» Microsoft ISA Server 2006/2004/2000 (Часть III)

Да нет...схема простая 10 сетка ходит в инет через нат... через проксю...

а я попытался отгородиться от ее основной части ИСОЙ (она в другом здании и т.д.)

опубликовать я хочу на промежуточной исе между моей частью 10.65.0.0 255.255.255.0 , и остальной 10 подсетью, чтобы можно было безболезненно воткнуть нат. так вот вопрос - имеет ли смысл публикация при маршрутизации? и можно ли работать с серваком по айпишнику исы при таком раскладе...

пока был нат и 192 подсетка - все было прекрасно - все публиковалось прекрасно(правда иса была 2000 и винда 2000) Но заставили перейти в 10 и маршрутизацию...


telnet "IP ISA" 5000 следов в логах не оставляет
telnet "IP сервера" 5000 оставляет что прошел

ailya1960

публикация для того и нужна, что бы дать выход наружу сервакам с серыми ip - т.е. находящимися за натом ... У вас внутри всё серое, т.е. в нате как таковом смысла нет (это уже потом при выходе из вашей 10.0.0.0/8 ip пакеты будут натится) Так что вам и публикация как бы не к чему (а между сетями у вас внутри стоит route, это ваш сервак надо публиковать на первой исе)
Всё - это наск я понял вашу топологию...

Добавлено:

Цитата:

telnet "IP ISA" 5000 следов в логах не оставляет
telnet "IP сервера" 5000 оставляет что прошел

ну да, всё логично.
Т.е. оставляете роут между сетями (как и должно быть) и соот-но ничего публиковать не надо.
(хотя можно и нат включить - работать будет. Вот тогда придётся публиковать уже внутренний сервер. Но этот метод явно будет в ущерб карме)

Цитата:

Цитата:
Ребята где в Исе открыть порт для почты ?
Дали программу по бухгалтерии для отправки отчетов... настроек вобще там минимум... я так понял понял что через порт 20 отправка а прием ?
Вобщем где в Исе открыть эти порты ?     

Цитата:
IeugeniyI
стандарт на выход 25 порт. Приём 110..
программа дипост

Цитата:

Ребята я так и не понял что где включить что бы поста заработала..........
можно как то подробней..... а то я только поставил ИСу 2006 много непонятностей...

и еще вопрос...
у меня в Конфигурация - Сети - Внутренняя - свойства - Веб Прокси... стоит разрешить http и стоит порт 3128.... но почему то инет ходить только через порт 8080......
меняю на 8080 ходит... ставлю 3128 все равно ходит через 8080...
Что за мигия такая ))))) ?

Добавлено:
не могу разобраться...

IeugeniyI
Для начала стоит прочитать мануал к ИСА2004, очень не серьезные вопросы вы задаете, на которые врядли кто-то серьезно ответит.

Цитата:

у меня в Конфигурация - Сети - Внутренняя - свойства - Веб Прокси... стоит разрешить http и стоит порт 3128.... но почему то инет ходить только через порт 8080......
меняю на 8080 ходит... ставлю 3128 все равно ходит через 8080...
Что за мигия такая ))))) ?

ну а с этим как быть...
в справке не нашел

greenfox

да, все правильно, но проблема в том, что Вэб сервера публикуются легко... хоть один, хоть 10....

а сетевые сервисы(сервера) не выходит... Причем не сказать, чтоб совсем не работает - если вместо "разрешить" в правиле поставить "запретить", то ведь запрещает сервак...

Т.е. все работает кроме того, как нельзя обратиться по адресу исы... В документации написано, что при маршрутизации правила публикации серверов выполняют ту же функциональность что и правила доступа... И использовать айпи сервера для связи с ним... Хотя и открыто не говорится - можно ли использовать айпи исы.... Короче проблема специфическая и похоже, никому особо не нужная кроме меня...

Вот только все равно хочется пустить все через ису....(((

ailya1960

Цитата:

Вот только все равно хочется пустить все через ису

вы в обоих случаях пустите ВСЁ ЧЕРЕЗ ИСУ:
- только в случае NAT-а вам придётся сервак публиковать - бо сеть снаружи внутренняя "не видна" тогда
- в случает обычного роутинга между вашими подсетями пакеты будут просто проходить через ИСУ как маршрутизатор (т.е. проходить правила фильтрации только и публикация не нужна)
Цитата:

В документации написано, что при маршрутизации правила публикации серверов выполняют ту же функциональность что и правила доступа... И использовать айпи сервера для связи с ним...

