» Microsoft ISA Server 2006/2004/2000 (Часть II)

Подскажите такую вещь:

Что может быть, если паблишинг ни в какую не хочет публиковать сервера никуда, кроме External сети? Мне нужно опубликовать сервер из одной закрытой VPN-сетки в другую.

Причем, правило, созданное с помощью Web Publishing server, работает верно для всех сетей (и internal, localhost, vpn..)

До этого обходился ProxyPlus, но это не дело.
Кто-нибудь сталкивался с такой "фичей"??

Цитата:

закрытой VPN-сетки

А это что за зверь?

Добавлено:

Цитата:

Причем, правило, созданное с помощью Web Publishing server, работает верно для всех сетей (и internal, localhost, vpn..)

Тогда в чем, собственно, проблема?

Может кто знает, где можно взять исашного клиента?

Цитата:

закрытой VPN-сетки

VPN-сетка провайдера

Цитата:

Тогда в чем, собственно, проблема?

Нужно публиковать не Web-сервер, а совершенно другого типа.

Товарищи!
Такая ситуевина -
На работе стоит ISA2004+SP2. На нем поднят VPN. (Лок.сеть 192.168.0.0, mask 255.255.255.0, внешний адрес - белый)
Дома тоже стоит ISA2004+SP2. (Лок.сеть 192.168.10.0, mask 255.255.255.0, внешний адрес - белый).
Дома создаю подключение VPN. Подключаюсь к рабочей ISA2004.
Всё вроде нормально на первый взгляд. Но...
Сразу после подключения VPN на домашнем компе вылазят такие ошибки:

В журнале приложений
Тип события:    Ошибка
Источник события:    Microsoft Firewall
Категория события:    Отсутствует
Код события:    14147
Дата:        05.03.2006
Время:        6:04:04
Пользователь:        Н/Д
Компьютер:    MED
Описание:
ISA Server detected routes through adapter DSL that do not correlate with the network element to which this adapter belongs. For best practice, the address range of an ISA Server network should match the address ranges routable through the associated network adapter as defined in the routing table. Otherwise valid packets may be dropped as spoofed. (This alert may occur momentarily when you create a remote site network. You may safely ignore this message if it does not reoccur.) The address ranges in conflict are: 192.168.0.0-192.168.0.19;192.168.0.21-192.168.0.254;.
А в журнале системы
Тип события:    Ошибка
Источник события:    DCOM
Категория события:    Отсутствует
Код события:    10016
Дата:        05.03.2006
Время:        6:04:16
Пользователь:        NT AUTHORITY\NETWORK SERVICE
Компьютер:    MED
Описание:
Настройки разрешений зависящие от конкретного приложения не предоставляют разрешение Локально Активация для приложения сервера COM Server с CLSID
{BA126AD1-2166-11D1-B1D0-00805FC1270E}
пользователю NT AUTHORITY\NETWORK SERVICE SID (S-1-5-20). Это разрешение можно изменить с помощью средства администрирования Component Services.

При это пропадает инет.
Я предполагаю, что это VPN соединение прописывает новый шлюз по умолчанию на это VPN соединение.
Вот таблица маршрутизации до соединения, когда всё ОК.

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10002 ...xx xx xx xx xx xx ...... WAN (PPP/SLIP) Interface
0x10003 ...xx xx xx xx xx xx...... 3Com EtherLink XL 10/100 PCI TX рфряЄхЁ (3C905B-TX)
0x10004 ...xx xx xx xx xx xx ...... Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 81.176.2xx.1 81.176.2xx.xxx 20
81.176.2xx.0 255.255.255.0 81.176.2xx.xxx 81.176.2xx.xxx 20
81.176.2xx.xxx 255.255.255.255 127.0.0.1 127.0.0.1 20
81.255.255.255 255.255.255.255 81.176.2xx.xxx 81.176.2xx.xxx 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.10.0 255.255.255.0 192.168.10.1 192.168.10.1 30
192.168.10.1 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.10.255 255.255.255.255 192.168.10.1 192.168.10.1 30
224.0.0.0 240.0.0.0 81.176.2xx.xxx 81.176.2xx.xxx 20
224.0.0.0 240.0.0.0 192.168.10.1 192.168.10.1 30
255.255.255.255 255.255.255.255 81.176.2xx.xxx 81.176.2xx.xxx 1
255.255.255.255 255.255.255.255 192.168.10.1 192.168.10.1 1
Основной шлюз: 81.176.2xx.1
===========================================================================
Постоянные маршруты:
Отсутствует

