» Microsoft ISA Server 2006/2004/2000 (Часть II)

kuah
все просто, при выключенной галке второй сервак не имеет маршрутов в сеть 192.168.0.0, либо делай site-to-site vpn (tckb ты хочешь две сетки соединить по впн то это и есть правильный вариант), либо на втором серваке впиши route add -p 192.168.0.0 mask 255.255.255.0 ip_vpn_интерфейса то есть маршрут в удаленную сеть через ип который сервак имеет на впн интерфейсе, естественно лучше настроить чтобы адрес у него был всегда один и тот же

hardhearted
ты правильно меня понял, я тоже хочу сделать site-to-site vpn, но это позже, а пока задача простой vpn-доступ, чтобы народ мог работать

Проблему так и не решил,,,,может кто не заметил -http://forum.ru-board.com/topic.cgi?forum=8&topic=14455&start=1480
Vby
ты бы не мог по подробнее про эти правила??какое правило?просто доступа или как?или можжет перед этим надо подсети создать или зону какую,,,,демилитаризованную???

[b]KocmonpaB[/b]
Нет, к сожалению вариант с блокированием POST не подходит. Буду искать дальше...

Не могу никак понять, что за сертификат нужен для SSL и где его взять? Объясните по-русски плиз...

kuah
ну решение я тебе сказал, у впн клиента должен быть маршрут в удаленную сеть через впн интерфейс, если ип динамически раздаются то лучше для впн клиентов на исе сделать не отдельную сеть а пул адресов из интернал, тогда маршрут писать не придется.

заранее извеняюсь,,,ОЧ НУЖНА ПОМОЩЬ
...видимо я неправильно изложил..
Уже 2 месяца мучаюсь не могу с этим справится,,очень нужно!!!!!
Вообщем ситуация такая:
есть 2 филиала(главный офис и филиал) и в каждом сеть(главный-192,168,79,0, филиал 192,168,77,0 )так вот ISA server2006 стоит в главном офисе,,т.е. получается что филиал за исой, а главный перед исой,!
С исы любой комп филиала пингуется.а обратно нет.
Вопрос такой: Что нужно сделать в исе чтобы компы на филиале видели компы в главном и наоборот,,или хотя бы пинговались в обе стороны свободно.
Что нужно сделать,,,что не пробовал не получается,,видимо не то делаю,,,,,скажите что нужно делать!!!?????????
какое правило создавать или подсеть демилитаризованную зону ?
или покажите куда обратится?

timsson
интерфейсы именно на эти сети настроены? то есть на одной сетевухе стоит ип из 192.168.79.0 а на втором из 192.168.77.0?

Подскажите плиззз. Есть один ISA 2006 и есть два выделенных канала. Необходимо часть пользователей посадить на один канал, а часть на другой. Реально вообще такое сделать?

Romirez23
нет

hardhearted
нет
там короче получается в главном стоит же маршрутизатор он 192,168,80,1--внутренний и внешний фэйс -"внешний ip", а уже иса имеет внешний-192,168,80,2,,,внутренний 192,168,79,0

timsson
ну и? а второй тогда офис где?

филиал --
маршрутизатор внешний--"внешний ip",,,внутренний 192,168,77,0
компы тоже все на 192,168,77,0

timsson
вот чтоб мозг людям не трямкать надо было сразу написать что между филиалами простой дикий интернет, а то три твоих поста назад было видно что стоит иса и видит оба офиса напрямую. а сейчас твои офисы без впн друг друга видеть не могут, потому что провайдеры не будут роутить твои левые виртуальные сети. Поднимай site-to-site vpn между офисами и будет тебе счастье.

site-to-site это же надо на филиале ставить комп с исой?

timsson
ну если роутер в филиале не умеет впн то надо что то что умеет, без впн вариантов нет вообще (если только не прямое соединение делать, например кабель кинуть ))

hardhearted
ну 2 маршрутизатора то между собой имеют впн!!!кот на филиале и кот на в офисе.....!
это помимо исы!

timsson
а сразу это написать было не дано?
тогда нет ничего проще, проверь чтоб на роутерах через впн пропускался трафик между нужными сетями, на роутере главного офиса впиши маршрут в локалку главного офиса через ису, на исе задай сеть филиала как subnet и создай network rule между internal и этим subnet. а дальше собственно правилами файрвола разреши нужный трафик между internal и этим subnet (например весь трафик)

Цитата:

[/q]
[q]Вопрос скорее GUI'шный:

Ставлю ISA Server 2004 Standard Edition уже на 2-й сарвер, а проблемка так и не решилась. После установки в стандартной комплектации (с MSDE) в трее появляется "SQL Server Service Manager" с "белым круглишком". При этом экземпляр (MSSQL$MSFW) в службах запущен и нормально функционирует. Если его в ручную подцепить к "SQL Server Service Manager":
В контекстном меню Open SQL Server Service Manager > в поле "Server" вводим 127.0.0.1\MSFW и нажимаем кнопку Refresh Services... > получаем, как и положено, "зелёную стрелочку в белом круглишке".

