Вопрос: купили спутниковый инет Filiago. Он коннектится с помощью своей проги. На сервере с этой прогой, чтобы ходить в инет, надо прописать в эксплорере прокси http 127.0.0.1 и порт 9202, socks 127.0.0.1 и порт 9203. Т.е. закольцевать на самого себя. Как в ISA 2004 SP1 Standart прописать в роли вышестоящего прокси самого себя, чтобы раздать инет по локалке?
» MS ISA Server (часть 1)
Приветствую всех!
Есть проблема:
Стоит ISA 2004 EE, и при помощи VPN Site-to-Site поднята связь с четырьмя филиалами. С этим все хорошо, все работает.
А сейчас пытаюсь поднять VPN на удаленном клиенте и здесь возникли проблемы: ИСА видит попытки приконнектится, однако никуда не пускает. Пинги, впрочем, тоже не идут. У клиента кричит ошибка 800 - типа не видит самого VPN-сервера. А в логах ИСЫ вся эта активность видна:
Protocol=PPTP
Source Network=External
Destination Network=Local Host)
Action=Failed Connection Attempt
Rule=Allow VPN client traffic to ISA Server
При этом site-to-site работают
Куды копать-то?
Есть проблема:
Стоит ISA 2004 EE, и при помощи VPN Site-to-Site поднята связь с четырьмя филиалами. С этим все хорошо, все работает.
А сейчас пытаюсь поднять VPN на удаленном клиенте и здесь возникли проблемы: ИСА видит попытки приконнектится, однако никуда не пускает. Пинги, впрочем, тоже не идут. У клиента кричит ошибка 800 - типа не видит самого VPN-сервера. А в логах ИСЫ вся эта активность видна:
Protocol=PPTP
Source Network=External
Destination Network=Local Host)
Action=Failed Connection Attempt
Rule=Allow VPN client traffic to ISA Server
При этом site-to-site работают
Куды копать-то?
Дык все посложнее будет. Схема здесь: http://nilsholgerson.narod.ru/Scema/schema.htm
Пришла мне в голову еще мысля.... Дело может быть в том, что шлюз по умолчанию - интерфейс по вызову от первого провайдера (галка в свойствах подключения "использовать шлюз в удаленной сети"). Белый IP - тот, к которому коннектяться VPN клиенты - от второго провайдера. Может в этом грабли?
Только попробовал я на примере одного клиента (его IP то я знаю) такую штуку - прописал статмаршрут его IP на интерфейс LAN-CSN. Мало того, этот клиент вообще находится где-то в этой же сети прова 2. Клиент с сервера пингуется и даже видится.
И все равно - болт. В этих условиях при попытке установить с клиента VPN подключение ко мне ISA кричит Failed connection attempt. Пинги с клиента рубит ИСА. Но случай с пингами я еще могу понять, как-никак Source Network это External, но почему ISA даже не пытается установить VPN подключение - вот это для меня загадка. Причем, из той же сети второго провайдера РАБОТАЮТ ДВА VPN Site-to-Site к моим филиалам.
[разводит руками]
Пришла мне в голову еще мысля.... Дело может быть в том, что шлюз по умолчанию - интерфейс по вызову от первого провайдера (галка в свойствах подключения "использовать шлюз в удаленной сети"). Белый IP - тот, к которому коннектяться VPN клиенты - от второго провайдера. Может в этом грабли?
Только попробовал я на примере одного клиента (его IP то я знаю) такую штуку - прописал статмаршрут его IP на интерфейс LAN-CSN. Мало того, этот клиент вообще находится где-то в этой же сети прова 2. Клиент с сервера пингуется и даже видится.
И все равно - болт. В этих условиях при попытке установить с клиента VPN подключение ко мне ISA кричит Failed connection attempt. Пинги с клиента рубит ИСА. Но случай с пингами я еще могу понять, как-никак Source Network это External, но почему ISA даже не пытается установить VPN подключение - вот это для меня загадка. Причем, из той же сети второго провайдера РАБОТАЮТ ДВА VPN Site-to-Site к моим филиалам.
[разводит руками]
NilsHolgerson
Dial-In permission есть у того кто коннектится?
Dial-In permission есть у того кто коннектится?
