» Microsoft ISA Server 2006/2004/2000 (Часть II)

demondeimos
Чем не устроил Surf Control, последние версии по моему стабильные, работаю нормально.

To All
Небольшая оговорочка для тех кому говорили что шейперов для исы очень много, их много, не спорю, но нормально сломанных НЕТ. Это так к слову, чтобы люди зря не обнадеживались...

Цитата:

demondeimos
Чем не устроил Surf Control, последние версии по моему стабильные, работаю нормально.

To All
Небольшая оговорочка для тех кому говорили что шейперов для исы очень много, их много, не спорю, но нормально сломанных НЕТ. Это так к слову, чтобы люди зря не обнадеживались...

тем что сервак тормозить начинает и скорость в итоге падает. у меня сервак не настолько мощный чтобы вытянуть Сурфа.

INTERESANT
Я же дал ссылку на оф. сайт. В лом зайти и посмотреть прайз?

demondeimos
Хочешь верь хочешь нет, у меня конфигурация такая - проц 2.0 ггц, оперативки 512 (обычная ддр), два винта (идэе обычные), на всем этом стоит иса, sql сервер, и surf control. И все нормально тянет. Небольшая оговорка - в инет ходит всего 15 юзеров.

Цитата:

demondeimos
Хочешь верь хочешь нет, у меня конфигурация такая - проц 2.0 ггц, оперативки 512 (обычная ддр), два винта (идэе обычные), на всем этом стоит иса, sql сервер, и surf control. И все нормально тянет. Небольшая оговорка - в инет ходит всего 15 юзеров.

хорошая оговорочка а все же: что можно воткнуть кроме сурфа?

demondeimos
По моему NetFee умеет это делать...

Здравствуйте. Предпологается установить Win2003EE, MDaemon 8.13 т.е. машина чистый почтарь (сразу оговорюсь, живая машина будет недели через две, поэтому сейчас занимаюсь теоретической подготовкой Шиндер и т.д.) Верны ли созданные правила? Исходил из того, что ISA и MDaemon работают как сервисы. В Domain Name Sets указаны сервера обновления антивируса для MDaemon. Нужно-ли создавать правило для DNS или достаточно правила 7 в системной политике? Достаточно применить их к System and Network Service или нужно добавить пользователя входа в систему?

Allow SMTP from Local Host to external for System and Network Service
Allow SMTP server from external to Local Host for System and Network Service
Allow Http/https,FTP from Local Host to Domain Name Sets for System and Network Service

Люди добрые помогите новичку с Исой 2004
установил на шлюз ИСУ
интернет есть на Исе , но дальше в сеть не проходит.
Пингую из сети и достукиваюсь только до внешней сетевки ИСы, но не дальше, хотя с исы куда хочу туда и пингую
Настройки правил везе все могут
Сетевые настройки в исе стоят по умолчанию (не трогал)
привожу route print с Исы
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.16.250 192.168.16.1 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.1.0 255.255.255.0 192.168.1.1 192.168.1.1 20
192.168.1.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.1.255 255.255.255.255 192.168.1.1 192.168.1.1 20
192.168.16.0 255.255.255.0 192.168.16.1 192.168.16.1 20
192.168.16.1 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.16.255 255.255.255.255 192.168.16.1 192.168.16.1 20
224.0.0.0 240.0.0.0 192.168.1.1 192.168.1.1 20
224.0.0.0 240.0.0.0 192.168.16.1 192.168.16.1 20
255.255.255.255 255.255.255.255 192.168.1.1 192.168.1.1 1
255.255.255.255 255.255.255.255 192.168.16.1 192.168.16.1 1
Основной шлюз: 192.168.16.250
на какие грабли я наступил?

Проверь настройку внутренней сети в ИСЕ, какие подсети в нее входят? Поскольку внешний Айпишник у тебя серый, при неверной настройке ИСА может считать обе сети (внутреннюю и внешнюю) одной и той же внутренней сетью со всеми вытекающими.

Цитата:

Люди добрые помогите новичку с Исой 2004
установил на шлюз ИСУ
интернет есть на Исе , но дальше в сеть не проходит.
Пингую из сети и достукиваюсь только до внешней сетевки ИСы, но не дальше, хотя с исы куда хочу туда и пингую
Настройки правил везе все могут

у тебя DNS правильно поднят?

