» Microsoft ISA Server 2006/2004/2000 (Часть II)

pridecom
"главное не волнуйся, берешь лист бумаги и с красной строки спокойно пишешь:
"прошу уволить меня по собственному желанию."" (с) не помню откуда, шутка ))
1. созадвать правила толкьо для доменных юзеров
2. любым лог аналайзером способным работать с твоими логами
3. на 2000 про ису ставить нельзя, читай доки на фосайте там пишут на что мона ставить а на что нельзя, и вообще забудь про windows 2000 она уже устарела давно
4. пошаговые инструкторы есть только для электрочайников, а иса достаточно функциональный инструмент, и конфигурировать ее можно по разному зависит от задач, берешь книгу по исе и читаешь. Шиндлеры в этом деле очень не плохи.
ps: а че в ней непонятного, достатоно понятный и простой интерфейс и понятным хелпом, есть правда вещи которые глубоко закопаны но они не всегда и не всем нужны

Помогите плиз.
Какие настройки в правилах и сетях надо сделать на ISA 2004, чтобы она правильно "понимала" две подсети? (192.168.0.0 и 192.168.2.0)
...
Я в Internal добавил вторую подсеть 192.168.2.0 и всё.
Этого достаточно?
(Народ из 2-й подсети ходит в Инет нормально)

shpunt

Цитата:

чтобы она правильно "понимала" две подсети? (192.168.0.0 и 192.168.2.0)

что под этим имеется ввиду? ИМХО если иса пускает в инет значит уже понимает....

Цитата:

(Народ из 2-й подсети ходит в Инет нормально)

ISA 2004 с 2 сетевыми картами, которые соответствуют подсетям LAN и Internet.
LAN находится в подсети 192.168.1.0. В этой-же подсети находится Cisco, соединяющий через VPN с подсетями филиалов 10.0.0.0 и 192.168.2.0.
На всех компьютерах LAN установлен FW клиент. Шлюз по-умолчанию - внутренний адрес ISA сервера.
Проблема в том, что запросы, отсылаемые в подсети филиалов через циску блокируются Исой. Приходится отключать Фаервол-клиенты и прописывать на всех компьютерах LAN маршруты:
route add 10.0.0.0 mask 255.255.248.0 (IP циски) -p
route add 192.168.2.0 mask 255.255.255.0 (IP циски) -p
Как настроить ИСУ, чтобы она игнорировала запросы в подсети филиалов, пересылая их на циску? В ISA 2000 достаточно было на внутреннем интерфейсе прописать выше указанные маршруты и с клиентами проблем не возникало, а с 2004 этот фокус не проходит

Помогите плиз.
Какие настройки в правилах и сетях надо сделать на ISA 2004, чтобы она правильно "понимала" две подсети? (192.168.0.0 и 192.168.2.0)
...
Я в Internal добавил вторую подсеть 192.168.2.0 и всё. А так же роутинг прописал
route add -p 192.168.2.0 mask 255.255.255.0 (IP_внутр_интерфейс)
Этого достаточно?
(Народ из 2-й подсети ходит в Инет нормально)
...
Дело в том, что сразу после перезагрузки сервера появлсяется ошибка:
EventID: 14147
Source: Microsoft Firewall

ISA Server detected routes through adapter Intel(R) PRO/1000 CT Network Connection that do not correlate with the network element to which this adapter belongs. For best practice, the address range of an ISA Server network should match the address ranges routable through the associated network adapter as defined in the routing table. Otherwise valid packets may be dropped as spoofed. (This alert may occur momentarily when you create a remote site network. You may safely ignore this message if it does not reoccur.) The address ranges in conflict are: 192.168.2.0-192.168.2.255;.

На www.eventid.net я нашёл в чём причина. Добавил в правила подсети. Или я неправильно добавил или .. в общем эта ошибка не пропала.

И ещё: после того как кто-то соединяется по VPN с ISA из внешнего мира - она (иса) пропадает из сетевого окружения.