Поиск не пашет на форуме
Вопрос как корректно срубить баннеры в ИСА 2000
(есть ли другой способ кроме нудного пополнения DS с сайтами баннеров ??)
Вопрос как корректно срубить баннеры в ИСА 2000
(есть ли другой способ кроме нудного пополнения DS с сайтами баннеров ??)
MeGaBrAiN
Dial-In permission есть у того кто коннектится?
Естессно.
Сразу вопрос. Имеет ли значение для подключения удаленных VPN клиентов наличие или отсутствие ЯВНО прописанного шлюза по умолчанию на сервере и ИСОЙ?
Конкретно у меня ни в одном интерфейсе не прописан DG
Dial-In permission есть у того кто коннектится?
Естессно.
Сразу вопрос. Имеет ли значение для подключения удаленных VPN клиентов наличие или отсутствие ЯВНО прописанного шлюза по умолчанию на сервере и ИСОЙ?
Конкретно у меня ни в одном интерфейсе не прописан DG
NilsHolgerson
Главное, чтобы VPN-клиенты видели VPN-сервер. Все остальное значения не имеет.
Главное, чтобы VPN-клиенты видели VPN-сервер. Все остальное значения не имеет.
NEED
Главное, чтобы VPN-клиенты видели VPN-сервер. Все остальное значения не имеет.
это как?
Сервер не пингуется, хотя в логих ИСЫ я эти пинги вижу - Результат Denied connections
Точно также я вижу попытки приконнектица по PPTP. Повторюсь за ИСОЙ:
Protocol=PPTP
Source Network=External
Destination Network=Local Host
Action=Failed Connection Attempt
Rule=Allow VPN client traffic to ISA Server
Что же я забыл?
Главное, чтобы VPN-клиенты видели VPN-сервер. Все остальное значения не имеет.
это как?
Сервер не пингуется, хотя в логих ИСЫ я эти пинги вижу - Результат Denied connections
Точно также я вижу попытки приконнектица по PPTP. Повторюсь за ИСОЙ:
Protocol=PPTP
Source Network=External
Destination Network=Local Host
Action=Failed Connection Attempt
Rule=Allow VPN client traffic to ISA Server
Что же я забыл?
Ребят) такая проблема... просто горю... как вытащить конфигу и логи из Исы? при условии что есть доступ только на уровне файлов?
Здравствуйте.
Подскажите, хотя я понимаю, что ISA server 2000 автоматом закрывает все порты, но тут возникла необходимость закрыть порты, как это в нем сделать? Через Police?
Подскажите, хотя я понимаю, что ISA server 2000 автоматом закрывает все порты, но тут возникла необходимость закрыть порты, как это в нем сделать? Через Police?
NilsHolgerson
Сейчас точно не помню. Вроде там нужно правый клик по Network Configuration сделать и выбрать Allow VPN client connections, оно создаст нужные правила, потом по IP Packet filters правый клик, Properties -> PPTP поставить галку на PPTP throuth firewall. Ну и Routing and Remote Access service должен быть настроен должным образом. Для проверки попробуй со своей сети подключиться к VPN. Если подключится - знач RRAS настроен нормально. Если нет - копай вначале RRAS
Сейчас точно не помню. Вроде там нужно правый клик по Network Configuration сделать и выбрать Allow VPN client connections, оно создаст нужные правила, потом по IP Packet filters правый клик, Properties -> PPTP поставить галку на PPTP throuth firewall. Ну и Routing and Remote Access service должен быть настроен должным образом. Для проверки попробуй со своей сети подключиться к VPN. Если подключится - знач RRAS настроен нормально. Если нет - копай вначале RRAS
здравствуйте
появилась проблема. установлена ISA 2004 на сервере и Outlook 2003 + Firewall Client 2004 на рабочей станции. открыты все порты. проблема с сервером POP. отправляется-то почта на УРА.
при установке старого фаервольного клиента таких траблов не было, но и логи по понятной причине содержали много неавторизованного траффика.
прочитал статью Шиндера на эту тему. у меня и аутлук не дизейблится на Исе, и правила на Исе открывают все порты.
подскажите, в чём подвох
сорри, smtp тоже не бегает
появилась проблема. установлена ISA 2004 на сервере и Outlook 2003 + Firewall Client 2004 на рабочей станции. открыты все порты. проблема с сервером POP. отправляется-то почта на УРА.
