» Microsoft ISA Server 2006/2004/2000 (Часть III)

hardhearted,
Есть Офис(ЛВС1) и Филиал(ЛВС2) и там и там шлюзом ИСА2006. Связаны между собой по ВПН site-to-site.
шлюз1 имеет три сетевых интерфейса
LANOffice - 192.168.2.2/24
VPNMainOffice - 192.168.113.22/30
WAN - 192.168.44.2/30
В Офисе ВПН подключениям выделяются статические ипишники из диапазона 192.168.3.0-192.168.3.255

шлюз2 имеет два сетевых интерфейса
VPNRemoteOffice - 192.168.113.26/30
LANBranch - 192.168.9.1/24
В Филиале ВПН подключениям выделяются статические ипишники из диапазона 192.168.10.0-192.168.10.255

возник ещё вопрос: "Правильно ли я делаю, что ВПН подключениям в Офисе и Филиале назначаю статические адреса из разных подсетей? Может надо назначать из одной? Например и там и там из подсети 192.168.3.0?"

И ещё одна проблема. ВПН подключение из Филиала в Офис возможно только после того, как установили подключение из Офиса в Филиал. Или если хотябы пустили пинг из Офиса в Филиал. В Исе стоит закрывать неактивные соединения через 10 мин. Как решить проблему?

vicwanderer
впн подключения это имеется ввиду клиентские? то есть люди из инета коннектятся к офису или филиалу чтобы из дома или командировки поработать? если да, то тогда верно, лучше давать разные сети, потому как это в принципе разные впн сервера, хотя если впн клиенты одного офиса не общаются с другим офисом или клиентами другого офиса то тогда все равно.

А по счетчикам производительности системы спецов нет?

IceFusion
ну ты бы вопрос поставил сначала правильно.
хотя бы версию исы бы написал что ли

Добавлено:
IceFusion
офсайты религия не позволяет смотреть?
например вот
http://www.microsoft.com/technet/isa/2006/perf_bp.mspx
http://www.microsoft.com/technet/isa/2006/technicalreference/performance_counters.mspx
и таких ссылок там мона нарыть десятки

Люди пожалуйста помогите. Где скачать isa 2000/ Очень надо. Просто до оофиса где он есть Не добраться еще неделю, а надо завтра. Может кто архив выложит или на почту пошлет. подмогите прошу.

Здравствуйте!

Может кто уже решал такую задачу практически.
Есть ISA Server 2004 в integrated mode, есть клиентские машины с FWC, на клиентских машинах установлена ICQlite.
Задача, разрешить работать ICQ и регистрацию новых пользователей, при этом обрезав все обращения к рекламе, wtraz, играм и другой фигне, пожирающей траффик.

hardhearted
Спасибо ) Очень подробно написано...

hardhearted, Люди конектятся из Филиала в Офис и из Офиса в Филиал.
Есть мысль, что проблемы с ИСА2006 возникают из-за неправильного назначения ипишников ВПН клиентам. Если взять например статью http://isadocs.ru/articles/Creating-VPN-ISA-2006-Firewall-Branch-Office-Connection-Wizard-Part1.html, то там расматриваются сети
Офис - LAN1(10.0.0.1/24) и
Филиал - LAN2(10.0.1.1/24)
В статье описывается что впн-клиентам, подлючающимся из Офиса в Филиал назначаются ипишники ИЗ ДИАПАЗОНА ВНУТРЕННЕЙ СЕТИ ФИЛИАЛА. У меня иса не дает этого сделать. Ругается на то, что ипишники подсетей ВПН подключений и Internal перекрываються.

Правда у меня и у статьи есть два отличия
1. У меня в Офисе нет DHCP. В статье в Офисе - DHCP в Филиале - статические ипишники.
2. Я пытался назначать адреса впн подключениям вручную. В статье это делается с помощью Answer File Wizard.

Доброго всем дня!
Описание ситуации:
есть ISA-2006
есть три интерфейса на ней - внешний (WAN)
два локальных LAN1(192.168.0.x) и LAN2(192.168.1.x)
интерфейс LAN2 был подключен позднее (после установки ISA)
за интерфесами разные домены, ISA включен в домаен сети LAN1

сотрудникам из LAN1 необходим один только ресурс из сети LAN2 - расположенный на контроллре домена сети LAN2

в ИСА между LAN1 и LAN2 - отношения ROUTE
пинг с ISA в сеть LAN2 есть

правило разрешающее все из LAN1 в LAN2 есть

но что-то не работает...