Tabu13
как можно игнорировать "запросы" и при этом пересылать их ) ?
филиалы надо вносить в internal, в lat файл на всех fwc, и на всех компах твоей сетки прописывать маршруты в филиалы что то типа
route add 192.168.2.0 mask 255.255.255.0 (IP циски) -p
просто через ису ходить не получится, вернее из твоей сетки в филиалы получится а обратно нет ) ищи на офсайте понятие tcp statful filter , о нем здесь уже много раз писали, в том числе и я ) или вот почитай
http://www.internetaccessmonitor.ru/rus/products/articles/Network_Behind_A_Network/Network_Behind_A_Network.php

Добавлено:
shpunt
ошибка повторяется? там написано что такая ошибка может возникать при изменении конфигурации.
как у тебя вторая сеть связана с первой?

hardhearted
Она появляется сразу после перезагрузки. После каждой перезагрузки.
Сеть такая:
Интернет шнурок в Циску PIX 501 Firewall - ISA Server 2004 - Свитч обычный неуправляемый.
В свитче сидит вся локалка 192,168,0,0. Так же в свитче сидит 3COM управляемый Свитч, в нём разделяется на 2 подсети 192,168,0,0 и 192,168,2,0 (один шнурок идёт в обычный свитч 192,168,0,0, а второй шнурок 192,168,2,0 идёт на 4-й этаж.)

hardhearted
эту статью Шиндлера я читал, но создание подсетей и правил для них проблему не решают, просто ошибки в эвентлоге пропадут.
Про то что пакеты из филиалов обратно должны тоже через ИСУ проходить - я догадывался. Но вот как это реализовать? Обязательно ставить третью сетевую карточку на ИСУ, делать промежуточную подсеть между циской и Исой? Уж больно не хочется ВПН к ИСЕ привязывать, т.к. циска - она все-таки понадежнее будет. А прописывать на всех компьютерах статические маршруты тоже накладно очень. Потом - при работающем Фаервол-клиенте даже с прописанным статич маршрутом на циску - IP пакеты все равно пытаются через ИСУ в филиалы идти. Только после "Ping IP в филиале" все начинает идти прямо через циску.
Так как же лучше выйти из положения? Можно про tcp statful filter поподробнее? Что с ним делать? Ведь в подобной ситуации, я думаю, находятся многие...

Tabu13
ну как вариант третья сетевуха и циску вешать на третью, можно вообще ису снаружи закрыть циской, то есть оставить две сетевухи просто наружу иса будет попадать через циску, между циской и исой сделать промежуточную сетку (у меня так, тоже куча впн каналов и все на цисках).
TCP Stateful filter, подробно описан на офсайте, и срабатывает только на tcp, udp и icmp работают нормально, если на пальцах то происходит такая штука: комп из филиала коннектится на комп из твоей сетки, пакет с флагом syn (в начале tcp сессии именно такой посылают) идет из филиала через циску прямиком на комп (через ису он не проходит ибо циска в твоей сети она комп видит напрямую) комп отвечает с флагом ack, но ответный пакет (маршрута то нет) идет через default gateway, то есть через ису, а иса видит что пакет ack есть а syn не было (как раз этим анализом и запоминанием что было а чего не было и занимается вышеупомянутый фильтр), исе такие расклады не нравятся, она считает это неправильным и пакетик ack дропает. в обратную сторону будет все ок, syn пойдет через ису, это нормально, а обратно вернется через циску, у циски такой фильтр по умолчанию не включен поэтмоу она не дропнет.
как отключить его и отключается ли он вообще я не знаю.
насчет firewall клиентов то нужно филиальную сеть вписатьна каждом компе в файлик C:\Documents and Settings\All Users\Application Data\Microsoft\Firewall Client 2004\LocalLAT.txt в формате
начальный адресtab(символ табуляции)конечный адрес, например
192.168.2.1 192.168.2.255
маршруты прописывать в своей сети все равно надо
все это можно делать скриптами через доменную политику например.

