» Microsoft ISA Server 2006/2004/2000 (Часть III)

rijk

спасибо ! я с таким уже встречался, но склероз


файл создал
выполнил
в конф файле при export видно что ssl port 4343 создался

НО резуль тот же

Вопрос может еще и правила типа как я писал выше нужно создавать или достаточно только
выполнения этого скрипта

help !!!

Y Sobolev
обычно после добавления тунельных портов надо рестартить сервис исы
ну а правило надо на обычный https

Тип события: Ошибка
Источник события: Microsoft Firewall
Категория события: Отсутствует
Код события: 14102
Дата: 19.10.2007
Время: 11:22:00
Пользователь: Н/Д
Компьютер: IS-CHLB-A0001
Описание:
Failed to save the Routing and Remote Access service configuration in the registry. The registry key: System\CurrentControlSet\Services\RemoteAccess\Parameters\Ip, registry value: - could not be accessed for writing. The VPN configuration of the server is incomplete.

Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".
Данные:
0000: 05 00 00 00 ....

как устранить эту ошибкку????????

hardhearted
ok
посмотрим далее

Y Sobolev

есть такая штука - ISAtrpe называется......попробуй
эта прога как раз создает тоннели

feelbee

Цитата:

есть такая штука - ISAtrpe называется

приведенный выше скрипт и есть кусок этого самого isatrpe

Люди помогите!!!!!!!!

ms server 2003+sp1 и ms isa2004 - выдает ошибку 14102........
везде искал ничего толкового не нашел ..
HELP PLZ!!!!

Y Sobolev
для начала какие у тебя клиенты секуритинат или исашные клиенты стоят
должно быть правило Allow с этим протоколом
и ISAtpre создай не стандартный протокол ssl
hxxp://rapidshare.com/files/63586511/ISAtrpe.zip.html

123Maximus123
не сбивайте человека с толку
там делов то на 5 сек, разрешить обычный https и расширить скриптом (isatrpe это тоже скрипт) или какой нить тулзой (они все одинакого написаны) диапазон разрешенных для тунелирования портов. никаких нестандартных протоколов создавать не надо.

hardhearted 123Maximus123

У меня обычный https разрешен всем клиентам кто ходит в инет

С пом ISATRPE я уже расширил диапазон

клиенты всякие -- и SecurNAT и FWC

но пока рез тот же !
Спасибо за участие


УРА ЗАРАБОТАЛО !!
Видно иса продыбалась в домене нормально или правила взялись путём

Короче - всё как и говорили
Правила доступа с массиву особого НЕ создавал !!


Всем огромное спасибо !!!

Я уже задолбался.
Помогите, кто знает в чем причина.

Итак, проблема:
uTorrent (1.7.5) соединяется с трекером, раздачи зеленые, в сидерах/личерах на трекере я появляюсь но никто не может с меня качать и я ни с кого не могу.

Что я пробовал делать:
1. Настроил ISA 2006, в соответствии с руководством, с сайта uTorrent:

Цитата:

SA Server 2006 configuration:

Assuming that you'll use port 64000 - 64100 for multiple clients

1) Set up the following new Protocols:

Name: BitTorrent (Inbound)
Ports: TCP - 64000 to 64100 Inbound
Secondary connection: TCP 64000 - 64100 Outbound

Name: BitTorrent (Outbound)
Ports: TCP - 64000 to 64100 Outbound
Secondary connection: TCP 64000 - 64100 Inbound

Name BitTorrent (UDP)
Ports: 64000 to 64100 Send Receive
Secondary connection: 64100 to 64100 Send Receive

You can add each of these to the same Access Rule.

Create another new Protocol on a per-client basis:

Name: BitTorrent (Server - <Client Name>)
Ports: Create a TCP Inbound port range somewhere between 64000 and 64100 (e.g. 64000 to 64010)

Create a Non-Web Server Protocol Publishing Rule per BitTorrent client (client machines must have static IP or have DHCP reservations). These rules are the same thing as SOHO router's "port forwarding":

Name: What ever you want, be descriptive as to what the client using this rule is
Server IP: The client running BitTorrent
Listen from: External (aka The Internet)

Edit the above Server Publishing rule and go to the To tab. Make sure the radio box "Requests appear to come from the original client" is ticked.