ну и? Из ваших слов следует что в док-и чётко сказано что надо при маршрутизации стучаться по ip сервака, а не исы, что логично (имея ввиду всё вышесказанное).
У вас в чём проблема то тогда?
PS вам бы мануальчиГи почитать для начала ...

greenfox

насчет мануальчиков читал шиндера, да и на сайте майкрософта, так что зря...

я в принципе и сам все прекрасно понимаю, что вы говорите...

Понимаю и что публиковать не нужно и что через ису пойдет и т.д.

Однако: почему публикуются ВЭБ сервера? и не публикуются обычные... Это и сбило...

greenfox
ailya1960
независимо от того что там стоит, nat или route, публикация должна работать в обоих случаях, либо просто неправильно публикация настроена, либо что то из портов занята исой.
IeugeniyI
действительно надоел. выясни сначала по какому конкретно протоколу работает прога (tcp или udp, номер порта, и направление), создай такой протокол в исе и сделай для него правило.
по поводу порта прокси, ты ису рестартить пробовал?

hardhearted сам нодел !
Да, пробывал.....
непомогло !

hardhearted
Это точно?

вот что нашел


http://www.microsoft.com/technet/isa/2006/deployment/publishing_concepts.mspx
Server publishing allows virtually any computer on your Internal network to publish to the Internet. Security is not compromised because all incoming requests and outgoing responses pass through ISA Server. When a server is published by an ISA Server computer, the IP addresses that are published are actually the IP addresses of the ISA Server computer. Users who request objects assume that they are communicating with the ISA Server computer—whose name or IP address they specify when requesting the object—while they are actually requesting the information from the publishing server. This is true when the network on which the published server is located has a network address translation (NAT) relationship from the network on which the clients accessing the published server are located. When you configure a route network relationship, the clients use the actual IP address of the published server to access it.

When a route relationship is configured between networks, either a server publishing or access rule can be used. Specifically, when the following conditions are true, access rules and server publishing rules have identical functionality:

• A route relationship exists between the source and destination IP addresses.

• No port translation (forwarding) is needed.

• The protocol has no application filter.

• Network Load Balancing (NLB) is not used, or the number of possible clients is negligible.

И вот:

Address translation

When the network relationship is defined as NAT, the client connects to the ISA Server external address. The published server receives the packet from a source address of either the client or the ISA Server internal address, depending on how you configure the publishing rule. The default setting for server publishing rules is that the published server receives the client address. The default setting for Web publishing rules is that the published server receives the ISA Server internal address.

When the network relationship is defined as route, the client connects directly to the server. The published server will receive the packet from the client address. However, for Web publishing rules (only when publishing HTTP), you can configure whether the published server should receive the ISA Server internal address.

на шлюзе стоит USB модем и в качестве внутреннего интерфейса сетевая. Где и что можно почитать, чтобы правильно сконфигурировать ISA для такого режима работы? На сайтах указанных в шапке нет такой информации

Здраствуйте! Подскажите пожалуйста, как решить следующую проблему: При соединении пользователей локальной сети с игрой , их выбрасывает ISA (клиент показывает красный крестик). Что нужно прописать на самом ISA server чтобы такого не происходило? (Isa 2006)

RXLayer
usb модем это тоже интерфейс, так что создаешь подключение и говоришь исе автоматом его поднимать, все остальное как обычно, исе самой наплевать какие у тебя интерфейсы и модемы, этим занимается винда.

hardhearted
USB - это тоже интерфейс я согласен, но.... вот что пишут...


Цитата:

Программное обеспечение брандмауэра ISA можно установить на компьютере с
одной сетевой интерфейсной картой. Такая конфигурация имитирует конфшура-
цию Proxy Server 2.0 или брандмауэр ISA Server 2000 в режиме только кэширова-
ния. Брандмауэр ISA Server 2004 не может работать в режиме только кэширования,
но при установке этого брандмауэра на компьютере с одним сетевым адаптером
можно лишить брандмауэр существенной части его функций.

RXLayer
так у тебя то две карты, считай что вторая это усб модем, он тоже считается интерфейсом. будь то усб модем, обычный модем, wifi, gprs или просто pptp до провайдера, это с точки зрения винды интерфейс, а исе все равно какой, она интерфейсами не рулит и в исе они не настраиваются. идинственное место где есть работа с интерфейсами это пункт про автоматическое поднятие существующих dialup интерфейсов, что проще сделать кстати и в самой винде.