Добавлено:
shpunt
что то я тогда не пойму у тебя две сетки, между ними даже роутинга нет? какие провода куда идут не важно, логически как они друг друга видят, как вторая сетка видит ису?

hardhearted
Роутинг естественно прописан на управляемом 3COM Switch, в котором сидят два шнурка от первой и второй подсети.
Поэтому все компы из одной подсети прекрасно видят все компы из втрой подсети, и наоборот.
...
Для сетки 192,168,2,0 шлюзом является этот 3COM Switch.
А для первой подсети 192,168,0,0 шлюзом является ISA Server.

hardhearted
спасибо за исчерпывающий ответ!

shpunt
в маршруте надо не внутренний интерфейс исы указывать а ип свича который роутер.


Добавлено:
shpunt
и кстати прочитай то что я на три мессаги выше писал про фильтр, случай похож на твой.

hardhearted

Сорри, всё ок.
В роутинге на вторую подсеть шлюзом указан свитч 192.168.0.111
...
А как ко этот "фильтр" относится?
...
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x1000003 ...00 0c f1 fd 04 ef ...... Intel(R) PRO/100 VE Network Connection
0x1000004 ...00 0c f1 fd 04 ee ...... Intel(R) PRO/1000 CT Network Connectio
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 62.5.140.161 62.5.140.166 1
62.5.140.160 255.255.255.240 62.5.140.166 62.5.140.166 1
62.5.140.166 255.255.255.255 127.0.0.1 127.0.0.1 1
62.255.255.255 255.255.255.255 62.5.140.166 62.5.140.166 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.102 192.168.0.102 1
192.168.0.102 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.0.255 255.255.255.255 192.168.0.102 192.168.0.102 1
192.168.2.0 255.255.255.0 192.168.0.111 192.168.0.102 1
224.0.0.0 224.0.0.0 62.5.140.166 62.5.140.166 1
224.0.0.0 224.0.0.0 192.168.0.102 192.168.0.102 1
255.255.255.255 255.255.255.255 62.5.140.166 62.5.140.166 1
Default Gateway: 62.5.140.161
===========================================================================
Persistent Routes:
None
...
Первая карта 192,168,0,102 смотрит в локалку.
Вторая карта 62,5,140,166 смотрит на Cisco PIX 501 - далее в Инет.

shpunt
хм таблица маршрутизации вроде ок, сеть 192.168.2/24 ты говоришь что в internal включил, должно быть все ок. а tcp stateful filter к тебе относится точно так же как в описанном случае, тока у тебя вместо циски стоит 3com, остальное все такое же.
кстати странный у тебя броадкаст, обычно он на все интерфейсы а у тебя тока на внешний

hardhearted
А как сделать так, чтобы бродкаст был на все интерфейсы?
если можно, по шагам ..

shpunt
не знаю он по умолчанию должен быть на все ) при создании интерфеса такие роуты сами прописываются )

А поддерживает ли ISA UPnP протокол?

Юзаю RA в локалке (домен на Wk2003), шлюз FreeBSD
Нужно удаленно через шлюз заходить в локалку желательно с помощью RA.

Собственно вопрос:
Пытаться на фре сделать редирект на комп в локалке (ВПН невозможно, долго объяснять) или же поставить еще один Wk2003 и там поднять ISA?

кто-нить пробовал с RA такие вещи?

есть-ли смысл ставить Wk2003+ISA вместо FreeBSD

Joker75
А ты не RA пользуй, а NetOp там все делается несколько проще. Не надо ничего никуда пробрасывать. И решение более удобное и кроссплатформенное к тому же. И равернется в локалке автоматом и прочие вкусности.