Вопрос возник такой: есть сервер с поднятым ВПН. Есть клиент, который к этому серверу коннектиться. Коннектиться без проблем, но потом ноль эмоций. Ни пинг, пи шары не видно. Что я пропустил?

Правила созданы для Vpn ? Тот же самый ping например.

Antdik
что то не врублюсь, у тебя "чистый почтарь" или все такие на него же и ису поставишь? судя по правилам все таки второй вариант )
а как твои сервисы аутенфицироваться будут?
первые два правила можно обьединить в одно

Добавлено:
demondeimos
проверь какой ип получает клиент
и как сказано выше проверь network rules и firewall policy для сети vpn clients

Создал Site-to-Site IPSec VPN в точном соответствии с инструкцией (см., к примеру, http://www.msfirewall.org/isa2004/ipsecsitetosite/sitetositeipsec.htm)

Windows 2003
ISA2006/2004 (на обеих версиях проверял, результат один)

Проблема вот в чем.
Создаеются Site-To-Site IPSec туннель, в мониторинге он отображается нормально.
Но пакеты от хоста до хоста удаленного офиса не проходят. Не пропускаются локальной ИСОй. Логи говорят вот что:

192.168.101.10 PROXY-VM - ICMP - - 11.09.2006 7:43:40 0 0 0 0 0x800704cc ERROR_ADDRESS_NOT_ASSOCIATED 0x0 0x0 Firewall - 11.09.2006 13:43:40 192.168.103.10 0 PING Failed Connection Attempt All Access 192.168.101.10 Internal PermTest - -

Т.е. маршрут до удаленной VPN-подсети не найден. В правилах трафик разрешен (весь в обе стороны!)
Я так понимаю, что ИСА не может прописать маршрут до удаленной VPN сети.... Как это сделать?

В чем может быть проблема?

Ilipin
вот этот пункт точно сделал?
http://www.msfirewall.org/isa2004/ipsecsitetosite/sitetositeipsec.htm#_Toc64301268

Люди, обращаюсь к вам со следующим вопросом:
Есть ИСА 2004, в сети расположена следующим образом:

10.0.3.x-------ISA-------(10.0.1.x)-------[router]--------Inet

Необходимо чтобы компы из подсети 10.0.1.x могли использовать ису в качестве web-proxy. Пробовал делать следующее:
Network rules:
internal lan2(subnet) route
lan2(subnet) internal route
Internal external(exclude lan2) NAT
Внутренний интерфейс они видят, прописываю в браузере в качестве прокси, никакого результата. Если пробовать из подсети 10.0.3.x то все работает нормально.
Подскажите что можно сделать

Core ghoule
а у тебя 10.0.1.x очевидно сидит в external (судя по топологии и это правильно), а для external webproxy не разрешен, там даже галочки нет чтобы разрешить )

кстати здесь достаточно первого правила )

Цитата:

internal lan2(subnet) route
lan2(subnet) internal route

hardhearted
Да, конечно стоит ISA а за ней MDaemon (извините за неточность)

Цитата:

а как твои сервисы аутенфицироваться будут?

Можно чуть подробнее? Я так понимаю что если MDaemon загружается как сервис, в правилах и надо это указать.
И по поводу DNS нужно-ли для него создавать правило Internal-External или достаточно п.7 системных

Antdik
не путай народ, у тебя иса и демон НА одном серваке? )
ну вот а я про что, как твои сервисы будут аутенфицироваться если они на исе стоят? они всегда будут анонимами, поэтому правила делай эти для all users.
чтобы сама иса резолвила п7 будет достаточно, если конечно у тебя иса не настроена на внутренние dns, которые сами запрашивают снаружи )

Итак, вышла новая 2006.
Сюрпризы полетели сразу...
1. Не апгрейдится нормально.... Полное уродство, но все правила и настройки как я зыком слизывает. Вернуть невозможно... Хотя по ходу установки пишет что куда то их бекапит...
В мануале про режим апгрейда ничего нет (глубоко не копал).
2. перетерпел мучения переустановки и заново все настроил... сюрприз еще один вышел..
Перестал работать DUC (динамический днс сервис) - пользуется портом 8245. В списке правил стоит пускать саму ISA машину всюду по всем протоколам. DUC на самой ISA и стоит (stream ADSL). В логах строки типа
Network    HTTP Method    URL    Log Record Type
xx.xx.xx.107ISA    -        TCP    -                        -                11.09.2006 14:00:48    17657    0    0    0    0xc0040030
FWX_E_OUTBOUND_PATH_THROUGH_DROPPED        0x0    0x0    -    11.09.2006 18:00:48    204.16.252.97    8245    DynamicDNS        Denied Connection        xx.xx.xx.107        Local Host    External    -    -    Firewall

Почему Denied не пишет... Пустая графа. Плиз хелп ми...