Go to Configuration -> General -> Define Firewall Client Settings -> Application Settings tab

Create two New Applications:

Application: [Executable name without file extension, e.g. utorrent]
Key: RemoteBindUdpPorts
Value: 64000-64100

Application: [Executable name without file extension, e.g. utorrent]
Key: ServerBindTcpPorts
Value: 64000-64100

Save all of the above changes and commit them to the ISA Server.

Open utorrent, go to Options -> Preferences -> Connection, set the/a port that your Server Publishing Rule is using.

Under Advanced, go to net.outgoing_port and set it between 64000 and 64100.

I've also set the IP/host name to report to tracker to a Dyndns hostname, though you can also use the ISA Server's external IP (if you're running ISA in Edge firewall mode).

Note: I have not gotten DHT to function in my limited tests (sits at Waiting to log in or login with 0 nodes), but uTorrent reports that NAT is functioning correctly. Download speeds are excellent and upload also works.

Also note that these same steps should be applicable to ISA 2004, but NOT ISA 2000.

Что я добавил от себя (это не было сказано в руководстве):
- Использовал диапазон портов 20000-65000
- Использовал порт 50000 для входящего протокола (per client-basis)
- Создал дополнительный протокол "BitTorrent UDP RS" (UDP ReceiveSend для портов 20000-65000)
- Также создал правило: Разрешить все протоколы, созданные в руководстве и мной, из Internal в External для All Users.
- Правило публикации сервера (Non Web-Server publihing rule) поставил первым в списке правил в Firewall Settings, правило Internal to External BitTorrent rule - вторым правилом.
2. В uTorrent я указал 50000 порт для входящих соединений
Дополнительно установил опции:
- Случайный выбор порта: Отключено
- uPnP: Отключено
- NAT-PMP mapping: Отключено
- Добавить uTorrent в список исключений Windows Firewall: Отключено (У меня FW отключен, стоит KAV)
- DHT: Отключено (Он мне не нужен)
В любом случае, изменения этих настроек на ситуацию не влияют - всё так же плохо.
Единственное, что я не стал менять:

Цитата:

Open utorrent, go to Options -> Preferences -> Connection, set the/a port that your Server Publishing Rule is using.

Under Advanced, go to net.outgoing_port and set it between 64000 and 64100.

Если в этом параметре поставить определенное значение (я пробовал 50000), то трекер выдает ошибку -
Обычно разрешается одно использование адреса сокета (протокол/сетевой адрес/порт).

3. В Kaspersky Antivirus (7.0) добавил правило, разрешающее utorrent.exe любую активность.

И как результат (плохой результат):
- Я могу подсоединяться к трекеру, вставать на раздачу/скачку, но сами данные не передаются ни ко мне ни от меня.
- Также я не могу добавлять пиров вручную - после указания IP:Port (в диалоге "Добавить пира") ничего не происходит.
- Иконка в нижней панели красная.

Что мне сделать еще?
Я в ауте уже...

Что самое интересное, работало ж всё.
Вроде никаких операций сложных не делал с настройками.

выручайте!

хочу подключаться на isa server удаленно с домашнего компа.
все настоил все работает.
дома инет прямой без проксей. делаю подключение - подключаюсь. ip выдает 192,168,0,101 - серверу 192,168,0,102 - клиенту, например.
по удаленному рабочему столу конекчусь на сервер.

теперь вопрос если я нахожусь в другом офисе подключен к локалке, шлюз на isa
какие действаия я долже выполнить чтобы с этого рабочего места в локалке подключится к своему серверу?

drocher
Я так понимаю, что ты подключаешься к сети через VPN, а потом уже подключаешься к терминалу.
Тогда два варианта:
- для редкого (личного) использования: на ISA открыть VPN порты на выход и сделать всё тоже самое, что и дома
- для частого использования: на ISA создать подключение к сети офиса через VPN Remote Site

Добавлено:
d0uble zer0
uTorrent стоит на одном компе с ISA?

Помогите
Есть удалённый офис .
Связь через оборудование по каналу IP VPN.
Нужно через интернет без авторизации обновить программу через 5999 порт
Есть просто поставить шлюзом IP адрес VPN шлюза ,то интернет есть только через прокси. server:8080 . В настройке программы нету авторизации и прописывания прокси сервера.
Как быть? что нужно сделать чтоб через 8080 порт прошёл коннект к 5999 порту.

