» Microsoft ISA Server 2006/2004/2000 (Часть II)

vicwanderer
1. Внешние - внешним -рознь. Если имеется ввиду две лини связи в Интернет и отказоустойчивость , то нет . Для этого, имхо, впереди лучше поставить специальную двухпортовую железку, типа Zyxel Zewall 35. А если одна внешняя интернет, другая например корпоративка, то можно.
2. Имхо нет.
3. Не могу сказать. VPN с помощью исы не делаю. Опять же использую отдельные простенькие железки.
4. Веб тафик да. А вот другой пожалуй только по ip.
Да и вообще повседневная работа пользователя на самой ISA - не хорошо есть. Чревато. Про это много писали, но жадность человеческая... Ладно - не мое дело...
4a. Это решается с помощью прав пользователей.
5. Глюки есть везде Использую BSplitter, а не Traffic Quota из-за фишки, которая позволяет добавлять - уменьшать разрешенный объем текущего трафика, без изменения самих правил трафика. Но в BSplitter нет пока поддержки массивов. Ребята на поддержке BSplitter, если грамотно изложить проблему, чтобы они могли воспризвести на стенде, работают оперативно. Замеченный мной баг исправили за неделю.
6. Internet Access Monitor (платный) решает все задачи.

vicwanderer
По 3 вопросу - да, нормально работает, вполне стабильно на ISA 2004, на 2006й не пробывал.
по 4 - да, подсчет возможен либо через внешние проги (типа Traffic quota) либо через анализ логов SQL.
по 4a - все через права, и вообще лучше не пускать никого работать за ISA сервером. хотя каких только извращений не встретишь :S, по себе знаю.
6. Опять же - через анализ логов SQL. Все что хочешь можно вытянуть...

AvvNtl
1. Вначале стоят железки, потом ИСА (т.е. общий ответ - Да, может).
3. Очень важный для меня пункт (можно, сказать решающий.) Провайдер взялся организовать ВПН на железках - не смог. Говорит, в винде НАТ "кривой". Ставте линух или поднимайте ВПН сами. Спорить мне надоело/нет времени. Сказал сам подниму ВПН.
(Если интересно - вот топик http://forum.ru-board.com/topic.cgi?forum=8&topic=20128)
4а. Теоретически, если юзер работает на компьютере с админскими правами(а иначе ИСА функционироваь не будет, насколько я понял) он все права пользователей может поменять взад.
6. По-моему где-то здесь в варезе видел не очень платный

Уважаемые, может кто-нить что подсказать по моему вопросу чуть выше.

vicwanderer

Цитата:

Вначале стоят железки, потом ИСА (т.е. общий ответ - Да, может).

если у тебя всеми внешними каналами рулит другая железка то значит иса имеет один внешний канал и сама не ведает что их там много и рулится это другими, это значит общий ответ нет. а вообще прочитал бы 3-4 страницы назад, я тут каждую неделю писал что может иса сделать с несколькими каналами а что не может.

Цитата:

3. Очень важный для меня пункт (можно, сказать решающий.) Провайдер взялся организовать ВПН на железках - не смог. Говорит, в винде НАТ "кривой". Ставте линух или поднимайте ВПН сами. Спорить мне надоело/нет времени. Сказал сам подниму ВПН.

скажи своим провайдерам что это руки у них кривые, кстати на линуксе нат еще кривее, например я знаю много случаев и сам сталкивался в домовых сетях когда за одним натом несколько юзеров не могли привпнится к одному внешнему серваку (например мы с коллегой живем в одной домовой сети и вдвоем уже не можем попасть на работу, хотя при таком же расклада через виндовый и цисковый нат проблем нет)

Цитата:

4а.Теоретически, если юзер работает на компьютере с админскими правами(а иначе ИСА функционироваь не будет, насколько я понял) он все права пользователей может поменять взад

собственно причем тут работа юзера и исы? иса пашет как служба под системным юзером, и с какими правами кто на этом компе пашет ей плевать. единственное что если юзер админ то он может заполучить права к исе через реестр (если иса standard).

3. я работал с этой схемой на исе 2006
поднимается всё это дело за 10 минут, работает и нареканий нет

vicwanderer

Цитата:

1. Вначале стоят железки, потом ИСА (т.е. общий ответ - Да, может).

Вывод неверен

Почитал твою ветку
http://forum.ru-board.com/topic.cgi?forum=8&topic=20128)
Тихий ужос

Не знаю может вашей компании все равно, что пров может при желании снимать из сети вашу информацию. Если не все равно , то доверять делать впн прову НА ИМ ЖЕ КОНТРОЛИРУЕМОМ оборудовании очень рисковано...
Да и в той ветке топология сети расписана плохо.

