ander programma in
gedachten? Welk package?
(arp == net-tools in debian
# arping -c 1 -I eth4 192.168.68.2
ARPING 192.168.68.2 from 192.168.68.1 eth4
Unicast reply from 192.168.68.2 [00:23:69:AB:70:49] 0.846ms
Sent 1 probes (1 broadcast(s))
Received 1 response(s)

apt-get install arping (dacht ik)
Post by Huub Reuver
Je mist nog de mogelijkheid van vervuiling van de cache van de
ipfilters van de server of de router. Hoewel je bij vervuiling van
de filters van de router natuurlijk niet verwacht dat een reboot gaat
helpen.
Meten is weten. Misschien is er wel een poort op de switch af en toe rot. Of een kabel.

R.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Paul van der Vlis
2009-09-09 07:10:20 UTC
Permalink
On Tue, 08 Sep 2009 10:22:08 +0200 Paul van der Vlis
Post by Paul van der Vlis
Post by Richard Lucassen
Ik denk het niet als ik het zo lees, maar is er ergens misschien
een zelfde ip actief als de mailserver op het interne netwerk?
Dan zou pingen naar dat IP mogelijk moeten zijn, en dat is niet mogelijk.
Als er een firewall actief is niet.
Ik denk dat het goed mogelijk is, dat de mailserver gewoon in het lokale
netwerk hangt, en dat de router slim genoeg is om te snappen dat er geen
NAT van toepassing is omdat er sprake is van een extern IP.
Zou dat kunnen?

De mailserver ziet dus geen lokaal netwerk.
Als iemand connect naar b.v. IMAP zie ik een extern IP in de logs
NAT 1.2.3.194 (lokaal 10.0.2.x)
mailserver 1.2.3.195
router 1.2.3.193
En als je arp-cache in de war is
ook niet. Probeer eens arping. Misschien geeft-ie wel duplicates.
Ik ken dat programma niet, hoe zou ik het moeten toepassen?
In geval van storing heb ik weinig tijd om te experimenteren.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Joost de Heer
2009-09-09 08:26:17 UTC
Permalink
Post by Paul van der Vlis
In geval van storing heb ik weinig tijd om te experimenteren.
Kwestie van goede afspraken. M.i. is het beter om een keer een uur
onbeschikbaarheid te hebben waarna het probleem is opgelost dan om door
te modderen met een instabiele situatie.