при установке старого фаервольного клиента таких траблов не было, но и логи по понятной причине содержали много неавторизованного траффика.
прочитал статью Шиндера на эту тему. у меня и аутлук не дизейблится на Исе, и правила на Исе открывают все порты.
подскажите, в чём подвох
сорри, smtp тоже не бегает
http://www.isadocs.ru - куча полезной инфы на русском, тоже можно добавить в шапку
Скажите ккак ВПН сервер на ИСЕ поднять и какие правила создать!
Кстати кто знает как проксю в ИСЕ вырубить! Все локальные клиенты заходя на сайт стоящий на компе и исой принимают ИП сервера!
Кстати кто знает как проксю в ИСЕ вырубить! Все локальные клиенты заходя на сайт стоящий на компе и исой принимают ИП сервера!
XZNIK
http://www.networkdoc.ru/files/insop/isa/read.html?vpn-net-1.html (ВПН)
почитай а вообще смотри в шапку
http://www.networkdoc.ru/files/insop/isa/read.html?vpn-net-1.html (ВПН)
почитай а вообще смотри в шапку
Можно ли в ISA 2004 заблокировать инет ОТДЕЛЬНЫМ ПРОГРАММАМ на клиентах?
Если нет - посоветуйте легковесную прожку для этого (чтобы не ставить на клиенты персональный фраерлов: ловить-то за Исой нечего, я надеюсь).
LevT
в Define Firewall Client Setting, при установленных Firewall client
в Define Firewall Client Setting, при установленных Firewall client
ShriEkeR
Читаю Help - Advanced Client Settings: Disable(Ex)=1 И понимаю его совсем иначе: программа пускается в обход Winsock клиента и, тем самым, становится клиентом SecureNAT. Кто из нас прав?
В поддержку своей интерпретации скажу, что в своем SBS вижу автоматически созданные настройки Disable, DisableEx = 1, например, для inetinfo и outlook Согласитесь, что это вряд ли едва ли блокировка указанных программ.
Кстати, если народу интересно - могу привести список автоматических настроек из своего SBS... Но сейчас мне нужно запретить ходить в инет программе babylon с клиентов. Можно ли этого добиться через ISA клиента?
Читаю Help - Advanced Client Settings: Disable(Ex)=1 И понимаю его совсем иначе: программа пускается в обход Winsock клиента и, тем самым, становится клиентом SecureNAT. Кто из нас прав?
В поддержку своей интерпретации скажу, что в своем SBS вижу автоматически созданные настройки Disable, DisableEx = 1, например, для inetinfo и outlook Согласитесь, что это вряд ли едва ли блокировка указанных программ.
Кстати, если народу интересно - могу привести список автоматических настроек из своего SBS... Но сейчас мне нужно запретить ходить в инет программе babylon с клиентов. Можно ли этого добиться через ISA клиента?
Народ дайте ссылочку или расскажите в подробностях от и до как поднять в исе 2004 ВПН и как его настроить чтоб народ в нет лазил!?
Вот допустим я подымаю ВПН, оно у меня конектиться к серверу с ИСОй но на самом сервере интернет пропадает! В Чем баг! Когда сервак по ДСЛ то инет есть как только подымаю на нем ВПН провайдера спутникового то все......нету! Может что открыть надо! Посоветуйте!
Вот допустим я подымаю ВПН, оно у меня конектиться к серверу с ИСОй но на самом сервере интернет пропадает! В Чем баг! Когда сервак по ДСЛ то инет есть как только подымаю на нем ВПН провайдера спутникового то все......нету! Может что открыть надо! Посоветуйте!
LevT
в Application Settings добавляешь строку: babylon Disable=1.
в Application Settings добавляешь строку: babylon Disable=1.
LevT
Предлагаю у себя в DNS прописать зону Babylon c их серваком, только адрес IP ему поставить "левый", например 127.0.0.1
Предлагаю у себя в DNS прописать зону Babylon c их серваком, только адрес IP ему поставить "левый", например 127.0.0.1
Вооо! Я вспомнил что я еще спросить хочет)! Как через ИСУ два шлюза настроить!
ТОесть стоит комп, в нем 2 сетевухи, ДСЛ и локалка! ЧТо на локалке есть шлюз (для сетей) что на ДСЛ есть шлюз! Два прописываешь не работают! Как сделать!?