Вот после подключения соединения VPN:

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10002 ...xx xx xx xx xx xx ...... WAN (PPP/SLIP) Interface
0x10003 ...xx xx xx xx xx xx ...... 3Com EtherLink XL 10/100 PCI TX рфряЄхЁ (3C905B-TX)
0x10004 ...xx xx xx xx xx xx ...... Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller
0x100005 ...xx xx xx xx xx xx ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 81.176.2xx.1 81.176.2xx.xxx 21
0.0.0.0 0.0.0.0 192.168.0.20 192.168.0.20 1
81.176.2xx.0 255.255.255.0 81.176.2xx.xxx 81.176.2xx.xxx 20
81.176.2xx.yy 255.255.255.255 81.176.2xx.xxx 81.176.2xx.xxx 20
81.176.2xx.xxx 255.255.255.255 127.0.0.1 127.0.0.1 20
81.255.255.255 255.255.255.255 81.176.2xx.xxx 81.176.2xx.xxx 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.20 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.0.255 255.255.255.255 192.168.0.20 192.168.0.20 50
192.168.10.0 255.255.255.0 192.168.10.1 192.168.10.1 30
192.168.10.1 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.10.255 255.255.255.255 192.168.10.1 192.168.10.1 30
224.0.0.0 240.0.0.0 81.176.2xx.xxx 81.176.2xx.xxx 20
224.0.0.0 240.0.0.0 192.168.10.1 192.168.10.1 30
224.0.0.0 240.0.0.0 192.168.0.20 192.168.0.20 1
255.255.255.255 255.255.255.255 81.176.2xx.xxx 81.176.2xx.xxx 1
255.255.255.255 255.255.255.255 192.168.0.20 192.168.0.20 1
255.255.255.255 255.255.255.255 192.168.10.1 192.168.10.1 1
Основной шлюз: 192.168.0.20
===========================================================================
Постоянные маршруты:
Отсутствует

Вот ipconfig/all до подключения:

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : med
Основной DNS-суффикс . . . . . . : local.local
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : local.local

Интерфейс RAS-сервера - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : xx-xx-xx-xx-xx-xx
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 0.0.0.0
Маска подсети . . . . . . . . . . : 0.0.0.0
Основной шлюз . . . . . . . . . . :

DSL - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : 3Com EtherLink XL 10/100 PCI TX адаптер (3C905B-TX)
Физический адрес. . . . . . . . . : xx-xx-xx-xx-xx-xx
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 81.176.2xx.xxx
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 81.176.2xx.1
DNS-серверы . . . . . . . . . . . : 127.0.0.1
NetBIOS через TCP/IP. . . . . . . : отключен

Home - Ethernet адаптер:

DNS-суффикс этого подключения . . : local.local
Описание . . . . . . . . . . . . : Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller
Физический адрес. . . . . . . . . : xx-xx-xx-xx-xx-xx
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.10.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 127.0.0.1

После подключения:

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : med
Основной DNS-суффикс . . . . . . : local.local
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : local.local
work.local

Интерфейс RAS-сервера - PPP адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : xx-xx-xx-xx-xx-xx
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 0.0.0.0
Маска подсети . . . . . . . . . . : 0.0.0.0
Основной шлюз . . . . . . . . . . :

DSL - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : 3Com EtherLink XL 10/100 PCI TX адаптер (3C905B-TX)
Физический адрес. . . . . . . . . : 00-10-4B-86-F6-BF
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 81.176.2xx.xxx
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 81.176.2xx.1
DNS-серверы . . . . . . . . . . . : 127.0.0.1
NetBIOS через TCP/IP. . . . . . . : отключен

Home - Ethernet адаптер:

DNS-суффикс этого подключения . . : local.local
Описание . . . . . . . . . . . . : Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller
Физический адрес. . . . . . . . . : xx-xx-xx-xx-xx-xx
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.10.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 127.0.0.1

VPN Work - PPP адаптер:

DNS-суффикс этого подключения . . : work.local
Описание . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Физический адрес. . . . . . . . . : xx-xx-xx-xx-xx-xx
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.20
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз . . . . . . . . . . : 192.168.0.20
DNS-серверы . . . . . . . . . . . : 192.168.0.1
Основной WINS-сервер . . . . . . : 192.168.0.1

Как бороться с этими ошибками? Что и как надо настроить? Помогите!!!