возможно связано с маршрутизацией.. но где и как подрулить не соображу пока...

P.S. до этого стояла ISA2004 - все было по аналогии сделано... и работало... сменился только сам продукт...и нет контакта

Nevskij2006
а логи что говорят?
vicwanderer
я до сих пор непойму зачем у тебя впн клиенты подключайются из офиса в офис если у тебя site-to-site впн настроен.
по поводу клиентов
если есть dhcp то будут даваться адреса из internal через dhcp
если нет и хочешь вписать вручную, то этот диапазон сначала вырежи из internal, это написано в любом хелпе или книге

Добавлено:
Single7
ну ты загнул, часть этого идет по тем же протоколам что и аська, и это ты уже отдельно не закроешь.

hardhearted

можно поподробнее про то, что идет по аскиному протоколу, а я прикину может проще будет клиента сменить

Single7
это уже к исе не относится, спрашивай у асечников, сам я мирабилисовскими клиентами не пользуюсь, у меня миранда а там игрушек нет )

hardhearted
Да оно и к тому и к другому относится, только icq на прикладном уровне по отношению к isa, поэтому и сюда пишу.

Single7
ну по сути это отноститься к тому, какие порты\протоколы использует аська для второстепенной лабуды типа игр и т.д. как вариант рекомендуют закрывать директ конекты на любые адреса и оставить доступ по протоколам аськи только к их серверам регмстрации. Но имхо при твоих условиях web-вариант аськи http://www.icq.com/download/icq2go/ вполне достаточно было бы (там и флэш и java варианты). Ну а так как выход ещё qip, miranda, etc

Прошу помощи!
Настроен vpn сервер на isa2000.
Раньше все работало без проблем.
Но пришлось переустановить isa 2000.
После этого клиент может подключаться к серверу.
Проходит авторизацию и регится в сети, но вот воспользоваться
Remote Desktops и удаленным рабочем столом не получается.
Не знаю, где крутить.
Хотелось бы спросить может кто при подключении к серверу через vpn пользуется консолью управления windows?
Если да то как реализовали?

О, насчет веб аськи. Кому-то удалось настроить ISA для работы с flash-версией? У меня в сети на всех компьютерах стоит firewall client. Правила: изнутри наружу протокол ICQ2000, ну и http/https, разумеется. "Большой", не мобильный ICQ-клиент и Miranda работают без проблем. А флеш-аська не хочет - загружается, но не может авторизоваться. Висит и висит себе со статусом connecting. Java-аська коннектится. В логах ничего подозрительного, сейчас далеко от исы, не могу логи выложить.

Вопрос:
Сеть1(защищаемая)-Win2003(ISA2006)-Сеть2 (типа Интернет)
На сервере установлен YnHub, для организации сети Р2Р.
Из сети1 разрешены все исходящие, создано правило разрешающее TCP, входящие порт 1411, 411.
Клиенты DC на сервере логинятся, в чате видятся.
Клиенты в сети1 настроены в "Пассивный режим" - все нормально. Внешние и внутренние клиенты вяжутся и качают без проблем. НО! друг с другом (внутри сети1) не вяжутся - что естественно.
Если меняю настройки клиентов сети1 на работу в режиме "Брандмауэр с ручным перенаправлением портов" TCP 1411 - внутри работают, однако наружу выходить перестают.
Ни у кого такой проблемы не было?

есть Cisco. www трафик с нескольких интерфейсов заруливается на комп с ISA 2006. В ISA включен прокси (собственно ради чего и заруливалось).

Проблема: ip клиентов заменяются локальным IP.
ЧТо делал: в Конфигурация - Сети - Сетевые правила заменил NAT на Маршрут. Не помогло. В Наблюдение - Сеансы каждый клиент 2-х типов: SecureNAT и Веб-прокси. Читал HELP, понял, что вроде как SecureNAT IP меняет.

Как настроить ISA, чтоб IP клиентов оставались исходными. Спасибо.
ЗЫ: Настраиваю в первый раз.