Joost
Paul van der Vlis
2009-09-09 08:40:28 UTC
Permalink
Post by Joost de Heer
Post by Paul van der Vlis
In geval van storing heb ik weinig tijd om te experimenteren.
Kwestie van goede afspraken. M.i. is het beter om een keer een uur
onbeschikbaarheid te hebben waarna het probleem is opgelost dan om door
te modderen met een instabiele situatie.
Dat klopt natuurlijk. Daarom probeer ik me nu goed voor te bereiden voor
een evt. volgende keer.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Richard Lucassen
2009-09-09 11:02:35 UTC
Permalink
On Wed, 09 Sep 2009 09:10:20 +0200
Post by Paul van der Vlis
Post by Richard Lucassen
Als er een firewall actief is niet.
Ik denk dat het goed mogelijk is, dat de mailserver gewoon in het
lokale netwerk hangt, en dat de router slim genoeg is om te snappen
dat er geen NAT van toepassing is omdat er sprake is van een extern
IP. Zou dat kunnen?
eerlijk gezegd snap ik niet wat je bedoelt...
Post by Paul van der Vlis
De mailserver ziet dus geen lokaal netwerk.
Als iemand connect naar b.v. IMAP zie ik een extern IP in de logs
NAT 1.2.3.194 (lokaal 10.0.2.x)
mailserver 1.2.3.195
router 1.2.3.193
Post by Richard Lucassen
En als je arp-cache in de war is
ook niet. Probeer eens arping. Misschien geeft-ie wel duplicates.
Ik ken dat programma niet, hoe zou ik het moeten toepassen?
In geval van storing heb ik weinig tijd om te experimenteren.
Staat de mailserver op het externe netwerk? En het interne netwerk komt met 194 naar de 195 toe? Waarom zet je dat ding niet in een DMZ (waar-ie thuishoort als-ie van buitenaf bereikbaar is) En staat de dhcp op die router soms aan en dat-ie aan een ander station die 195 gaat zitten uitdelen terwijl daar de mailserver op zit?
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Paul van der Vlis
2009-09-09 12:05:26 UTC
Permalink
On Wed, 09 Sep 2009 09:10:20 +0200 Paul van der Vlis
Post by Paul van der Vlis
Post by Richard Lucassen
Als er een firewall actief is niet.
Ik denk dat het goed mogelijk is, dat de mailserver gewoon in het
lokale netwerk hangt, en dat de router slim genoeg is om te snappen
dat er geen NAT van toepassing is omdat er sprake is van een
extern IP. Zou dat kunnen?
eerlijk gezegd snap ik niet wat je bedoelt...
Een router waar je van alles door elkaar inprikt. Is het een lokaal IP
dan doet hij NAT, is een een extern IP dan doet hij geen NAT.
Post by Paul van der Vlis
De mailserver ziet dus geen lokaal netwerk. Als iemand connect naar
b.v. IMAP zie ik een extern IP in de logs NAT 1.2.3.194 (lokaal
10.0.2.x) mailserver 1.2.3.195 router 1.2.3.193
Post by Richard Lucassen
En als je arp-cache in de war is ook niet. Probeer eens arping.
Misschien geeft-ie wel duplicates.
Ik ken dat programma niet, hoe zou ik het moeten toepassen? In
geval van storing heb ik weinig tijd om te experimenteren.
Staat de mailserver op het externe netwerk?
Ja, ik kan hem op zijn externe IP prima bereiken, ook tijdens storing.
En het interne netwerk komt met 194 naar de 195 toe?
Normaal wel, maar niet als er storing is.
Waarom zet je dat ding niet in een DMZ
(waar-ie thuishoort als-ie van buitenaf bereikbaar is)
Ik denk dat ik de systeembeheerder misschien zelfs eerst moet uitleggen
wat dat is.

Toen ik de boel moest overzetten van ADSL naar glas kreeg ik een kabel
van hem, waarop ik hem kon aansluiten. En hij deed het.
En staat de
dhcp op die router soms aan en dat-ie aan een ander station die 195
gaat zitten uitdelen terwijl daar de mailserver op zit?
Dat is nog een interessante gedachte.

Maar ik denk het niet, want de storingen vonden steeds plaats terwijl
men niets bijzonders deed. Verder kon ik de machine van buitenaf wel
steeds goed bereiken.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Richard Lucassen
2009-09-09 12:22:43 UTC
Permalink
On Wed, 09 Sep 2009 14:05:26 +0200
Post by Paul van der Vlis
Post by Richard Lucassen
eerlijk gezegd snap ik niet wat je bedoelt...
Een router waar je van alles door elkaar inprikt. Is het een lokaal IP
dan doet hij NAT, is een een extern IP dan doet hij geen NAT.
"waar je van alles door elkaar prikt"? Op 1 netwerk? Niet gescheiden? Wat is dat voor een onfatsoenlijk ding?
Post by Paul van der Vlis
Ja, ik kan hem op zijn externe IP prima bereiken, ook tijdens storing.
Toen ik de boel moest overzetten van ADSL naar glas kreeg ik een kabel
van hem, waarop ik hem kon aansluiten. En hij deed het.
Post by Richard Lucassen
En staat de
dhcp op die router soms aan en dat-ie aan een ander station die 195
gaat zitten uitdelen terwijl daar de mailserver op zit?
Dat is nog een interessante gedachte.
Maar ik denk het niet, want de storingen vonden steeds plaats terwijl
men niets bijzonders deed. Verder kon ik de machine van buitenaf wel
steeds goed bereiken.
Post eens een ascii art van dat netwerk...
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Paul van der Vlis
2009-09-09 14:50:18 UTC
Permalink
On Wed, 09 Sep 2009 14:05:26 +0200 Paul van der Vlis
Post by Paul van der Vlis
Post by Richard Lucassen
eerlijk gezegd snap ik niet wat je bedoelt...
Een router waar je van alles door elkaar inprikt. Is het een lokaal
IP dan doet hij NAT, is een een extern IP dan doet hij geen NAT.
"waar je van alles door elkaar prikt"? Op 1 netwerk? Niet gescheiden?
Wat is dat voor een onfatsoenlijk ding?
Het zou me niets verbazen als dat daar zo was.

