» Microsoft ISA Server 2006/2004/2000 (Часть II)

А если удаленная сеть в internal будет прописана?

Infected Switch
тогда в нее пакеты пойдут через внутренний интерфейс ))

блин, чего делать-то? как мне их соединить лучше? ))

Infected Switch
я ж написал, там все элементарно
ты озвуч задачу полностью, а то сначала было прост отри сетевухи теперь откуда то ipsec взялся.

hardhearted, потихоньку начинаю вкуривать что к чему. Действительно всё оказалось не сложно. Пока есть следующие вопросы.
1) Если у меня есть доменая сеть и все клиенты у меня SecureNAT(пока), то для того чтобы в правилах доступа определённое правило применялось к группе компьютеров, я должен все компьютеры входящие в эту группу аутенфицировать по IP- адресу. Так? А по имени компьютера или тем более по имени пользователя ISA отвергнет аутенфикацию и правило не выполниться. Так?

Например, почту хочу дать всем пользователям почту, но не всем Интернет.(За одним компьютером сидит только один пользователь) Интернет хочу дать только пользователям

IP: 192.168.7.14
Имя компьютера: Комп1
Имя пользователя: Ваня

IP: 192.168.7.19
Имя компьютера: Комп2
Имя пользователя: Петя

IP: 192.168.7.26
Имя компьютера: Комп7
Имя пользователя: Коля

Я должен создать группу Куча1 состоящую из 192.168.7.14, 192.168.7.19, 192.168.7.26
И уже правило на Разрешение из ЛВС в Интернет применять к Куча1?
А если я сделаю группу Куча2 состоящую из Комп1, Комп2, Комп3 то ИСА проигнорирует правило с такой групой, потому что все клиенты SecureNAT. Так?

2) Для того чтобы некоторые клиенты ЛВС могли пользоваться терминальным сервером я должен разрешить tcp 3389 от этих клиентов к localhost?

hardhearted
Есть центральная сеть, домен, из двух подсетей (192.168.1.0 и 192.168.2.0 - internal)
На исе было два адаптера LAN & WAN.
Также сть удаленная сеть, организованная через провайдера (172.16.1.0 - пров, 192.168.3.0 - на исе в internal), в ней стоит маршрутизатор, соединяющий эту подсеть с центральной по IPsec туннелю (в центральной сети стоит такой же маршрутизатор).
Как-то глючно эти маршрутизаторы работают, из-за чего я решил поставить на Ису третий адаптер и все организовать через нее. Соответственно нужно сделать ipsec site-to-site.
Но вот чего-то нифига не получилось с первого раза, а времени и возможности на эксперименты особо нет. =\

Доброго всем времени суток.
Может знает кто, можно ли перенести настройки с 2006 версии в 2004??? Именно на старую, а не наоборот!

Infected Switch, может поможет isadocs.ru
-Разрешение доступа к филиалу VPN-клиентам удаленного доступа по VPN-каналу схемы Site-to-Site
-Создание VPN по схеме Site-to-Site с помощью Мастера настройки соединения с филиалом сервера ISA 2006

vicwanderer
да это все ясно и понятно...
мне бы третий интрефейс заставить корректно работать!

vicwanderer
1 открой словарь терминов и пойми наконец разницу между авторизацией и аутенфикацией. по ип иса не аутенфицирует а авторизует.
по имени компа вообще авторизации нет, видимо из-за того что имя компа в пакете не указывается поэтому исе пришлось бы запрашивать обратную зону чтоб по ип выяснить имя, а это влечет задержки и кучу проблем.
В securenat авторизация тока по ip, так что создаешь computer set в который суешь нужные компы (как ты их там назовешь не имеет значения) и создаешь правило разрешающее этому computer set нужный трафик, при этом указываешь All Users.

Цитата:

И уже правило на Разрешение из ЛВС в Интернет применять к Куча1?
А если я сделаю группу Куча2 состоящую из Комп1, Комп2, Комп3 то ИСА проигнорирует правило с такой групой, потому что все клиенты SecureNAT. Так?

этого бреда вообще не понял

2 да, создаешь computer set и ему разрешаешь RDP (как протокол он определен уже в исе), или просто добавляешь этот computer set в system rule 3

Добавлено:
Infected Switch
так, куча воды а ничего не сказал.
провайдерские железяки какие адреса имеют?
как ты интерфейсы настроил?
и вообще лучше напиши адреса всех интерфейсов всех железок (обе исы и обе провайдерские железки), адреса всех сетей, и настройки всех networks на исах, и еще неплохо бы route print обеих иса
с такой инфой можно уже решать, а так тока гадать остается

Еще раз более подробно.