Ответьте, пожалуйста, на два вопроса:

1. Если организовывать доступ в инет через шлюз с Win XP + ISA 2006, локалка с сервеом под Win Server 2003 и доменом, шлюз должен быть членом домена?
2. Можно ли с помощью такого шлюза раздавать инет как входящим в домен так и не входящим в домен пользователям ? (Пять компов в домене, а два нет. Все подключены к одному коммутатору)

Villi_V
можно всё
только ставить на XP наверно смысла нет - она же только 10 подключений тянет вроде ...

А ссылочки на пошаговую инструкцию по установке ISA Server в качестве Firewall случайно нету? В шапке такой нет.

Народ помогите! Есть комп с тремя сетевухами, одна смотрив инет, другие в две внутренние подсетки, на внешнем интерфейсе прописано 2 белых IP адреса и на каждом опубликовано по почтарю из внутренних подсеток, теперь внимание вопрос! как сделать так чтоб все исходящие пакеты из одной подсетки шли через один белый ип а из другой через другой!? (это нужно для того чтобы почтари на отшибали на проверке PTR т.к. щас иса валит весь исходящий траффик из обеих подсеток ч/з дефолтный белый ип)

Цитата:

исходящие пакеты из одной подсетки шли через один белый ип а из другой через другой

isa имхо не имеет это делать

Villi_V
начнем с того что ису нельзя поставить на XP, это десктопные оси, они чтобы игрушки играть и порнушку смотреть
по поводу инструкций, есть куча книг (например легендарный шиндер, есть даже на русском) и статей в инете, например на офсайте
http://www.microsoft.com/isaserver/techinfo/guides-articles.mspx

shuum
иса не роутер, она роутингом не занимается в корне, а винда такое врядли умеет, потому что у нее хоть роутинг и есть, но примитивный до ужаса. а почтари можно и так по нормальному настроить.

hardhearted

Цитата:

начнем с того что ису нельзя поставить на XP, это десктопные оси, они чтобы игрушки играть и порнушку смотреть

В кратком хелпе к ИСЕ написано что если использовать как Firewall, то на ХР встает.

Villi V

Цитата:

В кратком хелпе к ИСЕ написано что если использовать как Firewall, то на ХР встает.

где и в каком контексте это написано
и что ты имеешь ввиду под выражением "как Firewall"? иса и есть файрвол+прокси.

Вот выдержка из инструкции


Сервер ISA Server 2006 управляется с помощью оснастки управления диспетчера ISA Server. Между компьютером ISA Server и компьютером с запущенной программой управления ISA Server должно быть установлено надежное, быстрое подключение, чтобы диспетчер ISA Server мог быстро отвечать, отображая обновленные сведения о конфигурации.

Если скорость подключения к компьютеру ISA Server меньше 5 Мбит/с, то рекомендуется подключиться к компьютеру ISA Server через RDP-подключение и запустить на нем диспетчер ISA Server.

Требования для работы диспетчера ISA Server
Для использования диспетчера ISA Server требуется следующее:

операционная система Microsoft Windows Server 2003 SP1 или Microsoft Windows Server 2003 R2;


операционная система Microsoft Windows® XP SP1 или Microsoft Windows XP SP2;


не менее 256 МБ памяти.

Villi_V

Цитата:

Для использования диспетчера ISA Server

не путайте хрен с морковкой.

5555555
А на каком софте лучше организовать шлюз?

Villi_V
смотря про какую версию исы идет речь, если 2004 (сам рубанулся), то как и написано в офф требованиях:
w2k sp4 (и выше), если нужен splitstream - дополнительно обновление 821887
, а лучше на w2k3.
железо - в зависимости от нагрузки и ширины канала...

Настраиваю ISA 2006. Никак не могу найти где настраивается автоматическое прерывании неактивных VPN подключений для VPN-клиентов.... Может, кто подскажет ...

Villi_V
под смешным диспетчером исы (убивал бы всех кто переводит хелпы на русский вместе с теми кто их читает) имелось вииду mmc оснастка для управления исой, а не сама иса
сама иса 2004 sp1 или новее и 2006 должны устанавливаться на w2k3 sp1 или новее, и если верить первоисточнику толкько на 32бит
You can not install ISA Server 2006 on 64-bit versions of Windows Server 2003 operating systems.