De mailserver stond namelijk voor dat er glas kwam in het locale netwerk
(met port-forwarding vanaf de router).

Toen kwam er glas en een eigen IP-range en kreeg de server een eigen
extern IP. Omdat het allemaal wel functioneerde en ik niet over het
netwerk ga, heb ik niet verder rondgekeken en was ik met een kwartiertje
klaar.

Mijn vraag is dus eigenlijk: zou het kunnen dat een dergelijk
ongescheiden netwerk toch wel werkt?
Post by Paul van der Vlis
Ja, ik kan hem op zijn externe IP prima bereiken, ook tijdens
storing.
Toen ik de boel moest overzetten van ADSL naar glas kreeg ik een
kabel van hem, waarop ik hem kon aansluiten. En hij deed het.
Post by Richard Lucassen
En staat de dhcp op die router soms aan en dat-ie aan een ander
station die 195 gaat zitten uitdelen terwijl daar de mailserver
op zit?
Dat is nog een interessante gedachte.
Maar ik denk het niet, want de storingen vonden steeds plaats
terwijl men niets bijzonders deed. Verder kon ik de machine van
buitenaf wel steeds goed bereiken.
Post eens een ascii art van dat netwerk...
Ik zou er naar toe moeten om dat te maken.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Richard Lucassen
2009-09-09 15:33:26 UTC
Permalink
On Wed, 09 Sep 2009 16:50:18 +0200
Post by Paul van der Vlis
Mijn vraag is dus eigenlijk: zou het kunnen dat een dergelijk
ongescheiden netwerk toch wel werkt?
Tuurlijk. Je kunt losse netwerken gewoon "op elkaar" op 1 switch leggen, ze bijten elkaar niet. En zolang je geen malicious users op je netwerk hebt is dat geen probleem ;-)
Post by Paul van der Vlis
Post by Richard Lucassen
Post eens een ascii art van dat netwerk...
Ik zou er naar toe moeten om dat te maken.
Huh? En ze vallen je wel met hun problemen lastig? Rare jongens daar. Ik zou het wel weten ;-)
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Huub Reuver
2009-09-09 17:39:33 UTC
Permalink
Post by Richard Lucassen
On Wed, 09 Sep 2009 16:50:18 +0200
Post by Paul van der Vlis
Mijn vraag is dus eigenlijk: zou het kunnen dat een dergelijk
ongescheiden netwerk toch wel werkt?
Tuurlijk. Je kunt losse netwerken gewoon "op elkaar" op 1 switch
leggen, ze bijten elkaar niet. En zolang je geen malicious users op
je netwerk hebt is dat geen probleem ;-)
Door de 2 te scheiden vereenvoudig je de structuur en je voorkomt
gerotzooi. Dat is alleen al een punt om 2 netwerken, met name een
"DMZ" binnen een intern netwerk te voorkomen.

