» MS ISA Server (часть 1)

Народ кто нибудь конфигурировал ISA сервер как VPN .
установил через визарда ISA Virtual Private Nervork для поддержки перемещающихся клиентов .(ДС, днс днср ISA две карточки одна в локалку вторая в итернет через кабельный модем) Пробую подключится через интернет через кабельный модем с комп с вин2к( естественно создал подключение VPN) . Так вот в чем дело если в пропертис подключение на вин 2к убрать галочку для подключения к домеину тоесть типа обычного юзер и пасворд то подключение происходит. но ничего не изменяется то есть с клиента ничего не видно ни компов в сети ни шар.то есть как будто бы и не подключился, хотя в RAS на сервере с ISA вижу сессию РРТР - если поставить галочку для домеина то подключения не происходит пишет или юзера такого нет или пасворд не правильный . ( Вот здесь собственно у меня затырка так как все таки подключатся .С VPN до этого дела не имел.
С однои стороны для того что бы обычно подключится к домеину комп вин2к должен быть вначале принят в домеин с другои стороны как это реализовать через VPN. и нужно ли это. Вообщем чегото я запутался.А может и совсем дело не в этом а нужно что то где то подкрутить в настроиках.
В общем жду ваших предложении.и помощи.

LAZ
I don't know what is
Цитата:

сиквелом?

из ISA тянет

LAZ
Тут я тебе не помошник... у меня логи в текстовики пишутся...

Неужели с VPN никто не возился? Пока ответа не нашел.

Borgia
Сам я VPN в Исе не пробывал, но могу поспрашивать. Самому интересно.

А в том случае, когда соединение проходит, видишь машины в другой сети (ping)?
Я так понимаю, что домен есть Он в native mode работает? И потом, для того чтобы машина могла войти в домен win2k она должна быть прописана в Active Directory...

Leonid_Z

сиквел - SQL ..... ну назавю его я так..;)

Цитата:

А в том случае, когда соединение проходит, видишь машины в другой сети (ping)?

нет машины не вижу.


Цитата:

Он в native mode работает?

в нативе но вданном случае с VPN , я думаю это не важно.

Цитата:

И потом, для того чтобы машина могла войти в домен win2k она должна быть прописана в Active Directory...

Вот я о томже спрашиваю.

Цитата:

С однои стороны для того что бы обычно подключится к домеину комп вин2к должен быть вначале принят в домеин с другои стороны как это реализовать через VPN. и нужно ли это.

Ведь в принципе VPN сделано для того чтоб можно было спокоино и безопасно подключится с любой точки. Да и комп может быть с вин 95-98. Да и с разных компов люди могут работать. всеж не будеш прописывать в актив директори.

Borgia
Попробую на этой неделе у себя VPN поднять на ISA... расскажу что получилось

Borgia
По поводу компа с Вин95-98. В политиках есть параметр Lan Manager Authentication level.
Если там стоит самое строгое Use NTLM2.0 refuse NTLM, то ничего с 98 не получится. Если я правильно помню, и заправка картриджей и юзерские проблемы не вытеснили все крупицы разумного, то в таком случае используется только Kerberos.

Аккаунты для компьютеров можно создавать и вручную, а не в процессе подсоединения компьютера к домену.

А если не входить в домен, соединение успешно? Машина с Исой пингуется, а дальше нет?

DimKu

Цитата:

Стоит MS ISA + SuperScout.
Создаю новый rule: All destination; Always; Allowed; Any request; All content groups. Все остальные отключены для чистоты эксперимента.
Проверяем: открываю forum.ru-board.com -- ok
открываю www.sex.ru -- ok
На другом компьютере: На любой странице, под любым пользователем -- Access Denied!

В чем может быть дело?

Для начала создай protocol rule, в котором по протоколу http и https разреши доступ желаемой clients address set.

Уже после site and content rules.

