» Microsoft ISA Server 2006/2004/2000 (Часть III)

PIL123
ещё как вариант попросить программера прикрутить возможность работы программы через скажем сокс 5-й с соот-й возможностью авторизации

greenfox
у исы нет socks5 с аутенфикацией (в экзамплах к sdk есть фильтр socks5 но без поддержки аутенфикации), а socks4 без аутенфикации идет
так что проще всего писать проги под винду по человечески )

тогда "ик"

Господа, такой вопрос - имеется сервер на котором крутится SQL, так-же имеется машина на котором стоит ISA2006, машина эта имеет доступ как во внутреннюю сеть, так и связь с внешней "дружественной" сетью через АДСЛ, в этой самой дружественной сети так-же имеется машина на которой крутится SQL, возможно ли средствами ИСА реализовать редирект запросов с SQL внутренней сети в дружественную? Из дружественной сети в нашу редирект запросов путем сервер рпблишинга работает, в обратную сторону тем же способом реализовать редирект неудается...

Alkatraz
а что значит редирект? иса вообще ничего никуда не редиректит, трафик либо простое пропускающиее правило либо паблишинг
можно просто разрешить sql протокол с твоего сервака на соседний.

Это значит что наш SQL сервер не видит соседней сети, она доступна только машине с исой, паблишинг компа с соседней сети сделать не выходит - в логах идет ошибка, такой способ проходит ток в случае когда их сервак стучится к нашему, а вот как сделать в обратную сторону - в этом-то и вопрос. Я так понял что ИСА не может делать паблишинг машин, находящихся вне зоны внутренней сети...

Alkatraz

Цитата:

а вот как сделать в обратную сторону

а смысл? ты пробовал читать про ису что нить, в особенности для чего нужен паблишинг вообще?
паблишинг нужен чтобы открыть для внешних клиентов то что иса прячет за nat, потому как из принципов работы nat к внутренним сервакам по их адресу обратиться никак нельзя. паблишинг в обратную сторону сделать нельзя, просто потому что он нафиг никому не нужен )
в твоем случае тебе надо изнутри наружу, в этом проблем никаких нет, делаешь обычное правило файрвола со своего сервака на нужный внешний и обращаешься к нему по ЕГО адресу а не по адресу исы.

Создал site-to-site в главном офисе и в филиале, делал все мастером, прописал везде статичный пул адресов, адреса не чем не пересакаются, на обоих концах разные. 2 сервера ISA Server 2006 Standart. Соединение установленно, в мониторинге отображается, что подключен 1 клиент, на обоих концах, но даже сервера не пингуются. Правила сама создала ИСА, разрешен весь трафик в обе стороны.
В Event View отображаются ошибки на обоих сторонах:

Event ID: 21265
Source: Microsoft Firewall

The routing table for the network adapter tengizvpn includes IP address ranges that are not defined in the array-level network tengizvpn, to which it is bound. As a result, packets arriving at this network adapter from the IP address ranges listed below or sent to these IP address ranges via this network adapter will be dropped as spoofed. To resolve this issue, add the missing IP address ranges to the array network. The following IP address ranges will be dropped as spoofed: External:192.168.1.0-192.168.1.255;


Event ID: 14147
Source: Microsoft Firewall

ISA Server detected routes through the network adapter Inet that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 192.168.1.0-192.168.1.255;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may be safely ignored if it does not re-occur.

Добавлял эти адреса в VPN сети на обоих концах, тогда ошибки пропадали, но все равно никто никого не пингует, проделывал все идентично на каждой стороне.
Помогите люди добрые.

Подскажите кто-нибудь.... второй месяц бьюсь головой об стенку)
Есть ISA server 2006 standart Windows 2003 server.
192.168.22.0 - внутрення сеть
193.233.132.0 - внешняя
Сервер имеет внутренний и внешний адрес.
Планируеться организовать внутри VPN с адресами локальной сети и внешней сети. Пул адресов локальной сети vpn сделал внутри ISA 10.0.0.0, а адреса внешний сети, при подключении через vpn, задаються через AD (входящие звонки-использование статических адресов).Внешние адреса будут маршрутизировать, а локальные натироваться.

Проблема в том что при подключении через vpn к серверу. Все клиенты с локальными и внешними адресами входят сразу в группу VPN клиентов. Я пробовал создавать дополнительную группу с адресами внешней и локальной сети(так ругаеться ещё что адреса входят в пул адресов vpn). Как разбить эту группу на две, для построение в firewall нужных каждой сети политик?

