» Microsoft ISA Server 2006/2004/2000 (Часть III)

hardhearted

Цитата:

не путай людей ) securenat это в принципе в исе обычный клиент, то есть не proxy, fwc и vpn. обычно большинство компов часто появляются в сессиях как securenat, это нормально. от отношения между сетями (nat или route) это не зависит.

где я сказал обратное? Чел выдал "есть секьюр-нат и вэб-прокси" соот-но из этих 2-х типов подключения только секьюр-нат будет светиться наружу при роутинге между сетями. Про fwc вообще разговора не было. В чём проблема?

Vxd2000
а там броадкастов случаем нету в случае udp?

hardhearted

Цитата:

маска значения не имеет, к тому же 30 обычная маска для схемы "шлюз прова+1 мой ип"
насколько я помню начало этой проблемы, эти мелкие сети в разных офисах ему дает один провайдер, поэтому там такая маска, причем эти две мелкие сетки связаны силами провайдера. поэтому во втором офисе и wan нету, он ему и не нужен. ему же надо через этот канал прокинуть обычный простой сайт-ту-сайт. и в чем его проблема до сих пор не пойму

я тоже не пойму, но раз чел написал то разбираюсь вместе с тобой и сним. IP у него в доп.офисе серый - отсюда и вопрос почему такая маска только и всего, я не телепат, ты тоже. Для доп. офиса так же есть lan и wan - просто если доп.офис это выделеный шнурок от прова из центра в офис то wan это именно этот шнурок. Т.е. внешний по отношению к внутренней сети (lan)
Пусть пишет ipconfig /all с обоих точек и спору не будет

greenfox

Цитата:

где я сказал обратное?

значит я не так тя понял

а про офисы там уже и без ipconfig понятно, к тому же он их приводил уже )
в первом офисе как положено была локалка и был wan, потом появился второй офис, вроде как на том же провайдере, поэтому провайдер для организации впн им дал еще один проводок для впн в основном офисе, а в дополнительном как такового wan нет, есть тока еще один проводок для впн, в принципе для исы он же и есть wan.

greenfox они disabled, стоит NH_USE_BROADCAST = Disabled.

Цитата:

ну по сути это отноститься к тому, какие порты\протоколы использует аська для второстепенной лабуды типа игр и т.д. как вариант рекомендуют закрывать директ конекты на любые адреса и оставить доступ

OK, как для контретного приолжения закрыть все порты, кроме 5190, при этом не трогая других приложений. На рабочих станциях стоит FWC. Закрывать прежде всего 80-й порт.

Люди, подскажите, пожалуйста, как можно сделать так, чтобы открыть файловый доступ на сервер находящийся во вне? Какие порты/протоколы для этого надо открыть? Т.е. так, чтобы в Windows Explorer'е набираешь: "\\ххх.ххх.ххх.ххх\С$" и попадаешь на диск C:\ удалённого сервера?

greenfox какие минимальные требования к "хождению пакетов" на Local Host с клиента, с которого стоит All Outbound traffic, с установленной Isa2004 (для UDP) :

1. Чтобы был определен протокол: Primary connectons (UDP, 475, Send Receive) , нужно определять Secondary connections и какие направления для Primary и Secondary;
2. Не обязательно создавать Firewall правило для клиента с All Outbound traffic с этим протоколом;

Или что - то еще нужно ?

PIL123
смотри в сторону CIFS

Vxd2000
чего чего?

hardhearted ты правильно все объяснил greenfox по моей проблеме.
Сделал как ты сказал "тупо вырезаешь нужный диапазон и его уже можешь смело вписывать в настройках впн клиентов" завтра постараюсь отписать что из этого вышло.

ЗЫ При соеденении Офиса и Филиала посредством site-to-site впн-подключениям ВСЕГДА назначаются ипишники из ДИАПАЗОНА ЛОКАЛЬНОЙ СЕТИ Офиса? Т.е. для этого нельзя выделять отдельную подсеть?

greenfox, получается что пакеты по UDP не доходят до Local Host, в hasp demo программе "показывается" ошибка: No active HASP Licence Manager was found.