Je veiligheid en betrouwbaarheid gaan met sprongen vooruit met een
gescheiden netwerk. Vooral omdat je meerdere leveranciers hebt.
Post by Richard Lucassen
Post by Paul van der Vlis
Post by Richard Lucassen
Post eens een ascii art van dat netwerk...
Ik zou er naar toe moeten om dat te maken.
Huh? En ze vallen je wel met hun problemen lastig? Rare jongens daar.
Ik zou het wel weten ;-)
Laat me raden:
de 2e leverancier levert broddelwerk en omdat de problemen zichtbaar
worden bij jouw servers mag jij "service" gaan leveren.

Ik denk dat het een goede zaak is als je uitlegt waarom je een
fysieke DMZ gaat aanraden. En die wil je natuurlijk met alle plezier
voor hen inrichten.

Het feit dat de server in hetzelfde netwerk staat als de interne pc's
doet niets af aan het feit dat alle verkeer via de router loopt.

Just my 2 cents:
Een DMZ vraagt 2 routers of een router met 3 poorten. Alleen op
die manier voorkom je veel ergernis. Gewoon fysiek scheiden die hap.

Als de leverancier van de router dat niet heeft geleverd zegt het veel
over die man. Op zijn best betekent het "zoek het zelf maar uit" en dat
richting jouw klant. Aan jou om te bevestigen of bovenstaande gebeurd is
en dat politiek correct te vertellen aan je klant (met offerte om de
problemen op te lossen).

Mocht de vraag komen een 2e router in te richten zou ik even verder
kijken als debian. LEAF, PF-sense of het oudere m0n0wall komen even
naar voren (de laatste 2 BSD) met embedded hardware (lex, alix) of
itx-systemen...

Als niets andere helpt kun je de server voorzien van een 2e netwerkkaart
maar dat wil je normaliter voorkomen (mailserver==2e router).

Met vriendelijke groet,
Huub Reuver
Paul van der Vlis
2009-09-10 07:31:37 UTC
Permalink
Post by Huub Reuver
Post by Richard Lucassen
On Wed, 09 Sep 2009 16:50:18 +0200
Post by Paul van der Vlis
Mijn vraag is dus eigenlijk: zou het kunnen dat een dergelijk
ongescheiden netwerk toch wel werkt?
Tuurlijk. Je kunt losse netwerken gewoon "op elkaar" op 1 switch
leggen, ze bijten elkaar niet. En zolang je geen malicious users op
je netwerk hebt is dat geen probleem ;-)
Door de 2 te scheiden vereenvoudig je de structuur en je voorkomt
gerotzooi. Dat is alleen al een punt om 2 netwerken, met name een
"DMZ" binnen een intern netwerk te voorkomen.
Je veiligheid en betrouwbaarheid gaan met sprongen vooruit met een
gescheiden netwerk. Vooral omdat je meerdere leveranciers hebt.
Post by Richard Lucassen
Post by Paul van der Vlis
Post by Richard Lucassen
Post eens een ascii art van dat netwerk...
Ik zou er naar toe moeten om dat te maken.
Huh? En ze vallen je wel met hun problemen lastig? Rare jongens daar.
Ik zou het wel weten ;-)
de 2e leverancier levert broddelwerk en omdat de problemen zichtbaar
worden bij jouw servers mag jij "service" gaan leveren.
Ik denk dat het een goede zaak is als je uitlegt waarom je een
fysieke DMZ gaat aanraden. En die wil je natuurlijk met alle plezier
voor hen inrichten.
Het feit dat de server in hetzelfde netwerk staat als de interne pc's
doet niets af aan het feit dat alle verkeer via de router loopt.
Een DMZ vraagt 2 routers of een router met 3 poorten. Alleen op
die manier voorkom je veel ergernis. Gewoon fysiek scheiden die hap.
Er staat een router van de KPN met naar ik verwacht 4 poorten.
Daarop kan vast een DMZ worden geconfigureerd.
Post by Huub Reuver
Als de leverancier van de router dat niet heeft geleverd zegt het veel
over die man. Op zijn best betekent het "zoek het zelf maar uit" en dat
richting jouw klant. Aan jou om te bevestigen of bovenstaande gebeurd is
en dat politiek correct te vertellen aan je klant (met offerte om de
problemen op te lossen).
Mocht de vraag komen een 2e router in te richten zou ik even verder
kijken als debian. LEAF, PF-sense of het oudere m0n0wall komen even
naar voren (de laatste 2 BSD) met embedded hardware (lex, alix) of
itx-systemen...
Als niets andere helpt kun je de server voorzien van een 2e netwerkkaart
maar dat wil je normaliter voorkomen (mailserver==2e router).
Ik heb die mailserver liever niet als "single point of failure" voor hun
netwerk. Het is oude hardware.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Paul van der Vlis
2009-09-10 07:18:52 UTC
Permalink
On Wed, 09 Sep 2009 16:50:18 +0200 Paul van der Vlis
Post by Paul van der Vlis
Mijn vraag is dus eigenlijk: zou het kunnen dat een dergelijk
ongescheiden netwerk toch wel werkt?
Tuurlijk. Je kunt losse netwerken gewoon "op elkaar" op 1 switch
leggen, ze bijten elkaar niet.
Bedankt voor die info, ik wist dat niet, ik richt dan een DMZ in.
En zolang je geen malicious users op je netwerk hebt is dat geen probleem ;-)
Stel dat er wordt ingebroken op de mailserver, dan lijkt het me vrij
lastig te ontdekken voor een inbreker. Zelf kan ik dat niet eens
vaststellen.
Post by Paul van der Vlis
Post by Richard Lucassen
Post eens een ascii art van dat netwerk...
Ik zou er naar toe moeten om dat te maken.
Huh? En ze vallen je wel met hun problemen lastig? Rare jongens daar.
Ik zou het wel weten ;-)
Tja, de mailserver is soms opeens niet te bereiken vanuit hun netwerk,
logisch dat je dan bij de beheerder van de mailserver terecht komt.
Vooral als een reboot van dat ding het probleem oplost....