Проблем такой.

Стоит на Win 20003 RC2 еще один "продукт MS" Isa2004SE.
На этом же компьютере стоит Hasp License manager со всеми настройками по умолчанию (порты например, по умолчанию 475 порт) .

В Isa2004 разрешен all outbond traffic для нескольких клиентов, то есть полностью траффик.

Работают они как SNat (там даже Proxy не прописан) .

На этих клиентах стоит 1С77 и 1С81.

У них настроены nethasp.ini, там стоит адрес сервера.

Работает 1С77 только если стоит NH_TCPIP_METHOD = TCP, если NH_TCPIP_METHOD = UDP, не загружается.

Для 1С81 вообще не важно TCP или UDP NH_TCPIP_METHOD, все равно не загружается.

Прочитал, что с версией API 8.x защиты, NH_TCPIP_METHOD = TCP не работает, работает только NH_TCPIP_METHOD = UDP, в 1С81 как раз используется API этой версии.
То есть получается, что при NH_TCPIP_METHOD = UDP через Isa2004 1С не работает, при полностью открытом доступе.

Например для 1С81, в on - line log' e Isa2004 при UDP показывается что на Destination port 475 идет по Outgoing UDP соединение, Initiated connection, и через достаточно продолжительное время (около 2 - 5 минут) closed connection и все, 1С81 не запускается.

Чего надо еще сделать с Isa2004, чтобы с методом UDP все работало ?
ЧТо нужно поставить в протокол (в Direction) первичного соединения и нужно ставить вторичное соединение ?

Добавлено:
С этих клиентов открыт полный доступ к Local Host Firewall политикой: From - эти клиенты, To - local host, all outbound traffic, обратного правила from - local host, to - клиенты, нет.

renderr

Цитата:

Наблюдение - Сеансы каждый клиент 2-х типов: SecureNAT и Веб-прокси. Читал HELP, понял, что вроде как SecureNAT IP меняет.

ну вобщем то из хелпа логично предположить обратное SecureNAT - это тот самый роутинг что ты поменял в настройках + фильтрация пакетов. Webproxy - это служба, которая от имени локального интерфейса осуществляет запрос web-контента, кэширует его и выдаёт клиенту. Т.о. работает она от "имени" лок-го IP. (справедливо не только для isa а для любых проксиков)

Vxd2000
для начала надо знать какие порты\протоколы использует хасп. Просто "all outbond traffic" разрешает на выход все определённые в исе протоколы (как вариант скажем помониторить соединения хаспа каким-н снифером пакетов ну или инфу искать)

greenfox
... значит никак клиентам их IP не оставить?

renderr
ну как понять "не оставить клиентам ip"? Клиенты со своим ip конектятся к проксику. Тот уже от своего ip работает с http трафиком. Соот-но надо дибо отказаться от использования проксика (что бы клиенты лезли и http трафиком наружу напрямую) или смотреть почему вас не устраивает что клиенты идут от имени другого ip для внеш. наблюдателя....
Для остального трафика если стоит роутинг всё должно быть шоколадно

hardhearted,
"я до сих пор непойму зачем у тебя впн клиенты подключайются из офиса в офис" - наверное я не правильно выразился. КОМПЬЮТЕРЫ подключаются из Филиала в Офис используя соединение site-to-site(эти компьютеры не являются VPN Clients).

"хочешь вписать вручную, то этот диапазон сначала вырежи из internal, это написано в любом хелпе или книге"- да адреса использую статические. Если ты знаешь как это сделать, скажи. Потому что я этого не нашёл НИ в хелпе, НИ в книге. (например на isadocs.ru перерыл все статьи)

PS. И в офисе и в филиале ипишники статические. ДХЦП нет.

Здравствуйте. Помогите пожалуйста. Не могу установить ISA 2006RU. Выдает ошибку при установки Невозможно инициализировать приложение, Setup failed to install ADAM (0x80070002). Что это значит?