Центральный офис:
На Исе 192.168.1.0 - внутренний диапазон + WAN,
Маршрутизатор м1 - 192.168.1.1 (внутренний адрес), 172.16.1.2 - адрес в сети провайдера + 172.16.1.1 шлюз (ADSL модем)

Удаленный офис:
Маршрутизатор м2 - 192.168.2.1 (внутренний адрес), 172.16.2.2 (адрес в сети провайдера), 172.16.2.1 шлюз (Cisco)
Рабочая станция 192.168.2.2, шлюз 192.168.2.1

Нужно убрать м1 из центрального офиса, добавить и настроить третий интрефейс с адресом 172.16.1.2 на Исе (Иса одна у меня).

Infected Switch
а ipsec тунель которые из этих железок делают?

м1 - м2

Win2003 server sp1
ISA server 2006 RUS standart
В процессе инсталяции ISA замирает на этапе установки дополнительных компонентов. и дальше только убить процесс.
Соответсвенно нормально работать потом отказывается, т.к. не может запустить одну из своих служб.
Ставил с правами админа домена, причём пробовал на 2-х разных машинах.
Кто-нибудь сталкивался с подобным?

ЗЫ: ИСУ качал с рубордовского трэкера.

Infected Switch
если ты уберешь м1 кто тогда тунель будет делать?

hardhearted
эти обязанности я и хочу на ису переложить

hardhearted, спасибо заответ, но ... уже сделал.
"открой словарь терминов и пойми наконец разницу между авторизацией и аутенфикацией" ну перепутал слова...бывает...время-то позднее было.

1) Можно ли при связке связка ИСА + BSplitter сделать что бы пользователю, который израсходовал 100М обрубался весь трафик кроме почтового? Посмотрел BSplitter не нашёл такого. BSplitter рубит жёстко. Тогда может смотреть в сторону TrafficQuota?
2) Поставил на свой комп консоль управления ISA. BSplitter в ней не отображаеться. Так и должно быть?

Infected Switch
ну если иса сможет снюхаться по ipsec с м2 то
1 создаешь site-to-site vpn, в новом network указываешь удаленную сеть 192.168.2.0/24
2 на третий интерфейс пишешь 172.16.1.2/24 (шлюз не указывать)
3 пишешь route add -p 192.168.2.0 mask 255.255.255.0 172.16.1.1
4 ставишь route между internal и новым (удаленным) network
5 скорее всего 172.16.1.0/24 придется в отдельный network вписать (в 4-й по счету), хотя я не уверен, я сайт-ту-сайт впн не делал на исе, у меня этим циски занимаются.

Добавлено:
vicwanderer
1 по протоколам в bsplitter правила не разделаются, можно например не квотировать трафик с отдельными destination (например сказать чтобы в квоту не считался трафик с отдельными серваками, скажем почтовыми)
2 ишь какой шустрый, а консоль управления bsplitter на свой комп поставил? или ты думаешь инсталяха исы такая мудрая, проверит твой иса сервак на предмет установленного bsplitter, найдет где нить (на винте, в инете) инсталяху bsplitter и сама те на комп еще консоль управления от него доставит

hardhearted,
1 Попробую тогда поковырять TrafficQuota.
2

vicwanderer

Можно поставить почтовый сервер (типа mdaemon) и дать ему квоты сколько надо. А все остальные пусть через локальный сервер почту забирают-оправляют. Будет контроль почты сотрудников.

Уже сил нет. И мыслей.

win2003 SP1 + обновления от милкософта.
isa 2000 sp2

Возникла необходимость в VPN с внешнего интерфейса во локальную сеть.
Создал мастером исы правила (Network Configuration - Allow VPN Client Connections).
Поигрался с маршрутизацией и удаленный клиент через VPN подключился к внутреннй сети. В смысле внутреннй сайт заработал, расшареные ресурсы можно было подключить.
Но пинги не проходили.
После манипуляций с настройкой исы (свойства исы и выбор интерфейсов какие иса будет использовать для исходящих запросов, входящих запросв), VPN обрубился.

Интересная закономерность в том, что если остановить firewall исы то VPN клиент видит внутренние ресурсы и пинги проходят.

Была мысля снести ису, поднять VPN + NAT, а потом установить ISA 2000. Не помогло. При такой установке ISA не смогла запустить firewall.

Может кто победил?

Кажись понимаю...
VPN тунель есть. Только он почемуто с внешним интерфейсом (wan). С сервена (wan) можно зайти через тунель на удаленный клиентский комп. А вот с клиентской машины никуда. ISA блакирует все запросы.

