Цитата:
у меня такое чувство что тут засада будет в Маршрутизации и удаленном доступе. Вот сейчас у меня два клиента к ВПН подключены. И ни один не пингуется.
Пингуешь по имени или по ИП?
» Microsoft ISA Server 2006/2004/2000 (Часть II)
Цитата:
Пингуешь по имени или по ИП?
сейчас вот эта проблема:
Цитата:
что надо где прописать?
Цитата:
In a remote site network scenario that uses PPTP or L2TP tunneling protocols, the ISA Server computer may not have a default gateway configured. When no default gateway is defined, a static route is not added between ISA Server and the remote site gateway. Because there is no route, traffic from the remote site gateway is perceived as spoofing€”and the traffic is denied. Add a default gateway. You can specify a dummy default gateway.
что надо где прописать?
Многоуважаемый all.
Возник такой вопрос по subj - можно ли с его помощью запретить или ограничитить каким-либо образом скачивание файлов больше определенного размера?
Возник такой вопрос по subj - можно ли с его помощью запретить или ограничитить каким-либо образом скачивание файлов больше определенного размера?
Цитата:
Многоуважаемый all.
Возник такой вопрос по subj - можно ли с его помощью запретить или ограничитить каким-либо образом скачивание файлов больше определенного размера?
ставь СурфКонтрол и там вроде можно
Добавлено:
Цитата:
Пингуешь по имени или по ИП?
по айпи и по имени: ноль эмойций. в логах блок потому что спуфинг
demondeimos
а у твоей исы default gateway то есть?
а у твоей исы default gateway то есть?
Kostkon
Слушай, подскажи по поводу firewall'ного клиента.
Найти то я его нашел, но вот вопрос, почему при установке он неставиться и шара несоздается....?
Слушай, подскажи по поводу firewall'ного клиента.
Найти то я его нашел, но вот вопрос, почему при установке он неставиться и шара несоздается....?
demondeimos, SergR
Цитата:
да, там можно организовать так называемое квотирование (по хостам, пользователям), но пока человек не докачает файл, не будет защитано что он превысил лимит... то есть, если вы поставите ему лимит 1 Мб в день, а он начнет сразу качать 100 Мб, он его скачает, а уж потом SurfControl поймет что его обманули, но будет поздно
Как это не прискорбно, но такого реализовать нельзя
AlexRNeos
а ты когда ставишь сервак, выбери Custom Installation и поставь галку установки шары клиентской части
Цитата:
ставь СурфКонтрол и там вроде можно
да, там можно организовать так называемое квотирование (по хостам, пользователям), но пока человек не докачает файл, не будет защитано что он превысил лимит... то есть, если вы поставите ему лимит 1 Мб в день, а он начнет сразу качать 100 Мб, он его скачает, а уж потом SurfControl поймет что его обманули, но будет поздно
Как это не прискорбно, но такого реализовать нельзя
AlexRNeos
а ты когда ставишь сервак, выбери Custom Installation и поставь галку установки шары клиентской части
Цитата:
demondeimos
а у твоей исы default gateway то есть?
нет конечно
а пакеты так... кто куда ходят есть конечно. ларчик проще открывался: надо было просто выделить для ВПН IP из другой подсети. тогда ИСА не будет считать этот трафф спуфингом.
hardhearted
Цитата:
Да, конечно. Network Rule есть, но ИСА ругается, что невозможно создать маршрут в маршрутной таблице. Соответственно, пакеты между сетями не ходят.
Цитата:
http://www.msfirewall.org/isa2004/ipsecsitetosite/sitetositeipsec.htm#_Toc64301268
Да, конечно. Network Rule есть, но ИСА ругается, что невозможно создать маршрут в маршрутной таблице. Соответственно, пакеты между сетями не ходят.
demondeimos
Цитата:
Да , я то-же с этим долго бился . А решение очень простое . ISA 2004 и ISA 2006 убивают любой пинг направленный на защищенные машины . Делает вид будто их нет вовсе . И это правильно , максимальная защита . А чтоб видеть шары нужно в ISA разрешить NetBios из локал в интернал и обратно .
Цитата:
Теперь в логах исы инитиатед коннектион, а пинг выдает превышено время ожидания запроса.
т.е. я ни я не вижу клиента, ни он меня. но в сессиях я вижу, что клиент подключился.
как сделать чтобы клиент по ВПН увидел мою машину, в смысле сервер и шары на ней.