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Richard Lucassen
2009-09-10 08:15:40 UTC
Permalink
On Thu, 10 Sep 2009 09:18:52 +0200
Post by Paul van der Vlis
Post by Richard Lucassen
Tuurlijk. Je kunt losse netwerken gewoon "op elkaar" op 1 switch
leggen, ze bijten elkaar niet.
Bedankt voor die info, ik wist dat niet, ik richt dan een DMZ in.
Een DMZ hoort expliciet bij een firewall configuratie
Post by Paul van der Vlis
Post by Richard Lucassen
En zolang je geen malicious users op je netwerk hebt is dat geen probleem ;-)
Stel dat er wordt ingebroken op de mailserver, dan lijkt het me vrij
lastig te ontdekken voor een inbreker. Zelf kan ik dat niet eens
vaststellen.
Je kunt van alles doen om dat te detecteren. Maar zo'n ding hoort in een DMZ thuis. Alleen poort 25 naar binnen mag, verder mag het ding zelf helemaal niets, op datgene wat jij expliciet toelaat. Zodra dat ding ook maar iets onderneemt wat er niety op thuishoort moet er bij jou een sms gaan.
Post by Paul van der Vlis
Post by Richard Lucassen
Huh? En ze vallen je wel met hun problemen lastig? Rare jongens
daar. Ik zou het wel weten ;-)
Tja, de mailserver is soms opeens niet te bereiken vanuit hun netwerk,
logisch dat je dan bij de beheerder van de mailserver terecht komt.
Vooral als een reboot van dat ding het probleem oplost....
En als de mailserver van buitenaf te bereiken is dan weet de mailserverbeheerder ook dat de kans erg klein is dat het aan zijn machine ligt...
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Joost de Heer
2009-09-10 08:47:59 UTC
Permalink
Een NAT tabel van de router die overloopt, en schoongeveegd wordt door
de reboot omdat dan alle netwerkconnecties hard om zeep geholpen worden?