Про предыдущее сообщение: что нужно, минимально необходимые условия, чтобы открыть доступ на Local Host по UDP, по 475 порту.

vicwanderer

Цитата:

При соеденении Офиса и Филиала посредством site-to-site впн-подключениям ВСЕГДА назначаются ипишники из ДИАПАЗОНА ЛОКАЛЬНОЙ СЕТИ Офиса? Т.е. для этого нельзя выделять отдельную подсеть?

можно выделять отдельную.

Vxd2000

Цитата:

Про предыдущее сообщение: что нужно, минимально необходимые условия, чтобы открыть доступ на Local Host по UDP, по 475 порту

определи протокол соот-й, ну и доступ из интернал на локалхост по соот-му протоколу для всех пользователей. Стандартно по хелпу вроде всё...

greenfox в том - то и момент, что все так и есть.
Но для tcp даже без определения протокола работает, для udp с определением протокола не работает.

В направлении (direction) udp протокола в первичном соединении что оставить и нужно вторичное соединение ?

Single7
для конкретного приложения ты врядли что то закрочешь. сама иса без понятия какие приложения ломятся, если сами приложения не сообщат этого в строке user-agent. если только поиграться с настройками fwc, но есть сомнения что что нить путное получиться, хотя кто знает.
а вот 80 порт закрыть можно, но не для icq а вообще можно закрыть любой коннект по 80 порту мимо прокси, а icq не умеет аутенфицироваться на прокси (хотя есть такие клиенты которые умеют). если это устроит то ищи на офсайте по словам transparent http

vicwanderer
еще раз, для при соединении site-to-site никакие ип никому выделять НЕ НАДО!!! что тут непонятного. у тебя уже есть две локальные сетки и ты их просто соединил между собой, им других адресов кроме своих не надо.
ps если и сейчас непонятно то возми книгу по исе и вообще про технологию vpn и почитай что это такое и чем отличается vpn client-network от network-network, это две огромные разницы.

Vxd2000
ну чудеса Тут надо смотреть твои правила и он-лайн логи для того что бы понять как чего у тебя там настроено
вот тут http://isaserver.ru/forums/thread/22940.aspx это тоже обсуждали, может поможет...

ps про протокол и его определение - конкретно про nethasp не скажу, предпологаю что Recive-Send (если хасп стоит на исе и должен принимать соединения). На худой конец можно все значения указать

Без определения протокола (TCP, 475, Oungoing) при методе поиска TCP в nethasp.ini запускается 1С77.

В on - line log' e пишется Outgoing traffic (TCP) .

Цитата:

ну чудеса

.

Вот о том и речь.

Смотрел эту тему на том форуме.

Задачка следующая:
Есть ISA (доменная), есть 3 сетевых интерфейса из них один смотрит в локалку (i1), один смотрит сейчас на провайдера дающего Интернет через ADSL модем (i2), третий будет смотреть в сторону другого провайдера дающего инет по оптике (VPN)(i3).
Надо сделать таким образом что бы была возможность через ADSL (i2) подключатся к локалке по средствам VPN (инет с него браться не будет), инет по подключенному VPN шел через i3.
Подскажите возможно ли? Посоветуйте куда смотреть? Может кто то уже настраивал подобные тапки.

SP3 для ISA2004 вышел недавно. кто-нить ставил уже? не глюкавит?

Вопрос по автоматическом обнаружению:
У меня в сети сейчас одна Иса и клиенты. которые настроены на автообнаружение.
Собираюсь добавить вторую Ису. Как поведут себя клиенты?

Скажите, в русской ISA 2006 Enterprise edition хелп на русском языке? Если да, поделитесь, пожалуйста - оч. надо.

cr4k3r
я пока не ставил, а вот знакомый админ поставил - говорит что все работает

стоит w2003 + isa2006. Некоторые страницы не открываются на всех клиентах. по какому принципу - не понятно, но кажется в основном которые по ssl работают.