Joker75
редирект порта (в исе это зовется паблишинг) можно сделать и там и там, никаких проблем не вижу. смысл замены зависит от задач, если текущая платформа не тянет то что нужно то надо искать другие решения если тянет, то и трогать не надо.
GovoruN
пробрасывать надо всегда ) иначе как твой netop залезет внутрь локалки через nat

hardhearted
ему не надо лезть! Ты просто устанавливаешь на своей исе NetOp в режиме GATEWAY и все. И имешь доступ ко всей сетке. Ну открываешь ему один порт наружу. Хочешь его родной 6502 хочешь маскируй его. Мне кажется управлять всей сеткой имея одиноткрытый порт интереснее, чем по порту на каждого клиента открывать. Кроме того он и с точки зрения безопасности поинтереснее огрганизован.

GovoruN
зачем же много портов, любому админу достаточно залезть на свою рабочую машину а с нее уже куда угодно внутри сетки и не надо на ису левоту дырявую ставить )

hardhearted
Ну про левоту ты явно поторопился.
Обычно достаточно критично количество хопов. Ты лезешь на ису, она на админскую тачку, оттуда на ису и в сеть на клиента. В моем случае мы экономим два прыжка, что сильно скажется на времени отклика интерфейса.
я у себя в двух оффисах развернул такую схему и не жалею (оффисы в разных городах). Вариант пробиться с боем на рабочую машину, а потом ломиться с нее к серверам не приемлем. К тому же сервера сидят на гигибите, а вот остальные тачки на сотне... Так что тут тоже выйгрыш. Далее, при моем раскладе не обязательно оставлять на работе включенной админскую машину. И уж точно сервера сильнее защищены по питанию, так что в случае перебоев с питанием ты оставлешь за собой контроль за ситуацией.
PS и напоследок, говоришь на тачку пробраться и все? А на сервер пробраться не надо? Т.е. опять же два порта открытых одни чтобы на сервер пробратьтся, вотрой чтбы на тачку. Или на сервер через админскую машину ползаем?
PPS Я уж не помню как там РА по функционалу? Может он заблокировать клаву пользователю? выключить экран? Сделать чат голосовой? Провести инвентаризацию?

GovoruN
а я про RA и не говорил, мне достаточно для управления нормального RDP, на моем компе и не дай бог на серваках никаких RA нет. RA тока на юзерских машинах чтоб тупым юзерам показывать куда мышью клацнуть.

Добавлено:
и кстати мой комп и гигабитку имеет и по питанию у него все ок, а главное управлять сеткой проще с рабочего компа, не пробрасывать же RPC или NetBIOS через ису

Добавлено:
к тому же если лазить тока на на рабочий а потом на остальные то снаружи будет тока одна сессия, независимо от того скока сессий ты с рабочего открыл, это для домашнего инета намного благоприятнее.

Доброго дня.
Пришёл на работу и в событиях Server 2003 вижу такое:
ID7000
Сбой при запуске службы "Microsoft ISA Server Storage" из-за ошибки
Отказано в доступе.

Соответственно ISA Server 2004 не запускается. Компьютеры не видят сервер. Он даже не пингуется. При попытке запустить службу Microsoft ISA Server Storage выдаёт такое:
Не удалось запустить службу Microsoft ISA Server Storage на Локальный компьютер.
Ошибка 5: Отказано в доступе.

Что можно сделать чтобы решить проблему?

stas999

Цитата:

Отказано в доступе

Попробуй проверить из под какой учетной записи служба стартует.

под системой...так и было всегда

stas999
Какие-нибудь коды ошибок кроме ID7000 выдает?

нет

Добавлено:
kazavo4ka Думаю снести его и установить заново. Но правила, тол я не восстановлю! Бэкап не делал. Или можно правила как-то по другому вытащить?
Может глупый вопрос, но я уже не знаю, что делать.

stas999
Можно попробовать просто repair, но я бы на твоем месте не спешил

Цитата:

Или можно правила как-то по другому вытащить?

Я честно говоря не знаю , может тут умные люди помогут?