» MS ISA Server (часть 1)

PRiM
да ты прав не стоит галочка и тогда такой вопрос если я поставлю эту галочку что произойдет???
Lamerok
но вот на днях думаю загонять в Ад... вот и думаю что и как делать...

Подкажите пожалуйста настраивал ли ктолибо Isa со спутником
у меня пока только наземный выделенный он останется под исходящий
несколько реальных ip почтовый сервер
как наименне безболезненно в это схему включить спутниковый интернет

dimonte

Цитата:

Может есть какое описание по установке и настройке на русском?

конечно есть
в шапке темы жми "Подробнее..." и найдёшь почитать на русском

Народ, ничего не могу понять, может кто-то объяснит. ISA 2004 EE.
Configuration - Networks - Internal - Web Proxy - Authentication. Галка на Require all users to authentication не стоит. Тем не менее прокси не пропускает некоторые подключения от anonymous-ов. В частности все касперы при ИСЕ 2000 нормально обновлялись. Теперь пока не впишешь логин и пароль записи домена - ни в какую не хочет обновляться.

rstar1979

Цитата:

да ты прав не стоит галочка и тогда такой вопрос если я поставлю эту галочку что произойдет???

Будет требовать аунтификации юзвера и ананимусы лезть уже не смогут. Еще с этой галокой не работает ИЕ через NAT (если убрать прокси, и прописать ИСУ как шлюз и днс), только через проксю... Хотя почта все-равно работает... Лично мне это галка нужна, чтобы можно было легко отслеживать и рубить трафик ТрафикКвотой.

Настроил на ISA2004 VPN. Подключиться из внешнего мира удается, по VPN-у прицепиться к VNC-консоли и POP3 сервису стоящим на ящике с ISA тоже получается.

Но вот какая незадача - на том же сервере опубликовал стоящий в локалке терминальный сервер, с доступом сетей External и VPN Clients. Переназначил внешний порт прослушивания на 4000. В результате - непосредственно с хоста ISA на терминальный сервер цепляюсь (telnet 10.0.0.2 3389), из внешнего мира по порту 4000 - тоже нормально (telnet 195.x.x.x 4000), а с VPN подключения (telnet 192.168.0.1 4000) - фиг. Причем в логах файрвола даже следов того что ISA пытается стукнуться на терминальный сервер - нет, только коннект VPN клиента на порт 4000 и тут же дисконнект.

Куда копать? Гуру, спасайте!!

Как сделать чтобы ICQ заработала? Прокси настроен, браузер через ISA 2000 работает, а вот аська никак. Очень долго пытается подсоединиться и не получается. Подскажите...
И еще одна проблема. Поставил ИСУ на сервере, не работает, в правилах указано, что разрешать все IP запросы со всех. На другом компе в сети инет работает, а на самом сервере не работает. Подскажите как решить проблему, а то я новичок в этом деле.

Цитата:

Цитата:да ты прав не стоит галочка и тогда такой вопрос если я поставлю эту галочку что произойдет???

Будет требовать аунтификации юзвера и ананимусы лезть уже не смогут. Еще с этой галокой не работает ИЕ через NAT (если убрать прокси, и прописать ИСУ как шлюз и днс), только через проксю...

Да ну нафиг. Работать будет и через NAT, если firewall client поставишь. У меня пашет и так, и так, и авторизуется в обоих случаях нормально.

BadGuy

Цитата:

в обоих случаях нормально.

как это у тя NAT клиент авторизуется а??? Он только по ip "авторизоваться" может...

Preston
Поставь галочку на basic аутентификацию в "outgoing web request" свойства в сервере в исе менеджмент
а вообще почитай внимательней эту тему...

PRiM

Цитата:

А если ставить ИСУ2004 после установки АД, то надо какого-то хозяина перенести на комп с ИСОЙ...

первый раз об этом слышу... загонял несколько раз все входило как по маслу.

Добавлено:
rstar1979

Цитата:

но вот на днях думаю загонять в Ад... вот и думаю что и как делать...

рекомендую сначала во всех правилах прописать All Users после того как убедишься что все работает на данном этапе дублируй правило и прикручивай к нему пермишены. Предыдушее правило ставь в disable. Можешь для начала на тестовых Юзерах поэксперементировать если очень страшно на ходу передергивать.

Добавлено:
kozloff

Цитата:

Переназначил внешний порт прослушивания на 4000

попробуй все таки оставить порт 3389 и сделать стандартную схему публикации сервиса.
В чем смысл менять порт? Любой сканер тебе скажет что это rdp

Цитата:

telnet 192.168.0.1 4000

это localhost или внутренний сервак?
а еще проверь правила для сетей : стоит ли у тебя между сетью VPN Clientsp и сетью Internal правило Route? Если нет пропиши его.

Lamerok


Цитата:

попробуй все таки оставить порт 3389 и сделать стандартную схему публикации сервиса.
В чем смысл менять порт? Любой сканер тебе скажет что это rdp

И по стандартной схеме то же самое получается. В общем, как я выяснил экспериментально - если иса на которой опубликован сервис и VPN сервер стоят на одном ящике - листенер опубликованного сервиса в VPN подсети отсутствует напрочь.

Проблема была решена установкой OpenVPN (http://openvpn.net) на ящике с терминальным сервером, соответственно на исе я опубликовал openvpn вместо терминального сервера и снёс из правил исы всё что касалось ее родного VPN. Щас всё работает

PS: да и приятнее с OpenVPN работать - он же на базе OpenSSL сделан с которым я уже не первый год работаю

Цитата:

Может есть какое описание по установке и настройке на русском?