Как надо отредактировать правило FTP, чтобы пользователь мог не только качать инфу с инетовского ftp, но и заливать на него?

Simplestas

Цитата:

Нужно публиковать не Web-сервер, а совершенно другого типа.

Извини, невнимательно прочитал.

Цитата:

VPN-сетка провайдера

Такой вещи не бывает. Может быть обычная локальная сеть с доступом извне по VPN. И тут наверно только одна возможность (средствами ИСЫ) - Site-to-Site VPN Tunnel. Хотя сразу оговорюсь, что могут быть и другие способы, но я их не вижу...

Да, а как Publishing не работает? Не создается правило, или создается, но не работает?

kaskad
Правой кнопкой на правиле с FTP, Configure FTP, снять галку Read Only (When Read Only is selected, FTP uploads will be blocked).

Добавлено:
Simplestas
Попробуй такой вариант: делаешь публикацию как обычно. Потом лезешь в свойства правила, в Networks ставишь All Networks, а на закладке From сделай новый Computer Set или Address Range или Subnet для сетки, куда публикуешь, и проверь, может будет работать.

Asker80

Цитата:

Такой вещи не бывает

Как это не бывает? Бывает. У нас стояли ADSL - каналы, у которых не было реальных IP, а были только фиктивные, и компьютеры из одной сети могли видеть другие. Это я называю провайдерским VPN-ом. Теперь везде стоит ISA, и был организован VPN её силами (поверх провайдерского). И все было хорошо. Но теперь нужно организовать VPN с другим филиалом, который не входит в нашу провайдерскую VPN-сеть. Стандартными Network Rules-ами не получилось сделать так, чтобы пакеты бегали из одной сети в другую, думал сделать порт-маппинг [для одной программы] с помощью паблишинга, но работает только в сеть External, даже если на закладке "Networks" выбрать вообще все сети.

kaskad

Цитата:

Как надо отредактировать правило FTP, чтобы пользователь мог не только качать инфу с инетовского ftp, но и заливать на него?

Разрешить в свойствах протокола Upload

DKazakov
Опоздал
http://forum.ru-board.com/topic.cgi?forum=8&bm=1&topic=14455&start=20#18

Добавлено:
Simplestas
Тады даж не знаю... Когда ВПН на ВПНе сидит и ВПНом погоняет

Гм.
такая проблема, не могу добовлять/изменять файлы на любых фтп-серверах.
Т.е. конектится нормально, броузинг тоже всё нормально. А вот пробуешь что-то залить/добавить/создать папку - фтп сервер возращает - нету прав.

В исе стоит(уже пробывал) - из интернал ту екстернал - весь трафик, по всем протоколам.

Чтобы это могло быть?

Keugh
Посмотри в свойстве FTP протокола в правиле - не стоит ли галка Read Only.

EZH

ага.. так и было.
Уже на прошлой странице прочитал %))

Porolonchik

Цитата:

0.0.0.0 0.0.0.0 192.168.0.20 192.168.0.20 1

смотри метрка маршрута равна 1 значит любые соединения идущие на не известные IP будут через нее, т.о. если на домашнем компе пропишешь в прокси адрес рабочей ИСЫ и разрешишь выход в инет, то инет появиться.
Если на простом компе создавать VPN подключение то там можно задать какой шлюз ставить по умолчанию, старый или новый после успешного подлючения VPN.

Добавлено:
Как забанить пользователей Operы и FireFox, разрешить только IExplorer?
стоит ISA 2000.