И ещё один вопрос. Когда подключаешься по vpn с внешним адресом(включена маршрутизация) при простомотре странице трафик(http) идет через прокси(в просмотре сеанов влючаеться сразу клиент для прокси). Как сделать, только чтобы локальным адресам трафик проксировался, а внешним отдельно?

web1984
vpn clients это не группа а network (почитай книгу и уясни разницу), причем специальный, туда автоматом вносятся все впн клиенты
правила можно писать не на network а на subnet, которые можешь создать сам.

кофнигурация такова
вин2к3 + иса 2006
натом для впн клиентов из локальной сети предоставляется инет
статичные айпи 192,168,0,2-192,168,0,100
пару правил работает все нормально
проблемы следующие

1)как ребутишь серв происходит следующее..
начинает тормозить интернет
еще особенность при пинге сервера из сети
первый пинг большой 3к мс следующие пинги ровно
пока не ребутнешь пару раз сервис мс файервол все тормозит...
2)нужно перебросить пару внешний портов на клиенты
делаю публиш нон веб сервер протокол на статичный айпи впн клиента.
все работает. но как дисконнектиться впн клиент порт перестает перебрасываться
влогах пишет только что
"Description: The server publishing rule wed failed. A session cannot be created for the server 192.168.1.97:22. Error location 325.2016.5.0.5720.100. Verify that the published server is accessible.
The failure is due to error: 0xc0040001"

turkmen
1) посмотри алерты и логи винды
2) ну а что же ты хотел, отпаблишенный клиент же отключился о чем тебе иса успешно и сообщила, что мол паблишинг не прошел ибо нет сервака.

Цитата:

turkmen
1) посмотри алерты и логи винды
2) ну а что же ты хотел, отпаблишенный клиент же отключился о чем тебе иса успешно и сообщила, что мол паблишинг не прошел ибо нет сервака.

1) в логах по теме ничего нет
загрузки процессор тожа =(
2) но когда впн клиент подклчюается снова публишинг снова не перекидывает...

Цитата:

vpn clients это не группа а network (почитай книгу и уясни разницу)

Не подскажешь, где можно скачать хорошую книгу по ISA 2006?


Я вот в этой статье нашел как редактировать http фильтр
http://www.isadocs.ru/articles/configuring-isa-server-2006-http-filter.html

Там написано

Для настройки HTTP-фильтра щелкните правой кнопкой по правилу, содержащему определение протокола HTTP, и выберите из контекстного меню пункт Configure HTTP

А если у меня нет такого меня Configure HTTP. Там только свойства где указана dll. и так в каждом фильтре нет никаких настроек. В чём может быть проблема?

Через два часа копания в нете нашёл другой путь, если экране поставить правило с http, там всё присутствует. Но везде пишут в оснвном, что делают через web filters

web1984
качай шиндера по 2004 исе, это почти одно и тоже, разница минимальна в паре пунктов

Цитата:

Для настройки HTTP-фильтра щелкните правой кнопкой по правилу, содержащему определение протокола HTTP, и выберите из контекстного меню пункт Configure HTTP

тебе же русским по белому написали что щелкать нужно ПО ПРАВИЛУ с HTTP, то есть то что ты назвал "другим путем", а в web filters фильтры только глобально включают и выключают, если читать не умеешь внимательно то авторы не виноваты.
ps смеялсо долго, "два часа копания в инете", мне без копания в первый раз хватило просто нажать правой кнопкой на правило и посмотреть чисто из природного любопытства какие там есть пунктики

Добрый день всем
Есть небольшой вопрос о переходе

У меня работает керио только вот сохранение его статистики мне не нравиться да и не знаеш когда и как комп лопнет

в связи с этим ищу программу маршрутизации и биллинга в одном лице

возможно ли это с помощью ISA 2006 и если да то как логировать не все что проходит по логам фильтра правил а только ие которые мне необходимы
например логи клиентов которые запрашивают интернет

Заранее спосибо

Haik1979
ты сам то понял что написал?
во первых иса это не маршрутизатор
во вторых логировать или нет определяется правилом, если на правиле стоит галочка что логи по нему будут если нет то нет
в третьих открыл бы офсайт и почитал бы что такое иса и что она умеет

hardhearted

Спосибо за совет уже успел
как я понял иса не занимаеться маршрутами соединений Спосибо буду искать другой продукт

Haik1979

Цитата:

маршрутами соединений

интересно что ты имел под этим ввиду ))))

Цитата:

Подскажите, а то теряюсь в догадках. Перешел с ISA 2000 на ису 2006. Все прекрасно, да не все.