конечно есть
в шапке темы жми "Подробнее..." и найдёшь почитать на русском

+ добавил ссылок на переводные статьи!

Народ, если у меня галка не стоит, как авторизацию убрать совсем? А то только авторизованых клиентов пускает.

greenfox

Цитата:

как это у тя NAT клиент авторизуется а??? Он только по ip "авторизоваться" может...

Блин, читай внимательней. Firewall Client стоит, через него авторизуется.

Проблема!
У пользователя есть необходимость подключатся с локалки через ISA сервер к удаленной сети - VPN соединение а там подключение к Веб-ресурсу через IE.
Прописал правило разрешающее ходить с етого ІР по протоколу РРТР - заработало, ставлю Firewall Client - не работает, а надо...
Какое правило прописать чтоб пользователь авторизировался Firewall Client-ом и в зависимости от того есть ли VPN соединение ходил в внешнюю сеть или если нет то на локальн прокси?

WinnerVol

Цитата:

правило разрешающее ходить с етого ІР по протоколу РРТР

пропиши по ip
Если у клиента стоит fwc то ISA будет преобразовывать ip в имя
и все..
don't worry be happy

Lamerok
Да нет не все, столкнулся с той же проблемой что и WinnerVol, когда стоит FC соединение действительно нормально работает, но вот FC весь трафик шлет на ИСУ несмотря на то что приоритет роутинга ессно у ВПН. Это не есть гуд, так как зачем авторизовывать пользователя два раза? Это не правильно.

fortune

Что-то с исашным впн-ом гляжу и по другим форумам народ жалуется... Похоже иса путается в периметрах, во всяком случае та картинка которую визард исы рисует совершенно не соответствует тому что иса делает.

Народ, никто не сталкивался?

Делаю паблишинг веб-сайта через ИСА-2004

Вроде все нормально работает, НО!

Если клиент делает POST на сайт, причем объем постинга - порядка 10Кб - происходит облом.

При этом в логах - сообщения Failed Connection Attempt.

Читал на MS'е, что объем информации, допустимой к POST'у, регулируется параметром Maximum Payload Length в параметрах HTTP-фильтра, соответствующего паблишинг-правилу. Но у меня стоит по дефолту - разрешена любая длина.

Никто не наступал на аналогичные грабли?

BattleTank

Цитата:

Но у меня стоит по дефолту - разрешена любая длина

пропиши руками разрешенные методы и поставь Maximum Payload Length 10kb ( имхо больше не надо)

fortune
WinnerVol


Цитата:

но вот FC весь трафик шлет на ИСУ

вспомнил, однако. была такая фишка... с клиентом не работал ВПН. Честно говоря я особо не заморачивался и сделал отдельное правило, по кот . разрешил ходить с этого ip по определенным протоколам. Правилу поставил приоритет выше чем у остальных.
Конешно можно заморочится и прописать на исе еще отдельную сеть и т.д. но вот вопрос : а оно надо?
Вопрос в том , что если таких пользователей больше 5, тогда имеет смысл сделать дополнительну сеть и прописать на нее правила.
Кстати, как вариант, а если отдельным правилом прописать direct connect с этих адресов по pptp?а всё остальное зарулить в общие правила?

Продолжая вопрос... грабли усложнились динамической IP полученой от DHCP. Привязыватся к IP не получится...
Пользователь(не один) пользуестся либо ноутбуком, либо другим компом. Тоесть ограничения должны стоять только под его логином.

WinnerVol
если юзеров не так много то, можно сделать резервирование ip в dhcp
Если много тогда нужно разруливать по сетям.
Кстати,VPN соединение идетна один адрес или на много адресов?
Другого варианта я пока не вижу...

Цитата:

Кстати,VPN соединение идетна один адрес или на много адресов?

Да, идет на один адрес. А привязивать в DHCP не получиться поскольку ноутбуки разные, их мас-адресса не отследить.

Цитата:

ноутбуки разные

причем тут буки?

Код:
nbtstat -a <notebook ip address>

Никогда у меня выделенной линии не было, а вот теперь DSL нарисовался в ближайшей перспективе.
Как сделать так, чтобы на ISA старый диал-ап подключался в качестве резервного канала, если DSL не работает и выключался если DSL заработал?

SAIDKA
Я не знаю, в каком виде у тебя будет доступ к DSL, но если через VPN - тогда оно само так и будет работать. У меня VPN идет на СпейсГейт - когда работает, то все идет через него. Когда выключен - все идет через наземного провайдера.

Хотя у тебя ж диалап... Тады не уверен...

NEED

Цитата:

Народ, если у меня галка не стоит, как авторизацию убрать совсем? А то только авторизованых клиентов пускает.

что вы до этой галки докопались. она вообще не влияет пропускать анонимов или нет
кого пропускать решают правила файрвола. укажи в правиле all users и все самые отьявленные анонимы будут ходить как миленькие

Вопросик дурацкий, но что-то заклинило и не могу решить...
На компе стоял Вингейт, но в силу ряда причин, нужна ISA. Ставлю ISA 2004, все основные сервичы работают нормально... Но никак не могу врубиться, КАК в ИСЕ сделать маппинг портов?? Обьясняю, что в результате надо получить:

Из внутренней сети, на определенный порт локальной машины (с ИСОЙ) приходит пакет. В зависимости от номера порта, на который пришел пакет, его надо перенаправить его на определенный адрес и порт в инете.
В вингаде енто решалось элементарно маппингом портов. а в ИСЕ как сделать?

Подскажите как заставить работать OPERA 7.5 под ISA ?
Заранее спасиб.