Есть у кого-то уже наработаный фильтр порнухи?
Ато скачал, но его вражены англичане делали, они в спиок порнухи яндекс/мейлру/рамблер запихали, и не известно что ещё - не охота это во время работы выявлять и разлбокировать=))

возвращаясь к проблеме
шифрования трафика через IPSec между ISA Server 2004 и клиентами (чтобы юзеры не сниферели друг дружку).

настройки на сервере MS Server 2003 Std + ISA Server 2004 Std:
- настройка IPSec шифрования: IP Security Policies on Loal Computer: Server (Request Security)
- запретить IP routing: оснаска управления ISA Server: Configuration->General->Define IP Preference->IP Routing - убрать галку в Enable IP routing
- создать правило для пропускания шифрованного трафика: оснаска управления ISA Server: название - IPSec, протоколы: IKE Client, IPSec ESP, From/To: Internal, Local Host

настройки на клиенте Windows XP Professional SP2:
- настройка IPSec шифрования: IP Security Policies on Loal Computer: Client (Respond Only)
- установить FW клиента ISA 2004

проверить тип шифрования для каждого клиента можно в IPSec Monitor
если все нормально, то трафик идет по ESP, там ничего не видно

если получилось, дальше можно оптизировать, ограничивать правила как IPSec так и ISA.

yurynok

Цитата:

Как забанить пользователей Operы и FireFox, разрешить только IExplorer?
стоит ISA 2000.

Добавь в Firewall Client Settings записи: Opera->DisableEx и [имя exe-ka FireFox]->DisableEx

Добавлено:
Не заметил что ISA 2000. Но там вроде бы тоже есть что-то похожее.

Вопрос.
Правильно понимаю, что нет возможности опубликовать почтовый сервер, "висящий" на external интерфейсе.
Хочется "слушать" на внешнем интерфейсе ISA2004 сервера (25 порт) и "публиковать" на IP адрес почтовика, который находится тоже "снаружи".

Посмотреть весь трафик.
ИСА 2004 не отображает трафик мыла (при формировании отчетов
- как его посчитать может кто подскажет?
хотя логи по мылу ведуться

GastonR

клиент не стоит, и ставить не хочу, программы сторонней нет случайно?

RED1973
Не понял вопрос. Опубликовать можно сервер, висящий либо на компе с ИСОй, либо за ним. Что непонятно?

Добавлено:
Если потовик должен висеть за ИСОй и иметь реальный IPшник, то DMZ тебе поможет.

Цитата:

Хочется "слушать" на внешнем интерфейсе ISA2004 сервера (25 порт) и "публиковать" на IP адрес почтовика, который находится тоже "снаружи".

а эти интерфейсы разные или один и тот же?

yurynok

Цитата:

клиент не стоит, и ставить не хочу, программы сторонней нет случайно?

программы нет, и чесно говоря не интересовался такой программой. Посмотри у Microsoft в разделе партнеров. Ссылка здесь . Я смотрел, вроде бы ничего такого нет. Но мог английский не позволяет утверждать что-либо наверняка

RED1973
абсолютно правильно понимаешь.

Keugh
А можешь поделить тем, который есть? И мне бы ещё список сайтов всех производителей разного там оборудования компьютерного. Имею честь работать в маленькой конторке по продаже компов, хочу продавцам инет урезать. А то начальство уже плешь проело.

Можики, так я так и не понял. Победил ли кто вот это:
Event Type:    Error
Event Source:    Microsoft Firewall
Event Category:    None
Event ID:    14057
Date:        12.03.2006
Time:        12:18:08
User:        N/A
Computer:    KVISA
Description:
The Firewall service stopped because an application filter module C:\Program Files\Microsoft ISA Server\w3filter.dll generated an exception code C0000005 in address 6477DCC5 when function CompleteAsyncIO was called. To resolve this error, remove recently installed application filters and restart the service.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

Как правильно разрешить ICQ? Я удалил правило разрешающее всё изнутри наружу и неожиданно перестала работать аська на членах рабочих групп. Причём именно пятая версия (4я работает). У членов домена всё окей.