Не подскажете что это могло бы быть?

kitten666, надо разрешить протокол HTTPS, если он не разрешён.

даже в том случае, когда разрешаю все,происходит такое

hardhearted,
"при соединении site-to-site никакие ип никому выделять НЕ НАДО!!!" а мне казалось,
что в ISA Management/VPN/Remote Sites/branch/Define address assignments назначаются ипишники впн-подключениям при соеденении посредством site-to-site. Нет? )

Цитата:

Здравствуйте. Помогите пожалуйста. Не могу установить ISA 2006RU. Выдает ошибку при установки Невозможно инициализировать приложение, Setup failed to install ADAM (0x80070002). Что это значит?

ставим сначала ADAM, а потом уже ISA

Добавлено:
3 офиса, подключены через Site-to-Site
настроено по докам, всё работает, но при подключении к любому офису в журнале винды следущее

Цитата:

ISA Server detected routes through the network adapter <имя сетевой карты> that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 192.168.20.255-192.168.20.255,192.168.30.255-192.168.30.255;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

что за херь? всё ведь работает

kuah,
"что за херь? всё ведь работает" - пять последних страниц не просматривал?

Это значит, что любые запросы, пришедшие с этих ипишников не будут обработаны.

Добавлено:
greenfox,
"можно выделять отдельную." У меня так не работало.
Т.е. Офис---VPN(site-to-site)---Филиал, где

Офис(192.168.2.0/24)
В Офисе компьютерам Филиала выделяются статические ипишники из диапазона 192.168.3.0-192.168.3.255

Филиал(192.168.9.0/24)
В Филиале компьютерам офиса выделяются статические ипишники из диапазона 192.168.3.0-192.168.3.255

ВПН падает. Причём запускаю из сети Офиса в сеть Филиала пинг 4-6 пакетов проходят, остальные нет.

To all,
Кто сталкивался с такой проблемой. Если по каналу в течении длительного промежутка времени не передаются ни какие данные, то подключение(L2TP) разрывается и установить его заново можно только из сети Офиса(отправив любые данные в ВПН-канал). А из сети Филиала этого сделать нельзя. Даже пинги из Филиала в Офис в таком случае не проходят.

Может кто попробует симитировать у себя такое? Для этого достаточно перезагрузить шлюзы с Исой в Офисе и Филиале и первый пакет отправить из сети Филиала в сеть Офиса.

Простой вопрос.
Я ограничил контент загружаемого из интернета (отключил видео и аудио) в результате чего у меня перестал грузиться и выполняться Java-script - я понимаю что нужно добавить в список разрешенного его заголовок. НО КАКОЙ???...
Спасибо за ранее..

vicwanderer

Цитата:

что в ISA Management/VPN/Remote Sites/branch/Define address assignments назначаются ипишники впн-подключениям при соеденении посредством site-to-site. Нет? )

не знаю где ты там это нашел, у меня если нажать на этот пунктик то открываются настройки для клиентских подключений, о чем будет написано в хелпе если кнопочку "?" нажать.

Цитата:

Это значит, что любые запросы, пришедшие с этих ипишников не будут обработаны.

всё рабоает, уже разобрался

vicwanderer

Цитата:

Офис(192.168.2.0/24)
В Офисе компьютерам Филиала выделяются статические ипишники из диапазона 192.168.3.0-192.168.3.255

Цитата:

Филиал(192.168.9.0/24)
В Филиале компьютерам офиса выделяются статические ипишники из диапазона 192.168.3.0-192.168.3.255

странно, у тебя одна и та же подсеть ассигнована на 2 разных сети по сути? У меня они разные...

Добавлено:

Цитата:

ВПН падает. Причём запускаю из сети Офиса в сеть Филиала пинг 4-6 пакетов проходят, остальные нет

что логи кажут?