Joost
Huub Reuver
2009-09-10 11:04:23 UTC
Permalink
Post by Joost de Heer
Een NAT tabel van de router die overloopt, en schoongeveegd wordt door
de reboot omdat dan alle netwerkconnecties hard om zeep geholpen worden?
Het is wel een typische situatie die je verwacht bij een combinatie van een
2-poorts router met goedkope switch in een kastje. Daarmee heb je meteen
veel routers geklassificeerd vanaf de speedtouch, de fritz en de goedkopere
drayteks en zyxels. Eigenlijk alle budgetmodems en 99% van de meegeleverde
modems bij een internetverbinding.

1e faalmode: firewall caches lopen over (NAT werkt niet meer).
2e faalmode: switch schakelt terug in "hub-mode" (switch schermt verkeer
voor elke gebruiker niet meer af).
... etc. ...

Een router met 3 fysieke poorten (of 2 2-poorts routers achter elkaar)
betekent dat je belasting beter verdeelt en dus de kans op falen verkleint.
De configuratie is een stuk eenvoudiger, want spoofing en andere fouten
kun je eenvoudig uitfilteren.
Verder is het praktisch onmogelijk dat de scheiding van netwerken wordt
doorbroken.

Daarbij heb ik met linux nooit last gehad met netwerken met verschillende
ranges door elkaar. Windows-pc's waren in zo'n omgeving een stuk lastiger
te configureren, zeker als je nog extra vaste routes toevoegt.
In zo'n configuratie kun je niet spreken van een DMZ en een dergelijke
configuratie ook geen security voordelen.

Kortom: scheiden, want overzichtelijker, eenvoudiger, betrouwbaarder en
veiliger.

Met vriendelijke groet,
Huub Reuver
Badmuts
2009-09-14 13:47:05 UTC
Permalink
Post by Richard Lucassen
On Wed, 09 Sep 2009 16:50:18 +0200
Post by Paul van der Vlis
Mijn vraag is dus eigenlijk: zou het kunnen dat een dergelijk
ongescheiden netwerk toch wel werkt?
Tuurlijk. Je kunt losse netwerken gewoon "op elkaar" op 1 switch leggen,
ze bijten elkaar niet. En zolang je geen malicious users op je netwerk hebt
is dat geen probleem ;-)
Post by Richard Lucassen
Post by Paul van der Vlis
Post by Richard Lucassen
Post eens een ascii art van dat netwerk...
Ik zou er naar toe moeten om dat te maken.
Huh? En ze vallen je wel met hun problemen lastig? Rare jongens daar. Ik
zou het wel weten ;-)

Da's dan weer linuxmentaliteit he... geen enkele service-gerichtheid.
Gelukkig heeft Paul van der Vlis dat wel goed begrepen, en/of eet hij er
zijn boterham van.

Bm
Richard Lucassen
2009-09-14 14:02:52 UTC
Permalink
On Mon, 14 Sep 2009 15:47:05 +0200
Post by Badmuts
Post by Richard Lucassen
Post by Paul van der Vlis
Post by Richard Lucassen
Post eens een ascii art van dat netwerk...
Ik zou er naar toe moeten om dat te maken.
Huh? En ze vallen je wel met hun problemen lastig? Rare jongens
daar. Ik zou het wel weten ;-)
Da's dan weer linuxmentaliteit he... geen enkele service-gerichtheid.
Gelukkig heeft Paul van der Vlis dat wel goed begrepen, en/of eet hij
er zijn boterham van.
Paul weet niet eens hoe het netwerk eruit ziet, maar krijgt met zijn
werkende mailserver wel het gezeur over dat niet werkende netwerk dat
hij zelf niet heeft gemaakt. Dat ruikt ernstig naar Must Consult
Someone Experienced.

En de correlatie met linuxmentaliteit zie ik niet.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Loading...