Вопрос: Если ISA и RRAS такие тупые (ISA блакирует трафик идущий по тунелю, а RRAS подсоединяет тунель не к внутреннему интерфейсу, а к внешнему), как пробросить все PPTP пакеты приходящие по VPN тунелю на внешний интрерфейс в локальную сетку (на внутренний интерфейс )???

P.S. Всем спасибо! Ответило 0 человек.
Вопрос снят в связи с переходом на isa 2006 и безпроблемным решением сией проблемы.

AvvNtl, можно, но позже... А сейчас задача стоит именно так.

Добавлено: Я в радости... и TrafficQuota оказывается не умеет так делать. Неужели все кто пользуеться ИСА имеют и собственные почтовые сервера?

vicwanderer
вообще то иса как я писал раньше не позиционируется для тех кто хочет квотировать или шейпировать какой то трафик. это в первую очередь продукт для корпоративного использования, а в большинстве компаний такой глупостью как квотированием юзеров не занимаются, и большинство компаний имеют свои почтовые сервера, либо заводят почту у хостера/провайдера (если конторка совсем уж мелкая). Поэтому все эти приблуды типа bsplitter или TQ мало кому нужная фигня чисто побаловаться, лучше бы сделали приоритезацию трафика (например если нужна гарантированная ширина канала для конкретного протокола, скажем для голосовой связи)

Помогите плиз с Оперой и ISA2004EE на DС WS2003EE
в домене несколько групп. всех пользователей из разных групп на Опере в инет пускает ИСА а из одной (Pupils) не хочет.
Клиент не стоит.
В ИЕ выходят все без проблем. в Опере нет.
Вот лог когда запрещает:

vicwanderer

Цитата:

Неужели все кто пользуеться ИСА имеют и собственные почтовые сервера?

Неужели ISA выполняет функции почтового сервера, так, чтобы можно было бы не устанавливать последний?
По существу вопроса: я пользуюсь ISA и у меня за ним опубликован почтовый сервер.

Andrey1901
Хде лог-то?

vicwanderer

Цитата:

Неужели все кто пользуеться ИСА имеют и собственные почтовые сервера?

Как правило - да. Даже в крохотной конторке машин на 10 уже удобнее иметь свой почтовый сервер. Так, к примеру, если Интернет отвалится (по любой причине, пусть ты сам шлюз перезагрузишь), то юзера к тебе не побегут дружною толпой - "а почему почта не работает")

vicwanderer

Цитата:

1) Можно ли при связке связка ИСА + BSplitter сделать что бы пользователю, который израсходовал 100М обрубался весь трафик кроме почтового? Посмотрел BSplitter не нашёл такого. BSplitter рубит жёстко. Тогда может смотреть в сторону TrafficQuota?

Попробуй отключить в свойствах протоколов POP3, SMTP фильтр BSpliter'а.

Добавлено:
hardhearted

Цитата:

лучше бы сделали приоритезацию трафика (например если нужна гарантированная ширина канала для конкретного протокола, скажем для голосовой связи)

Неплохо работает связка ISA Server + Bandwitch Controller. Попробуй.

UnstableOne
при установке убери компонент Advanced Loging

hardhearted

Цитата:

Infected Switch
ну если иса сможет снюхаться по ipsec с м2 то
1 создаешь site-to-site vpn, в новом network указываешь удаленную сеть 192.168.2.0/24
2 на третий интерфейс пишешь 172.16.1.2/24 (шлюз не указывать)
3 пишешь route add -p 192.168.2.0 mask 255.255.255.0 172.16.1.1
4 ставишь route между internal и новым (удаленным) network
5 скорее всего 172.16.1.0/24 придется в отдельный network вписать (в 4-й по счету), хотя я не уверен, я сайт-ту-сайт впн не делал на исе, у меня этим циски занимаются.

Все так и сделал, только 172.16.1.0/24 и 172.16.2.0/24добавил в internal.
Захожу по 172.16.2.2 - ок, но при попытке зайти или пропинговать 192.168.2.1 - Negotiating IP Security. =\

Infected Switch

Цитата:

Все так и сделал, только 172.16.1.0/24 и 172.16.2.0/24добавил в internal.

зачем? эти сети у тебя же не на внутреннем интерфейсе, а на отдельном, значит и network надо делать отдельный.
а туннель то нормально устанавливается?

Добавлено:
Alex_H_aka_RAT

Цитата:

Неплохо работает связка ISA Server + Bandwitch Controller. Попробуй.

да мне это не надо, это я так к слову сказал )