привет всем помоему все получилось. Ларчик открывался довольно просто.
Расказываю по порядку .
1 когда комп подключался успешно без строчки с домеином. Я в RAS - ports посмотрел на порт и зашел в статус. И я увидел что комп получил вернее назначил ип сам себе тоесть 169.254.хх.хх.. Здесь меня стукнуло я был уверен что мои DHCP даст ему ип. Впринципе так и должно было быть. Я полез в RAS. И в пропертис - IP- отметил вместо DHCP - Static Adress Pool и задал ему ранже IP адресов. После этого еще одну вещ обнаружил. У меня домеин феиковый тоесть ХХХХ.local так вот почему то клиентскии комп этот ,,local ,, никак не хотел воспринимать а без него тоесть просто ХХХХ зашел получил IP от RAS и великолепно подключился . Теперь Я увидел его в Workgroup т.к к домеину он не был присоединен. После етого комп присоединили к домеину он естественно попросил перезагрузится и после зтого уже когда подключился я увидел его в нетворк пласес. И теперь естественно можно было работать как с любым компом в сети. Хочу отметить еще пару вещей
1 юзер котоый подключается с удаленного компа должен само сабои присутствовать в актив директори тоесть должен быть членом домаин юзерс .
2 в своиствах юзера в Dial-IN нужно выставить Allow access
3 в RAS в своиствах REMOTE ACCESS POLICY отметить
А, Grant remote access permission
B, Specify the conditions to match нажать кнопку add и выбрать из списка Wiтdows Groups --Domain Users.
Ну вот собственно и все Если кому поможет буду Рад . А также приветствуются поправки и дополнения.

Borgia
А DHCP не удалось пропустить через ISA??? У меня в свое время стояла такая же проблема, но я плюнул на нее потом...

Klisha

Цитата:

Borgia
А DHCP не удалось пропустить через ISA??? У меня в свое время стояла такая же проблема, но я плюнул на нее потом...

да нет пока не получилось. хотя вроде все как надо стоит. С другои стороны может пробема что у меня все на одном компе и иса и дс и днс с дчсп

Vic

1 интерфейс в локалку, 2 в PIX

Borgia - а ты не настраивал VPN исходящий с иса сервера?
Я вверху пятой страницы этой темы описывал трабл - так и не разобрались...
посмотри плиз.

kibkalo


Цитата:

Borgia - а ты не настраивал VPN исходящий с иса сервера?

Пока еще не пробовал. Сеичас в 1 час ночи только закончил установку 2003 сервера и ису на него. Хм - ну вроде работает конечно нужно еще настроить рули тд. Ну вроде так ничего пока. Завтра докончу с установками и заимусь VPN.( Чего то там намудрили с днс в 2003 проблему описал в- программах)

А вот такой вопрос - может ли ISA сквозняком пропускать к VPN серверу, который стоит внутри локалки? т.е. можно ли настроить через server publishing в ISA публикацию VPN сервера?

Внутри стоит VPN на Windows Server (10.1.1.21) и локальные клиенты нормально к нему коннектятся. Локалка имеет доступ в инет через ISA Server (211.119.45.1, 211.119.45.2 например). Можно ли настроить ISA Server так, чтобы кленты из инета конектились к этому VPN серверу? (сделать дырку с публикацией по портам, разрешить IP-протокол и т.п)

IgorKo

А почему ты не хочеш сделать VPN на самом ISA , ведь это же одна из его возможностей и дырок сквозных никаких не надо делать. Зачем все усложнять.

Borgia

По нескольки причинам:
во-первых, это отдельный VPN сервер, т.е. доступ из вне (из инета) нужен только к нему, а не ко всей локалке (это главное).
во-вторых, такой Pattern сложился (или можно сказать - стереотип ). SSL-сервера, с доступом по клиентским сертификатам, тоже только через server publishing...
Вот и сдесь думалсь, что есть аналогичная возможность.

IgorKo

А может есть смысл замутить ето через DMZ.
Цитата:

т.е. доступ из вне (из инета) нужен только к нему, а не ко всей локалке (это главное).

Цитата:

А может есть смысл замутить ето через DMZ.