Эта "зелёная стрелочка" говорит о статусе (работоспособности) экземпляра MSSQL$MSFW.

Вопрос: почему после перезагрузки сервера "SQL Server Service Manager" теряет соединение с MSSQL$MSFW и его опять нужно настраивать?

Утилитой C:\Program Files\Microsoft SQL Server\80\Tools\Binn\SVRNETCN.exe добавь необходимые протоколы, можно только TCP/IP. После перезагрузки агента будет работать.

hardhearted
думал и так понятно..
сами раоутеры(маршрутизаторы) друга друга видят бес проблем,,,я же говорю,,,,даже с исы можно пингануть любой комп филиала,,или зайти зная пароль и логин на локального пользователя на компе,,,и только с исы,...но ни как не обратно,,,!
у меня иса полностью русская...

Цитата:

на роутере главного офиса впиши маршрут в локалку главного офиса через ису,

..только в локалку,,,,а обратно не надо?

Добавлено:
можно пжлста поподробнее как должен выглядеть этот мааршрут,,с какого фэйса или сети надо,,,а то чето вариантов то куча появляется?!

Добавлено:
на каждом же по паре фэйсов

Добавлено:
и ещё....
маршрутизатор(в главном) получается не видит 79-ой подсети.
т.к. маршрутизатор(в главном) на внешнем интерфэсе имеет внешний ip,,, а внутренний у него 192,168,80,1
а уже isa же имеет на внешем интерфейсе 192,168,80,2,,а на внутреннем 192,168,79,8

Добавлено:
я так предполагаю

timsson

Цитата:

..только в локалку,,,,а обратно не надо?

куда еще обратно? обратно роутеру знать не надо, это должны знать компы сети (от них весь не локальный трафик идет на ису) и сама иса (потому что ее работа трафик от клиентов локалки кидать дальше), у тебя я думаю иса весь трафик кидает на роутер, то есть маршрут в филиал она знает. почитай книжку про сети для начинающих, особенно что такое ip маршрутизация.
маршрут определяет в какую сеть через какой гейт ходить и с какой метрикой, твой роутер в главном офисе не знает где 79я сеть, вот ты ему и напиши что в 79ю сеть надо ходить через ису. если бы этот роутер был на винде то было бы так
route add -p 192.168.79.0 mask 255.255.255.0 192.168.80.2 (то есть идем через ису которую мы видим, так как иса и роутер в одной сети 192.168.80.0/24)

Здравствуйте!
Я новичек с ISA Server и пытаюсь научиться... но вот некоторые моменты хотелось бы решить быстро, но не получается.... Могу я рассчитывать на некоторую помощь/советы?

Суть в том, что мне надо настроить протоклы POP/SMTP и др, на клиентских машинах, для работы с ISA Server 2006.

В настройках сетей (arrays->Configuration->Networks->Edit selected network(internal)->FireWall Client->Enable FaireWall Client support for this network) в ISA я увидел такой пункт "Enable FaireWall Client support for this network"...
Поискав информацию, я узнал, что для ISA server 2004 был такой клиент, находящийся в папке установленного сервера и который должен был устанавливаться на клиентские машины для

Цитата:

для того, что бы разрешить работу протоколов POP3, SMTP, NNTP, UDP, работу таких приложений как ICQ, IRC и т.п. Установить сам клиент можно с папки, в которую установлен ISA Server, подкаталог Clients

Я искал, но так и не нашел где этот клиент валяется, такое чувство сложилось, что для ISA 2006 его вообще нету... Даже на сайте Microsoft нигде нету... только клиенты для 2004, но я не стал скачивать, так так там явно написано, что они только для 2004.

Потом я усмотрел другую фичу, адрес скрипта автоматической настройки, потипу такая же есть в настройках браузера IE. И самое интересное, если не выставлять адрес прокси сервера (как я делал раньше), а прописать адрес этого скрипта, то инет на машине тоже работал исправно... (адрес типа: "http://ps.local:8080/array.dll?Get.Routing.Script")

Вопрос вот в чем... Как заставить работать протоколы POP3, SMTP, NNTP, UDP, а КОНКРЕТНО долбанную почтовую программу THE BAT котрая не имеет настроек маршрутизации или настройки связи кроме удаленного соединения а-ля модем...
Раньше у меня стояла такая маленькая программка CCPROXY, в которой я настраивал port mapping: создавал локальный порт. на который привязывал реальный порт и адрес искходящей почты, и другой порт для входящей... К примеру, есть реальный адрес: pop.mail.ru c портом 110, который я прикреплял на порт 7777 и
smtp.mail.ru c портом 25 на порт 6666.
Вот, а в THE BAT я в настройках соединения в почтовом ящике указывал вместо нормальных адресов (pop.mail.ru и smtp.mail.ru) адрес прокси сервера нашей сети и порты 7777 и 6666 соответсвенно.