XAN
если я правильно помню на офсайте дока по миграции с 2004 на 2006 постоянно висела

XAN
если внимательно прочесть документацию, то всё получится.
Upgrading ISA Server 2004 Enterprise Edition to ISA Server 2006 Enterprise Edition

Upgrading ISA Server 2004 Standard Edition to ISA Server 2006 Standard Edition

На оффсайт не бегал. Читал доки на диске. Обычно тулза ставясь предупреждает о чем то. Я прочел чего она сделать собирается. Вроде ничего опасного. Вообщем народ имейте ввиду оффсайты с ссылками. А то западло настигнет вас.
То что там написано я интуитивно пробовал. Импорт бекапа конфигурации обломался... я не смог импортировать его. ПРобовал импортировать правила фаирволла отдельно, тоже не вышло. Может из-за того что объекты какие то нестандартные были.

Denied был из-за отсутствия галки в свойствах дозвона Configure ... as the default gateway. Судя по таблице ротинга гейт дайлапа и так был дефолтным. Зачем эта галка тогда не совсем понятно. Или сама ISA не понимает ей сказать надо... Для чего кто знает ?

У меня еще локалка к ISA подключена, и-нет через стрим.

P.S. по ходу дела недавно видел и даже вроде скачал какой то шейпер для ISA, но на работе куча файл серверов - куда положил не помню. Хоть название шейпера бы вспомнить. МОжет кто подскажет ?

Пропиисал правила в обе стороны
from
Internal
Local Host
All Netwirk
All Protected Network
to
VPN Clients
VPN
VPN Ip range
траффик разрешен весь.
то же самое правило в обратном направлении так же на весь траффик разрешить.
В логах: доступ запрещен
Причем каким правилом запрещен не пишется. Просто запрещен. Логи файерволла.
Что надо прописать?

Добавлено:
к сказанному выше: в логах есть такая запись: FWX_E_INVALID_PROTCOL_PACKET_DROPPED 0xC0040028

Добавлено:
Причем в сессиях пишется что клиент соединился. Айпи раздается из выделенного дивапазона. Нормально получается.

demondeimos
Подробности в студию
Что именно ты хочешь сделать, кому куда доступ дать ? Какая у тебя топология сети? Ну и прочие нюансы

Цитата:

demondeimos
Подробности в студию

что именно интересует?


Добавлено:
ТАк, немножко переделал настройки:
коннектиться, получает айпи.
Но, при попытке пинга появляется только инитиатед коннектион и все. А в самом окошке с пингом превышено время ожидания.

Раньше было Денайд в логе и Узел недоступен в пинге.

это прогресс? если да, то куда смотреть дальше?

demondeimos
Ну объясни токлком чего ты пытаешься сделать, может тогда смогет кто чего подсказать.

Цитата:

demondeimos
Ну объясни токлком чего ты пытаешься сделать, может тогда смогет кто чего подсказать.

делаю вот что: у меня поднят win2003 server RC2 с MS ISA 2004 EE. В исе сейчас поднимаю VPN.
Сначала все было запрещено в логах. И узел, в смысле клиент, был недоступен.
Теперь в логах исы инитиатед коннектион, а пинг выдает превышено время ожидания запроса.
т.е. я ни я не вижу клиента, ни он меня. но в сессиях я вижу, что клиент подключился.
как сделать чтобы клиент по ВПН увидел мою машину, в смысле сервер и шары на ней.

Проверь чтобы в network rules было правило VPN clients to Internal Route
Задай разрешающее правило All outbound traffic -> from all networks -> to all networks -> all users, перезагрузи на всякий случай ису и проверь еще раз.

Цитата:

Проверь чтобы в network rules было правило VPN clients to Internal Route
Задай разрешающее правило All outbound traffic -> from all networks -> to all networks -> all users, перезагрузи на всякий случай ису и проверь еще раз.

правило разрешить все в ВПН и из ВПН у меня стоят.

Добавлено:
у меня такое чувство что тут засада будет в Маршрутизации и удаленном доступе.
Вот сейчас у меня два клиента к ВПН подключены. И ни один не пингуется.