Правила прилагаю рисунком.
http://forum.ixbt.com/post.cgi?id=attach:7:19208:1878:1

В логах вот что:

0.0.0.0 MSMSGS No Proxy SERVER 207.46.7.14 TCP application/x-msn-messenger Internet - - - Compression: client=Yes, server=Yes, cache=No, compress rate=0% decompress rate=0% - - - 0 234 306 337 200 0x40000004 0x580 Web Proxy Filter 13.03.2006 15:30:01 207.46.7.14 80 http Allowed Connection WEB internal (workgroup)->external 192.168.20.21 anonymous Internal External POST http://207.46.7.14/gateway/gateway.dll?Action=poll&a…=1008345386.26210

0.0.0.0 MSMSGS No Proxy SERVER 207.46.7.14 TCP application/x-msn-messenger Internet - - - Compression: client=Yes, server=Yes, cache=No, compress rate=0% decompress rate=0% - - - 0 266 305 337 200 0x40000004 0x580 Web Proxy Filter 13.03.2006 15:30:21 207.46.7.14 80 http Allowed Connection WEB internal (workgroup)->external 192.168.20.21 anonymous Internal External POST http://207.46.7.14/gateway/gateway.dll?Action=poll&a…=1008345386.28367

0.0.0.0 MSMSGS No Proxy SERVER 207.46.7.14 TCP application/x-msn-messenger Internet - - - Compression: client=Yes, server=Yes, cache=No, compress rate=0% decompress rate=0% - - - 0 313 306 336 200 0x40000004 0x580 Web Proxy Filter 13.03.2006 15:30:42 207.46.7.14 80 http Allowed Connection WEB internal (workgroup)->external 192.168.20.21 anonymous Internal External POST http://207.46.7.14/gateway/gateway.dll?Action=poll&a…D=1008345386.7899

0.0.0.0 MSMSGS No Proxy SERVER 207.46.7.14 TCP application/x-msn-messenger Internet - - - Compression: client=Yes, server=Yes, cache=No, compress rate=0% decompress rate=0% - - - 0 282 341 337 200 0x40000004 0x580 Web Proxy Filter 13.03.2006 15:31:02 207.46.7.14 80 http Allowed Connection WEB internal (workgroup)->external 192.168.20.21 anonymous Internal External POST http://207.46.7.14/gateway/gateway.dll?Action=poll&a…=1008345386.13558

0.0.0.0 MSMSGS No Proxy SERVER 207.46.7.14 TCP application/x-msn-messenger Internet - - - Compression: client=Yes, server=Yes, cache=No, compress rate=0% decompress rate=0% - - - 0 250 306 337 200 0x40000004 0x580 Web Proxy Filter 13.03.2006 15:31:22 207.46.7.14 80 http Allowed Connection WEB internal (workgroup)->external 192.168.20.21 anonymous Internal External POST http://207.46.7.14/gateway/gateway.dll?Action=poll&a…=1008345386.19262

0.0.0.0 MSMSGS No Proxy SERVER 207.46.7.14 TCP application/x-msn-messenger Internet - - - Compression: client=Yes, server=Yes, cache=No, compress rate=0% decompress rate=0% - - - 0 250 306 337 200 0x40000004 0x580 Web Proxy Filter 13.03.2006 15:31:42 207.46.7.14 80 http Allowed Connection WEB internal (workgroup)->external 192.168.20.21 anonymous Internal External POST http://207.46.7.14/gateway/gateway.dll?Action=poll&a…=1008345386.18628

и так далее...

Почему бы в правило "chat" в поле from не добавить workgroup? все равно ведь стоит All Users

А смысл? Тогда члены домена не смогут аськой пользоваться. Workgroup это диапазон ай пи адресов компьютеров не членов домена. Кстати выяснилось что не работает аська только на тех компах где стоит FWC. От версии аськи не зависит ничего.

Цитата:

А смысл? Тогда члены домена не смогут аськой пользоваться.

Это почему это... Никто не запрещает в поле FROM указывать несколько источников:
Internal
Workgroup


Цитата:

Кстати выяснилось что не работает аська только на тех компах где стоит FWC.

Еще можно попробовать в Define Firewall Client Settings добавить:
имя_exe_аськи.exe -> Disable -> 1
Тогда FWC не будет перехватывать траффик от аськи (кажись так).