ТОесть стоит комп, в нем 2 сетевухи, ДСЛ и локалка! ЧТо на локалке есть шлюз (для сетей) что на ДСЛ есть шлюз! Два прописываешь не работают! Как сделать!?
ShriEkeR
это сработает, только если на клиенте шлюз по-умолчанию не прописан
Disable=1 значит данная программа не будет использовать Фаервол-клиента для подключения к интернету. Если же при этом SNAT прописан, то программа все равно пролезет в интернет.
это сработает, только если на клиенте шлюз по-умолчанию не прописан
Disable=1 значит данная программа не будет использовать Фаервол-клиента для подключения к интернету. Если же при этом SNAT прописан, то программа все равно пролезет в интернет.
XZNIK
указывать шлюз на внешнем интерфейсе. и всё.
Tabu13
см. How to Block Dangerous Instant Messengers Using ISA Server
указывать шлюз на внешнем интерфейсе. и всё.
Tabu13
см. How to Block Dangerous Instant Messengers Using ISA Server
ShriEkeR
Вот цитата из 6-го пункта приведенной тобой статьи http://www.isaserver.org/tutorials/How_to_Block_Dangerous_Instant_Messengers_Using_ISA_Server.html :
If any of the clients are configured as SecureNAT clients, change their configuration by removing the default gateway address. The SecureNAT client will be able to get around the limitations you set in the wspclnt.ini file. You can configure the Windows 2000 Group Policy to block user access to the Network Connections Control Panel applet.
Вот цитата из 6-го пункта приведенной тобой статьи http://www.isaserver.org/tutorials/How_to_Block_Dangerous_Instant_Messengers_Using_ISA_Server.html :
If any of the clients are configured as SecureNAT clients, change their configuration by removing the default gateway address. The SecureNAT client will be able to get around the limitations you set in the wspclnt.ini file. You can configure the Windows 2000 Group Policy to block user access to the Network Connections Control Panel applet.
ShriEkeR
Я же не спросил что надо сделать я спросил КАК!))
Я же не спросил что надо сделать я спросил КАК!))
XZNIK
Короче, смотри. ИСА-Сервер: 1-я сетевуха - мир, 2-я - локалка.
1-я сетевуха:
IP - назначен провайдером или вбит ручками;
Маска - назначен провайдером или вбит ручками;
Шлюз - назначен провайдером или вбит ручками.
2-я сетевуха:
IP - назначаешь сам;
Маска - назначаешь сам;
Шлюз - оставляешь пустым.
Роутинг включаешь на ИСЕ. В зависимости от версии включается в разных местах. Можно еще RRAS поднять для этого или просто в реестре:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"IPEnableRouter"=dword:00000001
На клиентах в качестве шлюза указываешь внутренний адрес ИСА
Короче, смотри. ИСА-Сервер: 1-я сетевуха - мир, 2-я - локалка.
1-я сетевуха:
IP - назначен провайдером или вбит ручками;
Маска - назначен провайдером или вбит ручками;
Шлюз - назначен провайдером или вбит ручками.
2-я сетевуха:
IP - назначаешь сам;
Маска - назначаешь сам;
Шлюз - оставляешь пустым.
Роутинг включаешь на ИСЕ. В зависимости от версии включается в разных местах. Можно еще RRAS поднять для этого или просто в реестре:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"IPEnableRouter"=dword:00000001
На клиентах в качестве шлюза указываешь внутренний адрес ИСА
Tabu13
Да, пожалуй это единственное решение. Беда в том, что я иногда переключаюсь на другие DNS. Хотелось бы обойтись средствами только файрволла.
LevT
ну еще можно в hosts забить на babylon 127.0.0.1
А что, создание правила Deny Access для babylon на ИСЕ не проходит? Ведь можно создать destination и по всем протоколам, если протокола не знаешь создать правило Deny Acces на этот адрес
ну еще можно в hosts забить на babylon 127.0.0.1
А что, создание правила Deny Access для babylon на ИСЕ не проходит? Ведь можно создать destination и по всем протоколам, если протокола не знаешь создать правило Deny Acces на этот адрес
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970
Предыдущая тема: Всё о DNS
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.