Hallo @MaLK , aangezien dit een zakelijke toepassing is kun je dat beter aan de zakelijke helpdesk vragen.

Dit is een consumentenforum en de beheerders daarvan hebben geen toegang tot het zakelijke deel van KPN.

Succes.

Ik ga er even vanuit dat je gewoon een consumentenaansluiting hebt en deze vraag stelt omdat je thuis moet werken. Je zit dan dus wel op het juiste forum.

Alle poorten staan uitgaand open en dus zou het eigenlijk geen probleem mogen zijn om die Azure cloud te benaderen.

Wat voor een foutmelding krijg je?

kan je daar een screenshot van plaatsen? (Wel even vertrouwelijke gegevens wegpoetsen.) 

Hallo wjb, 

Bedankt voor je reactie. Je hebt gelijk, ik maak gebruik van een consumenten aansluiting met een KPN box 12 modem. De helpdesk vroeg mij eerder om de foutmelding op de Azure website. Wij maken echter geen gebruik van de website, maar ik klik op folders die ik via "deze computer” benader. Volgens onze beheerder zijn dit folders die in Azure omgeving staan van ons bedrijf. 

De verkenner loopt vast als ik op één van deze folders klik. Ook het programma teams reageert niet meer. En wil bij Microsoft rapporteren, maar dat rapport wordt nooit afgerond. 

Ik heb even rondgevraagd. Mijn collega die ook bij KPN zit heeft hetzelfde probleem. Ook hij zit al een tijdje op zijn mobiele hotspot te werken. 

Werkt Teams bij jouw collega's ook niet.

Er is dus blijkbaar geen verbinding met die Azure netwerkschijven.

Ik heb hier geen ervaring mee aangezien ik altijd de Azure Storage Explorer gebruik om bestanden op de Azure cloud te benaderen.

Ik hoop dat er snel iemand van KPN zal reageren om hier aandacht aan te besteden.

Bij mijn collega werkt teams vaak wel, maar gaan alle Microsoft office op “niet reageren”

Het zou gaan om poort 443 die geblokkeerd is.

Die is uitgaand zeer zeker niet geblokkeerd, dat zou immers betekenen dat je geen enkele https site meer zou kunnen benaderen.

 Na nog een keer controleren gaat het om 445. Antwoord de technische dienst van KPN ook op dit forum? Via de klantenservice begreep ik dat het 24/h zou duren voor ik contact zou hebben?

Ik heb vanaf mijn thuisnetwerk een smb connectie (TCP poort 445) naar mijn NAS op kantoor (Ziggo aansluiting) opgezet en dat gaat zonder problemen.

Er is dus, zoals ik ook had verwacht, geen blokkade van TCP poort 445.

Hoi @MaLK, wat vreemd dat het niet werkt via onze verbinding. Via een hotspot dus wel, dan lijkt het aan de verbinding te liggen. Alleen waar. Want er zijn geen poorten geblokkeerd bij mijn weten. Wel ik ik het volgende gevonden op de site van microsoft.  Verder ga ik nog even navraag doen of iemand er wat meer over kan zeggen. 

Zou je voor de zekerheid ook jouw Forumprofiel willen voorzien van postcode + huisnummer en naam van de contractant? Dan kan ik meekijken indien nodig. 

Hebben de ip adressen van jou en je collega wel toegang tot de desbetreffende Azure server(s)?

@Bart_Z Mijn profiel is aangevuld met de juiste informatie. Het item van de Microsoft gaat helaas me de pet te boven.  Echter vanuit de kruistest logica zou ik zeggen dat het probleem aan de wissel naar KPN ligt:

• Ik ben recent gewisseld van provider.  Via budget-alles-in-1 werkte alles prima. 
• Op mijn mobiele hotspot werkt ook alles prima. 

Fijn dat je nog eens wil rondvragen. Ik wacht je antwoord af. 

Hallo @MaLK ,

Ik vind dat obelisk wel een goeie vraag stelt. Als je van verbinding gewisseld bent, dan ben je daarmee ook automatisch van ip-adres gewisseld. Is daar rekening mee gehouden door de systeembeheerder en hebben zij het nieuwe ip-adres op de whitelist gezet?

Zoals collega @Bart_Z al opmerkt, zijn er geen uitgaande poorten geblokkeerd. Ik neem voor het gemak even aan dat hier geen inkomende poorten open hoeven te staan. Krijg je ergens inhoudelijke foutmeldingen? Zo ja, welke exact?

Normaliter hoeven IP adressen niet "gewhitelist" te worden immers dat zou wat worden als je die dienst ook via 4G beschikbaar wilt stellen waarbij cliënts telkens weer een ander IP adres kunnen hebben.

Daar heb je zeker een punt, en gezien het met een hotspot werkt, lijkt me die kans ook erg groot dat het niet hoeft, maar bij dergelijke complexe problemen sluit ik liever uit dan dat ik aanneem. Als het gaat om bedrijfsshares zou ik ze ook niet open willen hebben staan voor heel de wereld. Voor mij zou dat een no-go zijn.

Ik ben niet bekend met Azure, maar bij AWS moet je servers die je zelf aanmaakt expliciet open zetten voor inkomend verkeer. Het feit dat 4G verkeer wel naar binnen kan lijkt te impliceren dat de boel ruim open staan, doch wil ik de mogelijkheid niet uitsluiten. Voor hetzelfde heeft de beheerder voor hemzelf een net open gezet waar het toevallig binnen valt.

@Bart_Z heb je nog meer informatie kunnen vinden? Kunnen we een afspraak maken, zodat je met me mee kan kijken? Deze manier van werken is niet te doen. Mijn onbeperkte hotspot internet bundel is steeds op of knalt eruit.