Да, может так и придется, только хотелось бы по подробнее про демилитаризованную зону. А то у нас перед ISA стоит просто комп. (гейт), на котором порты зарезаны 135, 25 и как бы всё...
А вот как DMZ должна по науке строится? Может где толково описано? не подскажете?

http://www.isaserver.org/
Посмотри тут сделаи поиск по DMZ там есть решения и проблемы описаны.
http://www.isaserver.org/pages/search.asp?query=DMZ+&x=10&y=12

вот нашел набест форум ру за правильность не отвечаю.

.......Каким образом создать Thrihomed DMZ при помощи ISA Server? Интересны варианты с приватными и публичными адресами в DMZ.


Реально работает вариант только с публичными адресами - если ISA подключена прямо к Internet.
Реализуется это так:
Есть 3 интерфейса, 1 - в Internet, 2 - в DMZ, 3 - в LAT. Адреса из 1 и 2 сетей не входят в LAT. Включается на ISA маршрутизация. После этого настраиваются правила маршрутизации в DMZ - какие порты открыты и разрешения доступа.
Работает так:
1. Пакеты из Internet в DMZ при разрешенных правилах просто маршрутизируются в DMZ;
2. Пакеты из DMZ маршрутизируются в Internet при разрешенных правилах доступа при этом не используется NAT;
3. Пакеты из Internet и DMZ не могут быть маршрутизированы в LAT;
4. Пакеты из LAT в DMZ и Internet преобразуются при помощи NAT и прохдят при азрешенных правилах доступа;
5. Для ISA DMZ и Internet - одно и тоже.
6. Необходимо, чтобы вышестоящий (перед ISA) маршрутизатор передавал на ISA пакеты в DMZ. .................

У меня такая проблема, пробежавшись по топику я не видел есть ли у кого такая же. Так вот, после установки на сервер MS ISA он стал очень сильно тормозить, точнее томозит сеть сама а не сервер. Стоит 1С Предприятие на этом же сервере, и обработка данных идет очень медленно, а бывает, что 1С просто у кого то закрывается, так и не выполнив операции. До того как не было MS ISA все было нормально. Комп Пень 4, 1 Гиг ОЗУ, 3 винта RAID, Windows2000 AdS. ISA стоит в смешенном режиме. Переустановил сервак, та же фигня. Интернет идет через роутер-ADSL-модем Zyxel 642.

ZeleniyNET

А как при этом работает интернет у юзеров .и какие настроики у исы?

У юзеров инет работает без проблем так как функцию фаервола исполняет роутер, практически все порты открыты. Есть несколько настроек доступа к инету, расчитанные на разные категории пользователей, но в основном это просто деление по времени доступа. Больше ни каких ограничений нет. пинг до сервака меньше 1 мс.

ZeleniyNET

А в логах исы ничего подозрительного нет случаино. кстати попробуй устаовить ради проверки на один из компов клиент исы.

Клиенты стоят на тех машинах где есть интернет, а в логах есть ошибки на счет работы прокси и ошибки о совпадении имен в инете и внутри сети, хотя такое не может быть . Кстати еще одна замеченная особенность, если стоит клиент и запрещен доступ клиента в инет, то с этой машина не возмжна печать на сетевой принтер.

Цитата:

Кстати еще одна замеченная особенность, если стоит клиент и запрещен доступ клиента в инет, то с этой машина не возмжна печать на сетевой принтер.

на isaserver.org посмотри было там что то про печать . и если не трудно запости сюда логи.

Помогите настроить SSL-туннеллинг через ISA.

Текущие настройки:
1. Server Properties/Outgoing Req/EnableSSL
2. AccessPolicy/IP Packet Filters/My SSL/Filter Type/TCP:localport(Dynamic),Remoteport fixed443)
3. Network Configuration/Rule/Bridging(SSL as SSL)

А в итоге все равно получаем на клиенте: HTTP/1.1 502 Proxy Error ( The specified Secure Sockets Layer (SSL) port is not allowed. ISA Server is not configured to allow SSL requests from this port. Most Web browsers use port 443 for SSL requests. )

Где еще копать?

Цитата:

tatian

Посмотри еще здесь
http://www.isaserver.org/pages/search.asp?query=ssl&x=9&y=9