Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 3451 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

All sorts of problems setting up our RED

GuyBarwood
Hi,
This is a long winded storey I will try to abreviate!

Basically we have a local network with an ASG120, and a remote network with a RED.  Both networks have standard ADSL connections (the remote is only 512K though).

We want the RED to simply bridge the two networks together, so the fact that the remote is is remote is transparent to the users (other than the obvious speed).

We configured the RED in bridged mode successfuly and do have a network connection between the two sites however the PCs are the remote sites are having all sorts of issues with authentication with the servers at the primary site.  It might take a few minutes for a network share to open, but only after a authentication login occurs (which it shouldn't), after which it is acceptable to browse.  

The PCs log this in the event log:

Event ID: 40960: The Security System detected an attempted downgrade attack for server DNS/fgcserver.domainname.local.  The failure code from authentication protocol Kerberos was "There are currently no logon servers available to service the logon request.
 (0xc000005e)".
Event ID: 40961: The Security System detected an attempted downgrade attack for server DNS/fgcserver.domainname.local.  The failure code from authentication protocol Kerberos was "There are currently no logon servers available to service the logon request.
 (0xc000005e)".

We are seeing lots of unusual depafult drop DNS packets in the live log.

We have filters to ALLOW filters enabled in attempts to just allow the traffic to flow between the sites (some rules are taken from this forum):

Internal network [ANY] Internet
Any [DHCP] Any
Trusted_INT [Any] Trusted_INT
Internal Netowork [Any] Internal Network
Internet Network [DNS] Internal Network

What else can we do?

Any ideas, or any more info you would like?

Thanks in advance

Guy


This thread was automatically locked due to age.
  • 0
    Hi Guy,

    Which server is handling DHCP assignments for the combined segment, and what DNS servers does it give to clients?

    /tom
  • 0
    Also, please post some of the DNS drops you are seeing, it seems the remote clients have either trouble of figuring out where the DC is (this is done via DNS), or they can't reach the DC.
  • 0 in reply to tom_01
    Hi Tom,

    At the moment, DHCP, DNS and all other directory services (Active Directory etc) are hosting on servers at the ASG end of the network.  At the RED end, there are only 3 windows desktop who are members of the domain.

    Cheers

    Guy
  • 0
    Here are a bunch of default drops we are seeing:

    04:02:47 Default DROP UDP 192.168.0.1 : 55323  → 192.168.0.254 : 53  len=77 ttl=128 tos=0x00 srcmac=00:11:25:a4:31:1a dstmac=00:1a:8c:10:1a:68 
     
    04:02:48 Default DROP UDP 192.168.0.1 : 55323  → 192.168.0.254 : 53  len=77 ttl=128 tos=0x00 srcmac=00:11:25:a4:31:1a dstmac=00:1a:8c:10:1a:68 
     
    04:02:48 Default DROP UDP 192.168.0.60 : 427  → 224.0.1.35 : 427  len=62 ttl=64 tos=0x00 srcmac=00:c0:eb:0a:38:bf dstmac=00:1a:8c:10:1a:68 
     
    04:02:49 Default DROP UDP 192.168.0.60 : 427  → 224.0.1.22 : 427  len=58 ttl=64 tos=0x00 srcmac=00:c0:eb:0a:38:bf dstmac=00:1a:8c:10:1a:68 
     
    04:02:50 Default DROP UDP 192.168.0.1 : 55323 
     → 192.168.0.254 : 53 
     len=77 ttl=128 tos=0x00 srcmac=00:11:25:a4:31:1a dstmac=00:1a:8c:10:1a:68 
     
    04:02:54 Default DROP UDP 192.168.0.1 : 55323 
     → 192.168.0.254 : 53 
     len=77 ttl=128 tos=0x00 srcmac=00:11:25:a4:31:1a dstmac=00:1a:8c:10:1a:68 
     
    04:02:55 Default DROP UDP 192.168.0.232 : 427 
     → 224.0.1.35 : 427 
     len=62 ttl=64 tos=0x00 srcmac=00:c0:eb:08:a3:4e dstmac=00:1a:8c:10:1a:68 
     
    04:02:56 Default DROP UDP 192.168.0.232 : 427 
     → 224.0.1.22 : 427 
     len=58 ttl=64 tos=0x00 srcmac=00:c0:eb:08:a3:4e dstmac=00:1a:8c:10:1a:68 
     
    04:02:58 Default DROP UDP 192.168.0.1 : 50351 
     → 192.168.0.254 : 53 
     len=61 ttl=128 tos=0x00 srcmac=00:11:25:a4:31:1a dstmac=00:1a:8c:10:1a:68 
     
    All our workstations are 192.168.0.x addresses.  One server is 192.168.0.19, the other is 192.168.0.1 (Active Directory, DNS, DHCP),  the Astaro is 192.168.0.254
  • 0
    As a bit of more info, after cleaning up the DNS configuration on the network (to be honest I don't know how some of it was working, but it was), I cleaned out the A records of the clients behind the RED in DNS, removed their DHCP lease, ensured the clients are DHCP and watched them set themselves back up.  They get a DHCP address from the DHCP server perfectly, the lease appears in the manager, however they do not register in DNS.

    I checked their event logs and found an Event ID 11164 which states that the client failed to register HOST (A) record.  It claims it is dues to "The reason the system could not register these RRs was because either (a) the DNS server does not support the DNS dynamic update protocol, or (b) the authoritative zone for the specified DNS domain name does not accept dynamic updates." however I'm guessing this is not the case, it will be because the DNS packets arn't getting through to the DNS server???

    Anyone know how to initiate an attempt to created a HOST A record from XP?  I could try packet captures to confirm my theory.
    Is there a filter I can set up which will get all DNS packets through like I set up for DHCP (which I just copied from the forums).

    EDIT: ipconfig /registerdns

    Cheers
    Guy
  • 0
    OK, I was wrong, the DNS request is getting through to the DNS server which is responding, however it is responding with a refusal


    We are also seeing this event: Event ID 1054: Windows cannot obtain the domain controller name for your computer network. (An unexpected network error occurred. ). Group Policy processing aborted.
  • 0 in reply to GuyBarwood
    Check your IPS... sometimes internal / WAN AD / DNS traffic is picked up as a false positive event by the IPS, especially if you did not add the RED networks to the Internal Networks list correctly.  I have also seen the IM/P2P filter affect DNS traffic before by miscategorization.

    Also, you mention the links are only 512Kb/s ... you may want to add some QoS rules to ensure that adequate bandwidth is available for AD and DNS traffic, etc. in the RED tunnel.

    ETA:  Also, I have at least one customer that we've configured in a nearly identical setup, and it all works fine ... but we did put in exclusions in IPS, etc. for the remote RED network.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    Hi Guy,

    OK, I was wrong, the DNS request is getting through to the DNS server which is responding, however it is responding with a refusal


    Where do you see that? In the event log on the DC?
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?