Да , я то-же с этим долго бился . А решение очень простое . ISA 2004 и ISA 2006 убивают любой пинг направленный на защищенные машины . Делает вид будто их нет вовсе . И это правильно , максимальная защита . А чтоб видеть шары нужно в ISA разрешить NetBios из локал в интернал и обратно .
Цитата:
demondeimos, SergR
Цитата:ставь СурфКонтрол и там вроде можно
да, там можно организовать так называемое квотирование (по хостам, пользователям), но пока человек не докачает файл, не будет защитано что он превысил лимит... то есть, если вы поставите ему лимит 1 Мб в день, а он начнет сразу качать 100 Мб, он его скачает, а уж потом SurfControl поймет что его обманули, но будет поздно
Не, мне общее ограничение не нужно, мне нужно чтобы не скачивались файлы больше определенного размеры. Ветку про СурфКонтрол читал - уж больно с этой прогой гемора много... Чистая иса без этих приблуд у меня работает как часики - не хочется этого портить.
Привет честной компании!
Подскажите где качнуть хотфиксы на ИСА 2004.
Желательно эти:
h**p://www.bsplitter.com/rus/forum/viewtopic.php?t=71&view=previous&sid=8f24fbd35150a22a4081aaceac0e5bb9
Совсем запутался я на мелкомягких.
Подскажите где качнуть хотфиксы на ИСА 2004.
Желательно эти:
h**p://www.bsplitter.com/rus/forum/viewtopic.php?t=71&view=previous&sid=8f24fbd35150a22a4081aaceac0e5bb9
Совсем запутался я на мелкомягких.
demondeimos
Цитата:
а ты в настройке впн руками задавал из какого дипазона выдавать ип? у меня компы получают ип из той же сети что и локалка.
Добавлено:
ZEF
а че там непонятно, русским по белому написано, что если хочешь фикс звони в суппорт мелкомягких, просто так он не раздается нахаляву)
Цитата:
ларчик проще открывался: надо было просто выделить для ВПН IP из другой подсети. тогда ИСА не будет считать этот трафф спуфингом.
а ты в настройке впн руками задавал из какого дипазона выдавать ип? у меня компы получают ип из той же сети что и локалка.
Добавлено:
ZEF
а че там непонятно, русским по белому написано, что если хочешь фикс звони в суппорт мелкомягких, просто так он не раздается нахаляву
)Раньше с ВПН на исе не работал совсем. Недавно поднял vpn сервер (pptp, l2tp не проверял, технически пока нереализуемо), чтоб из дома юзера могли ходить, и седня заметил что если юзера идут с одного хоста/ip (то есть один домашний провайдер, а все юзера за натом) то подключится может только один, у остальных коннект стопорится на verifying username and password. Это by design или все таки как то лечится?
На юзеров мне конечно плевать, но получилось так что мы с коллегой в одной домашней сети, и одновременно привпнится не можем
(
На юзеров мне конечно плевать, но получилось так что мы с коллегой в одной домашней сети, и одновременно привпнится не можем
( hardhearted
Это фича ната линукса/фри. Проще всего поставить OpenVPN себе.
Это фича ната линукса/фри. Проще всего поставить OpenVPN себе.
Люди, помогите пожалуйста
Есть 2 подсети соединенные ВПН туннелем через 2 ISA 2004 192.168.50.0 и 192.168.100.0
Туннель работает, весь траффик через него разрешен
В 50 подсети на контроллере домена развернут SMS 2003, и работает нормально
но не видит 100 подсеть, хотя в границах сайта она указана
Я подозреваю, что это ISA не пропускает запросы, если кто сталкивался с такой проблемой, то поделитесь опытом пожалуйста, какие правила создать на ISA и что вобще делать, что бы 2 подсетки нормально виделись в SMS?
Есть 2 подсети соединенные ВПН туннелем через 2 ISA 2004 192.168.50.0 и 192.168.100.0
Туннель работает, весь траффик через него разрешен
В 50 подсети на контроллере домена развернут SMS 2003, и работает нормально
но не видит 100 подсеть, хотя в границах сайта она указана
Я подозреваю, что это ISA не пропускает запросы, если кто сталкивался с такой проблемой, то поделитесь опытом пожалуйста, какие правила создать на ISA и что вобще делать, что бы 2 подсетки нормально виделись в SMS?
hardhearted
классно!