Rotten
если разрешено только прокси а программа не умеет прокси то без левых средств никак

а как сделать то?
Firewall client это сможет сделать?

Rotten

Цитата:

Есть просто поставить шлюзом IP адрес VPN шлюза

как понял из всего, что бело в маршрутизации, не ставь просто шлюз, а используй ROUTE


Цитата:

что нужно сделать чтоб через 8080 порт прошёл коннект к 5999 порту

Создать порт 5999 и включить на нем вебфильтр

PS: но честно сказать самой проблемы так и не понял

rijk
нет, на другом.
в общем проблема решилась просто - я поставил BitComet. Из чего делаю вывод, что uTorrent - кривая программа..

Rotten
если тебе надо просто пройти наружу по 5999 то создай протокол на этом порту и пусти его куда надо анонимно, или аутенфицировано но тогда с fwc
rijk
если у него 5999 это не http то веб фильтр ему не поможет, а если это http то и создавать протокол не понадобится

d0uble zer0
А с тебя качать могут, или ты только клиент?

hardhearted

Цитата:

если у него 5999 это не http то веб фильтр ему не поможет, а если это http то и создавать протокол не понадобится

да мы тут больше предположений делаем

Rotten
Дай больше инфы, что есть и как работает, что нужно

d0uble zer0

Цитата:

Из чего делаю вывод, что uTorrent - кривая программа..

Это не uTorrent кривой... нет. Это руки.
Как это у меня кривой uTorrent за исой работает - хз.

Цитата:

- для редкого (личного) использования: на ISA открыть VPN порты на выход и сделать всё тоже самое, что и дома

ну в общем я интуитивно догадываюсь что нужно сделать именно это. ))

но подробнее получается так.
я на сервере isa откуда буду конектится открываю порты. гм..
тоесть завожу политику где прописываю с такойто машины разрешить доступ...к указываю ip адрес машины в которую хочу воткнуться впн-ом?

потом мне надо на клиенте в локалке создать подключение к этому ip . тоесть я как клиент лок сети должен быть serure NAT клиентом этого isa сервера? или Firewall client ?

поправьте меня!
а то херово в уме представлять что нужно сделать...

ну смотрите . Шлюзом я могу только шлюз железки которая IP VPN делает между филиалами,а 5999 порт это не http, а просто порт сервера к которому софтина конектиться и высасывает базы и так далее.
порт 5999 сделан ,но он только заработает если через SecureNat тоесть шлюзом надо поставить IP Isаserver, но это сделать нельзя.
Вот наверно точно подмечено что нужно route сделать на этом компе чтоб всё в подсеть главного офиса шло через шлюз IP VPN.
Сейчас попробую.

Rotten
ааа
так бы сразу и говорил, вообще обычно шлюзом ставят то что смотрит в инет, а если в конкретные сети есть другой роутер то в них просто прописать статику на компах и все

drocher
Смотри открываешь порты для VPN, с ISA на этом этапе всё
Создаешь VPN подключение на своем компе, когда ты подключаешься ко второй сети, тебе выдает IP вторая ISA и ты уже в ней, первая ISA не как не влияет больше на работу. Теперь можешь делать что хочешь - или то что разрешено VPN клиентам на второй ISA

сделал всё проще поставил Firewall Client и открыл 5999 порт для этого компы и всё
поехала всё замечательно
Без клиента не пахало.
Ну и ещё сделал также без FC ? тупо установил шлюзом иса сервер и прописал роутинг статический на компе которому нужен был 5999 порт. всё очень просто. сорри за беспокойство . уже давно стал забывать всё как стал начальничком а пока админы сделают устану пинать. как говориться хочешь сделать хорошо сделай сам.

Поэртэфээмил
сеть за сетью
http://www.isadocs.ru/articles/Network-Behind-A-Network.html
теперь вопрос в статье не указано нужно ли создавать network rules для созданного периметра, я сделал route (что по моему правильно) но он почему то не сработал, сделал NAT все заработало странно

ISA 2004.
Там вроде как есть отдельные настройки на сохранение логов.
куда, в каком формате и сохранять ли вообще.
Вот первые два пункта знаю.

А где - "сохранять ли вообще"?

Booklet
Просто отключи логгинг и все

ITeXPert
1. Как?
2. Надо как раз включить.