Weten jullie of er een andere route is om sneller in contact te komen met de KPN technische dienst? 

Wat voor een aansluiting heb jij, glasvezel of VDSL?

En jouw collega heeft die hetzelfde type aansluiting?

Welke Experia Box heeft jouw collega?

Lang geleden heeft KPN TCP poort 445 wel eens geblokkeerd i.v.m. wormen die zich via die poort verspreidden. Dat zou echter eind 2017 beëindigd zijn.

Ook ik ben benieuwd naar de bevindingen van @Bart_Z.

@MaLK  Microsoft heeft in de loop der tijden verschillende methodes ontwikkeld en gebruikt voor bestandstoegang via netwerken. Het is makkelijk mogelijk dat de ene of de andere methode (nog) iets doet wat binnen 1 van de KPN organisatie onderdelen als security risk wordt gezien en er dus iets geblokkeerd wordt. Kan ook locatie en/of regio afhankelijk zijn of van routerings veranderingen. Komt geregeld voor, ook bij ISP’s die van KPN WBA gebruik maken. Oplossing is altijd minimaal een maand of wordt zelfs nooit bekend.

Ik zou kijken of het via een eigen aparte VPN wel werkt.

Zo'n VPN is er waarschijnlijk niet en zal niet direct een oplossing zijn voor de topic starter. Ik heb me wel afgevraagd waarom er gekozen is voor een oplossing met (semi) publieke file shares. Persoonlijk zou ik het ten sterkste afraden aangezien SMB geen geweldige geschiedenis heeft met betrekking tot security. Ook vanuit performance oogpunt gezien is SMB over internet links geen ideal huwlijk.

Soms ontkom je er niet aan in het geval van legacy software, maar verstoppen achter een VPN is dan geen slecht idee.

Als alternatief voor file shares kan mogelijk nog Sharepoint worden overwogen om files te delen, maar dat is ook geen directe oplossing voor het probleem van de topic starter.

Maar om even terug te komen op het oorspronkelijke probleem:

$ nmap -p 21,22,23,25,80,110,138,139,143,443,445,465,587,993,995 -Pn openports.jan.philippi.name
Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.
Starting Nmap 7.91 ( https://nmap.org ) at 2020-10-27 08:39 UTC
Nmap scan report for openports.jan.philippi.name (147.135.146.233)
Host is up (0.011s latency).

PORT    STATE SERVICE
21/tcp  open  ftp
22/tcp  open  ssh
23/tcp  open  telnet
25/tcp  open  smtp
80/tcp  open  http
110/tcp open  pop3
138/tcp open  netbios-dgm
139/tcp open  netbios-ssn
143/tcp open  imap
443/tcp open  https
445/tcp open  microsoft-ds
465/tcp open  smtps
587/tcp open  submission
993/tcp open  imaps
995/tcp open  pop3s

Nmap done: 1 IP address (1 host up) scanned in 0.23 seconds

Ik lijk hier (gpon glas) in elk geval geen probleem te hebben kwa geblokkeerde poorten (138, 139 en 445 met name).

Ik vraag daarom nogmaals, heeft de systeembeheerder de IP adres toegang gecontroleerd? Als was het maar om deze optie definitief uit te sluiten.

De Systinternals tool ‘psping’ kan behulpzaam zijn om snel even te testen. https://docs.microsoft.com/en-us/sysinternals/downloads/psping (bv. psping openports.jan.philippi.name:445)

Gebruik van de genoemde server is op eigen risico overigens, het kan ook een honeypot zijn.

Azure en legacy. 

Ik weet niet waarom je huilt van het lachen, maar zowel Azure als AWS zijn ook maar gewoon computers ergens in een hok. Het is de software die je er op zet die bepaald of het legacy is of state-of-the-art.

Je wilt ze niet de kost geven die Azure of AWS gewoon als een verschoven data center gebruiken in plaats van voor echte cloud applicaties.

Wat er bewerkstelligd zou kunnen worden is dat die spullen waarop TS en z’n collega’s op inloggen ofwel mee connecten een andere originating peer zien dan van een KPN vast internet account. Dus idem aan middels 4G connecten. Kan NordVPN o.i.d. zijn, maar ook eigen TransIP VPS waarop je VPN server hebt lopen of desnoods regelt TS een VPS met Windows erop, dan komt de connectie ook van een andere IP/route/richting.

Ik was bezig dergelijke text ook in te typen, maar bij nader inzien toch maar verwijderd. Het is een gruwel wat ik hier en ook zo her en der zie, en mensen en bedrijven zien soms ook niet wat ze zichzelf aandoen of kunnen gewoon nauwelijks om een bepaald ecosysteem heen. Heb ook wel meegemaakt dat een dergelijke constructie een mooie stok was voor een headquarter om gewoon makkelijk van een remote site / werknemers af te komen.

Azure heeft een VPN gateway, dat lijkt me dan een logischere stap om naar te kijken. Ook performance technisch zal dat waarschijnlijk beter werken dan er nog een partij tussen knopen.

OK, wist ik niet, ken ook alleen AWS kwa gebruik. Maar weet niet of TS dit eigenhandig kan regelen of dat werkgever/systeembeheer dat moet doen. En het blijft in zelfde ecosysteem (MS).

Is dan denk ik wel kwa sequrity een verbetering, maar afwachten of connectivity kwa originating IP daarmee opgelost is. Ikzelf heb voor een paar gevallen in ieder geval goede ervaring met eigen VPS en eigen VPNserver. O.a. TransIP heeft goede aanbindingen, ging eigenlijk nog beter dan direct van mij thuis (was destijds via T-Mobile en ook KabelDeutschland).