Как нечто подобное сделать на ISA SERVER 2006???
Никак не могу найти нечто подобное....

А заодно еще один вопрос...
У меня имеется 2 выхода в инет, один на скорости 64килобита. друго 2 мегобита....
Работники, как я уже имел возможность убедиться, используют инет очень редко для чтения новостей и в огромном количесве (большинстве) случаев лазают на сайты знакомств и порно, а некоторые индивидуумы, скачивают в немеренных количествах софт с варез сайтов.
У меня была идея реализовать хитрый фильтр: выдать каждому пользователю (у меня домен) определенную квоту на траффик с быстрого инета. при его достижении чтобы включалась перемаршрутизация на другой прокси сервер (на основе программы CCPROXY, которая так и осталась на старом медленном инете)...
Но я представления не имею, как это реализовать, разве что поставить дополнительные плагины для ISA?
Тогда хотя бы как сделать перемаршрутизацию (перенаправлени) на другой прокси сервер? Потому что получилось так, что один соработник, чтоб его дери, потосянно выпендривается, и в этот раз вообще поступил подло, за что я хочу отомстить. Он выведал у моего недалекого полчиененного необходимую информацию, о зтом, что ISA успешко функционирует и сам подключился к нему, а заодно подключил половину сотрудников, к которым имеет обыкновение подлизываться... Все это произошло без моего ведома, разрешения начальства и тем более отвратительно и подло с его стороны (делать шкуру убитого другим охотником медведя и выдавать это за свои заслуги). Я виноват в том. что не запретил сразу, не настроил правил доступа...типа ну фиг с ним, 1 день... и вышла такая фигня. Сейчас я просто всем обрубил инет, поставил на запрет, кроме начальства.... но это половина решения... Хотелось бы из всех, этих умников, посадить на медленный "кайф" )))) Особенно после того, как все эти гады приходили ко мне и хвастатлись в наглую, "ой какой у нас быстрый инет, а утебя он быстро работает??"


В общем вот такая дрянная ситуация.... Кто-нибудь поможет мне советом или ссылкойна нужную доку?

Заранее ОГРОМНОЕ спасибо!!

Keiichi
мда краткость не твой конек, твои разборки с юзверями никому не интересны писать надо по существу.
1. почта, создай правило разрешающее pop3, smtp, imap (ну и другие нужные протоколы для почты) наружу, если не нужна аутенфикация по юзеру то для All users, если нужна, то для нужной группы юзеров, но тогда на клиентские машины надо поставить fwc, в 2006 исе он в комплект не входит так что скачай с офсайта. задуманный тобой "порт маппинг" на исе не сделаешь, согласно идеологии микрософта такой бред нафиг никому не нужен, всегда проще напрямую по нормальным портам ходить, на исе есть только паблишинг внутренних ресурсов наружу, для того чтобы извне можно было юзать ресурсы спрятанные за натом.
2. иса не является полноценным роутером, весь ее роутинг основан на родном виндовом rras, поэтому твоя задумка с двумя инет каналами не прокатит, и тем более перекидывать юзеверей с одного канала на другой. просто квоты и шейпирование трафика по юзерам можно делать левыми плагинами, например bsplitter неплохо работает.
а по поводу неслужебного использования интернета есть два метода которые можно сочетать: 1 запрещать все такие левые сайты (или даже разрешить только нужный список ). 2 административные меры (самые верные) - статистику на каждого юзера руководству на стол с последующим публичным отрыванием ребрендингов.

hardhearted
ооооо, класс, спасибо!!
А можно каким-нибудь фильтром резать скорость при нарушении или массовом заккаче?

ЗЫЫ можешь подсказать полноценный роутре программный? есть ли такое от Микрософта?

Keiichi

Цитата:

А можно каким-нибудь фильтром резать скорость при нарушении или массовом заккаче?

я вообще левыми фильтрами не пользуюсь и не интересуюсь, bsplitter видел просто ради интереса, он может квотировать и шейпировать, причем можно поставить лимиты либо каждому в отдельности, либо общие на группу.

Цитата:

Или есть конкретно для 2006?

есть, ищи на офсайте, там должен быть.

Цитата:

можешь подсказать полноценный роутре программный? есть ли такое от Микрософта?

не могу, такой глупостью не интересуюсь, у меня циски стоят, это то что можно назвать полноценными роутерами/файрволами

hardhearted
понятно, спасибо...
а есть ли не левый плагин для квотирования?

Keiichi
левыми я называю все плагины написанные не микрософтом, их еще можно назвать плагинами сторонних производителей, или third-party ) у микрософота ничего такого нет, значит все плагины левые )

hardhearted
ясно, спасибо!только я и так понимал, что значит слово "левые" )))Все равно, Огромное спасибо!!! у меня все заработало! и клиент нашел )))
Ты супер!

Вопрос по 2000 ИСА где там настраиваеться фтп доступ не только read-only?

Gfer

Спасибо, полегчало