НО по понятным всем причинам у меня, наверное, нет шансов обратиться в MS.
За сим просьба: может кто-то имеет нужный хотфикс?
KB920716 или KB919621.
классно!
НО по понятным всем причинам у меня, наверное, нет шансов обратиться в MS.
За сим просьба: может кто-то имеет нужный хотфикс?
KB920716 или KB919621.
ZEF
попробуй поищи здесь
попробуй поищи здесь
Refugee
Цитата:
не совсем понял причем тут никсы, если о исе речь? и кто такой openVPN и чем он мне сможет помочь?
Цитата:
Это фича ната линукса/фри. Проще всего поставить OpenVPN себе
не совсем понял причем тут никсы, если о исе речь? и кто такой openVPN и чем он мне сможет помочь?
Подскажите, откуда можно стянуть русский ISA Server 2004 ...
maestro777
Цитата:
А разве 2004 есть русский ?
2006 русский можно здесь взять - Варезник
Цитата:
Подскажите, откуда можно стянуть русский ISA Server 2004
А разве 2004 есть русский ?
2006 русский можно здесь взять - Варезник
Цитата:
Подскажите, откуда можно стянуть русский ISA Server 2004 ...
Русский isa 2004...
Тада я Дункан Маклауд 
Поищи в варезнике там с исой проблем нету, разве что с русской 2004
видимо никто не знает как прикрутить SMS Server через ISA VPN туннель.......
жалко, потому как надо очень, а уже идей не осталось .........
жалко, потому как надо очень, а уже идей не осталось .........
Бля, Варезник !!! Голова-дырка, забыл совсем. Всем спасибо...
Добрый день. Хотел обсудить 2 момента поданному продукту.
1. Хотел бы услышать мнение народа по поводу ограничения скорости на скачку и по протоколам под ISA2004 какие продукты реально себя зарекомендовали и кто чем пользуется.
2. Хотел бы узнать как настроить публикацию Quake3 Server находящегося в нутри локалки?
1. Хотел бы услышать мнение народа по поводу ограничения скорости на скачку и по протоколам под ISA2004 какие продукты реально себя зарекомендовали и кто чем пользуется.
2. Хотел бы узнать как настроить публикацию Quake3 Server находящегося в нутри локалки?
hardhearted
никсы стоят у твоего домашнего провайдера. OpenVPN работатет по TCP или UDP, так что на него намного меньше влияют косяки провов.
никсы стоят у твоего домашнего провайдера. OpenVPN работатет по TCP или UDP, так что на него намного меньше влияют косяки провов.
Народ - что за ботва с ISA2006ENG ??? ...стоит на win2003standart .... пытаюсь удальть/отключить RRAS навсегда из системы...но блин тут же после перезагрузки служба запущена и в "manage your server" добавлена роль routing and remoute access.... ставлю ISA2004 - все хакей...где эта сволочь(2006) ее (rras) включает?
Господа! Аллилуя! Можно добавлять в FAQ. Победил VPN Site-to-site.
Если ИСА отбрасывает нужные вам пакеты, например при использовании VPN Site-to-site, выдавая ошибку 0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED, то нужно отключать/изменять эту важную и нужную фичу
Вариант 1. http://support.microsoft.com/?kbid=917025
To work around this problem, you must increase the time-out value for IPSec Security Association Idle Timer. To do this, follow these steps:
1. Click Start, click Run, type regedit, and then click OK.
2. Locate and then click the following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Serviecs\IPsec
3. Add the SAIdleTime registry entry. If this entry already exists, modify the value. To do this, follow these steps:
a. Right-click the IPSec registry key, click New, and then click DWORD Value.
b. Type SAIdleTime, and then press ENTER.
c. Right-click the SAIdleTime registry entry, and then click Modify.
d. Click Decimal, type 3600 in the Value data box, and then click OK.
Note The default value for the SAIdleTime registry entry is 300 seconds. The maximum value that you can set for the entry is 3,600 seconds. You must set the value to 3,600.
4. Exit Registry Editor.
5. Restart the computer.
Вариант 2. http://support.microsoft.com/kb/838114
To disable the IP Spoof Detection feature in the Windows registry, follow these steps:
Warning If you use Registry Editor incorrectly, you may cause serious problems that may require you to reinstall your operating system. Microsoft cannot guarantee that you can solve problems that result from using Registry Editor incorrectly. Use Registry Editor at your own risk.