А в ISA 2006 возможно создать резервный канал интернета? Если падает основной, то автоматом включается резервный. Если да, то где про это можно почитать?

sanchoskor
http://www.google.ru/search?q=Setup+failed+to+install+ADAM
это если вкратце попытаться

vicwanderer
во первых не понятно сколько у тебя там интерфейсов - написано 3 в одном офисе (lan, wan, vpn) а во втором 2 (lan, vpn) - так что во втором wan нету? По телекинезу прокинут vpn?
во-вторых " VPNMainOffice - 192.168.113.22/30" - это что? Ты с исы прокидываешь тунель в другой сайт, и вот между 2-мя иса серверами получается по виртуальному интерфейсу с соот-ми настройками для сервера и клиента. (опять же зачем такая маска /30 - стандартную для начала поставь /24)
Вобщем лучше ipconfig /all c обоих серверов посмотреть а то так не совсем понятно что куда у тебя там

[b]greenfox[b]
там ни чего не понятно

greenfox

Цитата:

SecureNAT - это тот самый роутинг что ты поменял в настройках + фильтрация пакетов

не путай людей ) securenat это в принципе в исе обычный клиент, то есть не proxy, fwc и vpn. обычно большинство компов часто появляются в сессиях как securenat, это нормально. от отношения между сетями (nat или route) это не зависит.
renderr
если у тебя клиенты идут через прокси то их родной ип ты никак не оставишь, потому как это одно из основных предназначений прокси - скрывать ип клиентов и все запросы создавать от себя, еще бывает подразновидность кэширующие прокси, они в дополнение к сокрытию адресов еще и кэшируют.
так что ты в принципе хочешь залить в машину абсолютно негорючий бензин да еще чтоб она на нем ехала, то есть хочешь отучить прокси заниматься ее основным делом - проксировать )


Добавлено:
vicwanderer
если у тебя нет vpn clients а только сайт-ту-сайт то кому и зачем ты собрался раздавать какие то адреса? а самое главное где ты эти диапазоны задаешь на исе? сайт-ту-сайт для того и нужен чтобы связать две существующие сети по впн не выделяя им каких либо адресов левых. ))


Цитата:

"хочешь вписать вручную, то этот диапазон сначала вырежи из internal, это написано в любом хелпе или книге"- да адреса использую статические. Если ты знаешь как это сделать, скажи. Потому что я этого не нашёл НИ в хелпе, НИ в книге. (например на isadocs.ru перерыл все статьи)

мда а своей головой думать никак. хоть тебе это для твоей задачи и не надо, но скажу
есть у тебя сеть internal сеть 192.168.2.0/24 ты хочешь внешним впн клиентам раздавать адреса из нее, например из диапазона 192.168.2.100-192.168.2.150 (50 адресов клиентам 1 серверу). тупо пишешь в internal два диапазона 192.168.2.0-192.168.2.99 и 192.168.2.151-192.168.2.255, то есть тупо вырезаешь нужный диапазон и его уже можешь смело вписывать в настройках впн клиентов. я в свое время без каких либо раздумий так и сделал, и мне казалось что это очевидно, потому как иса так и ругается при попытке сунуть статический диапазон в настроках впн, что мол сначала этот диапазон надо вырезать из internal.

greenfox по умолчанию LM (license manager) использует 475 порт (указан в сообщении) и судя по предустановленному методу поиска NH_TCPIP_METHOD = UDP, используется UDP.
Порт не менял, менял только NH_TCPIP_METHOD.
Пробовал когда в ISa были определены 475 И TCP и UDP и пробовал когда их вообще не было.

Одна хрень.

greenfox

Цитата:

во втором wan нету? По телекинезу прокинут vpn?
во-вторых " VPNMainOffice - 192.168.113.22/30" - это что? Ты с исы прокидываешь тунель в другой сайт, и вот между 2-мя иса серверами получается по виртуальному интерфейсу с соот-ми настройками для сервера и клиента. (опять же зачем такая маска /30 - стандартную для начала поставь /24)

маска значения не имеет, к тому же 30 обычная маска для схемы "шлюз прова+1 мой ип"
насколько я помню начало этой проблемы, эти мелкие сети в разных офисах ему дает один провайдер, поэтому там такая маска, причем эти две мелкие сетки связаны силами провайдера. поэтому во втором офисе и wan нету, он ему и не нужен. ему же надо через этот канал прокинуть обычный простой сайт-ту-сайт. и в чем его проблема до сих пор не пойму )