Перестали грузиться бездисковые станции. Соответственно RIS не работает.

Станции посылают PXE запрос на DHCP сервер. Получить ответ не могут и выдают сообщение-

PXE-E51: ProxyDHCP server did not reply to request on port 4011

Как разрешить стациям запросы по порту 4011 UDP?

Цитата:

Подскажите, а то теряюсь в догадках. Перешел с ISA 2000 на ису 2006. Все прекрасно, да не все.

Перестали грузиться бездисковые станции. Соответственно RIS не работает.

Станции посылают PXE запрос на DHCP сервер. Получить ответ не могут и выдают сообщение-

PXE-E51: ProxyDHCP server did not reply to request on port 4011

Как разрешить стациям запросы по порту 4011 UDP?

Была такая же трабла пока не зашел в системную политику и не вырубил DHCP в ИСА попробуй так

можно полошу? поиском запутался и не нашел точного ответа на свой вопрос

Имеется три офиса, один из них главный(взде иса-2004). С главным из каждого офиса создан site-to-site vpn канал, т.е. объеденены в одну сеть; у каждого офиса свой диапозон(главный 192.168.0.0/24, офис1 192.168.1.0/24, офис2 192.168.2.0/24). Т.е. трафик между офисом1 и офисом2 проодит через главный. Иногда то у одного, то у другого офиса падает впн с главным и он довольно долго восстанавливается...

Так вот вопрос: можно поднять еще одно дополнительное впн соединение site-to-site между офисом1 и офисом2? что придется поправить?

fella

Цитата:

Так вот вопрос: можно поднять еще одно дополнительное впн соединение site-to-site между офисом1 и офисом2?

а почему бы и нет? берешь и создаешь

Цитата:

что придется поправить?

ничего

Цитата:

а почему бы и нет? берешь и создаешь

ну так как раставить маршрутизацию? т.е. хочется иметь как резервный маршрут - врн тунель между офисом1 и офисом2, а основной оставить с главным

Сейчас, например, в офисе1 с главным висит маршрутизация сразу обоих сетей(192.168.0.0/24 и 192.168.2.0/24) и по аналогии в офисе2 также. Т.е. нельзя ведь создать еще одно vpn соединение с маршрутизацией подсети, которая имеет маршрут через главный ?

fella

Цитата:

Т.е. нельзя ведь создать еще одно vpn соединение с маршрутизацией подсети, которая имеет маршрут через главный ?

почему нельзя? что законом запрещено разве? берешь и создаешь, тока вот такую тупость как "маршрут через главный" все таки убери, в твоем случае как и в большинстве других прямые маршруты всегда выгоднее, если конечно нет сильных различий стоимости трафика между разными офисами..

Можно ли распределять потоки по нескольким каналам?

mrDem
потоки чего?
несколько каналов использовать для резервирования или распределения трафика можно, но только иса тебе в этом никак не поможет по одной банальной причине: иса - НЕ роутер.

Добавлено:
hardhearted
можно только если поставить несколько серваков иса в массиве и заюзать nlb

hardhearted

Цитата:

почему нельзя? что законом запрещено разве? берешь и создаешь, тока вот такую тупость как "маршрут через главный" все таки убери, в твоем случае как и в большинстве других прямые маршруты всегда выгоднее, если конечно нет сильных различий стоимости трафика между разными офисами..

угу...законом
ибо сразу ругается, если пытаться маршрутизировать одну подсеть через несколько интерфейсов

fella
правильно ругается, иса не любит извращенцев )

Есть задача - Запретить доступ к публичным почтовым серверам, порно сайтам и прочим ненужным с точки зрения политики информационной безопасности предприятия хостам.

Есть ли для ISA "Черные листы" с подобного рода сайтами для их экспортирования и дальнейшей блокировки?

Поделитесь пожалуйста ссылкой ...

Есть Win 2003 Server, на нем стоит Isa2004.

На компьютере с Win 2003 Server запущен FTP сервер (встроенный) , "заведенный" на внутренний IP, в Isa прописано правило FTP и FTP сервер, также есть правило публикации (доступ с Internal и External, стоит внутренний IP адрес, тот же, на который заведен FTP) . Но с компьютеров внутренней сети по внешнему IP FTP сервера зайти не получается.
Как сделать, чтобы с компьютеров внутренней сети по внешнему IP FTP был доступ ?

Такая же фигня с Web сервером.

Все компьютеры в сети со статическими IP, без FW клиентов.