1. Click Start, click Run, type regedit, and then click OK.
2. Locate and then click the following registry subkey:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/FwEng/Parameters
If the Parameters subkey is not displayed, follow these steps to create this subkey:
a. Click the FwEng subkey.
b. On the Edit menu, point to New, and then click Key.
c. To name the key, type Parameters, and then press ENTER.
3. Right-click Parameters, point to New, and then click DWORD Value.
4. To name the value, type DisableSpoofDetection, and then press ENTER.
5. Right-click DisableSpoofDetection, and then click Modify.
6. In the Value data box, type 1, and then click OK.
Warning This setting disables IP Spoof Detection on the ISA Server 2004-based computer. To enable IP Spoof Detection, set the DisableSpoofDetection value to 0. This is the default value.
7. Exit Registry Editor, and then restart the ISA Server 2004 services.
Вроде все. У меня по варианту 2 заработало. Первый не проверял.
Если ИСА отбрасывает нужные вам пакеты, например при использовании VPN Site-to-site, выдавая ошибку 0xc0040014 FWX_E_FWE_SPOOFING_PACKET_DROPPED, то нужно отключать/изменять эту важную и нужную фичу
Вариант 1. http://support.microsoft.com/?kbid=917025
To work around this problem, you must increase the time-out value for IPSec Security Association Idle Timer. To do this, follow these steps:
1. Click Start, click Run, type regedit, and then click OK.
2. Locate and then click the following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Serviecs\IPsec
3. Add the SAIdleTime registry entry. If this entry already exists, modify the value. To do this, follow these steps:
a. Right-click the IPSec registry key, click New, and then click DWORD Value.
b. Type SAIdleTime, and then press ENTER.
c. Right-click the SAIdleTime registry entry, and then click Modify.
d. Click Decimal, type 3600 in the Value data box, and then click OK.
Note The default value for the SAIdleTime registry entry is 300 seconds. The maximum value that you can set for the entry is 3,600 seconds. You must set the value to 3,600.
4. Exit Registry Editor.
5. Restart the computer.
Вариант 2. http://support.microsoft.com/kb/838114
To disable the IP Spoof Detection feature in the Windows registry, follow these steps:
Warning If you use Registry Editor incorrectly, you may cause serious problems that may require you to reinstall your operating system. Microsoft cannot guarantee that you can solve problems that result from using Registry Editor incorrectly. Use Registry Editor at your own risk.
1. Click Start, click Run, type regedit, and then click OK.
2. Locate and then click the following registry subkey:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/FwEng/Parameters
If the Parameters subkey is not displayed, follow these steps to create this subkey:
a. Click the FwEng subkey.
b. On the Edit menu, point to New, and then click Key.
c. To name the key, type Parameters, and then press ENTER.
3. Right-click Parameters, point to New, and then click DWORD Value.
4. To name the value, type DisableSpoofDetection, and then press ENTER.
5. Right-click DisableSpoofDetection, and then click Modify.
6. In the Value data box, type 1, and then click OK.
Warning This setting disables IP Spoof Detection on the ISA Server 2004-based computer. To enable IP Spoof Detection, set the DisableSpoofDetection value to 0. This is the default value.
7. Exit Registry Editor, and then restart the ISA Server 2004 services.
Вроде все. У меня по варианту 2 заработало. Первый не проверял.
Друзья, кто-то публиковал торент-клиента за сабжем?
Я что-то не пойму как это сделать. Порт, на котором слушает клиент опубликовал. Тест показыват, что все нормально и я смогу принимать входящие соединения, но трекер не видит, что у меня опубликовано и вообще оперделяет меня как с закрытыми портами.
В это время на самом сервере в логах валит исходящий исходящий трафик по неописанным портам, который ISA, понятное дело, не пропускает.
Если кто-то скинет ссылку на статью, буду очень признателен.
Я что-то не пойму как это сделать. Порт, на котором слушает клиент опубликовал. Тест показыват, что все нормально и я смогу принимать входящие соединения, но трекер не видит, что у меня опубликовано и вообще оперделяет меня как с закрытыми портами.
В это время на самом сервере в логах валит исходящий исходящий трафик по неописанным портам, который ISA, понятное дело, не пропускает.
Если кто-то скинет ссылку на статью, буду очень признателен.
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667
Предыдущая тема: Запрет использования интернет через GPO
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.