При реализации похожей задачи я руководствовался надежностью+управляемостью решения , и поэтому делаю ВПН на СВОИХ СОБСТВЕННЫХ недорогих, маленьких железках. провайдеры мне отдают два интерфейса в главном офисе:
1- для интернета
2-для корпоративки
В доп. офисах дают один интерфес - для корпоративки

В корпоративной сети с провом договариваемся только о внешних подсетях, в кождом офисе. Предполагаем, что инет раздает главный офис , а доп офисы в интернет ходят через главный офис по корпоративке.
На своих маленьких железочках настраиваем нат и впн, ну еще внутренний файрвол на нем, если есть. ИП внутренних интерфейсов железочки(vpn-роутер) находятся в диапозоне ИП локалной сети.
Далее есть варианты маршрутизации в офисе где инет раздается.
Я пошел по пути , где если даже иса вырубится, то не будет только интернета, а корпоративка остается. Для этого на тех компах , которые должны видеть друг друга через корпоративку прописываются дополнителные постоянные маршруты на vpn-роутеры. Обычно это сервера и компы админов в главном офисе. Остальным это обычно не надо.
Можно всех перенаправлять и через ису, но таких конфигураций иса не очень любит .

Или уж дествительно поднимать виндовые роутеру с исой во всех офисах и делать впн уже на них. Но так дороже. Простенький аппаратный vpn-роутер стоит дешевле чем компук с исой.
В общем вариантов много ивсе зависит отого что вы хотите.

hardhearted,
1. На ИСЕ два внешних сетевых интерфейса(один смотрит в одну железку, другой в другую железку) и один внутренний. Внешний (192.168.100.2/30(ВПН), 192.168.44.2/30(Интернет)). Внутренний 192.168.2.2/24. При таком раскладе ИСА будет работать?
"а вообще прочитал бы 3-4 страницы назад" именно с 89 страницы и начал читать сейчас ещё 3 назад прочту.
"иса пашет как служба под системным юзером, и с какими правами кто на этом компе пашет ей плевать." - Т.е. я запрещаю доступ юзеру к папке ISA и он не сможет менять настройки ISA?
"(если иса standard)" - Небольшое отступление от темы. Что надо править в реестре чтобы получить доступ(соответствено как от этого защититься)? И почему не исправишь в ISA Enterprise, потому что она интегрирована в AD? (Посмотрел чем отличается Standart от Enterprise и подумал что мне достаточно Standart)

Alex_H_aka_RAT, kuah
3. VPN Работает по L2TP/IPSec c сертификатами или по PPTP?

AvvNtl,
У меня ситуация один в один как у тебя.
1- для интернета
2-для корпоративки
В доп. офисах дают один интерфес - для корпоративки

Но компьютеры уже есть и нагружать я буду их. А на железки ещё месяц выбивать деньги буду... Ну так на всякий случай - что за железки ты используешь(а я посмотрю их стоимость)

BigPtica

В исе кликните на ветку политик - в контекстном меню выбрать "Изменить системную политику". Там настроить доступ исы к службам днс , каталогу актив директори и еще чего надоть в локальной сети.

И смотреть логи
И читать доку конечно.

hardhearted, AvvNtl
Если Иса не поддерживает несколько внешних сетевых интерфейсов, тогда буду смотреть в сторону винроут. Я прав(если использовать для связи по ВПН программные продукты)?

vicwanderer
почитал твою ветку, в такой конфигурации проблем у исы нет, как и у любого другого роутера, ты же явно указываешь маршруты в конкретные сети через конкретные шлюзы. а вот если ты захочешь имея два канала в инет сделать так чтоб на одной исе работали оба (балансировка, резервирование или разделение клиентов по каналам) то уже нельзя.
иса не хранит настройки в папке, для standard (последняя буква кстати "d") все конфиги хранит в реестре, чтобы получить права достаточно дать себе право записи в соответствующую ветку. в случае enterprise настройки хранятся на storage server а он может быть и не на исе.
AvvNtl прав, впн должен быть своим, или можешь внутри их впн проложить свой впн между своими шлюзами.

vicwanderer

Ну нам хватает Зикселей, но сейчас появилось и у других производителей похожие...
Если пров отдает езернет, то смотри например этот зиксель http://zyxel.ru/content/catalogue/7/23/246/

А там смотри по цене, производительности впн, надежности, что пров посоветует....


Ха-ха говориришь компы есть, а сам на ису оператора сажать планируешь! Странно...

AvvNtl
ого zyxel начал делать что то кроме модемов ?
это все не то, есть гораздо более известные на этом рынке вендоры, например cisco вне конкуренции, но это все офтоп и не относится к иса

hardhearted
офтоп конечно
Они их давно уж клепают. И так как заточены они под довольно тривиальные офисные задачи, по цене и по простоте настроек по сравнению с циской выигрывают сильно. Я бы даже сказал ошеломляюще
У нас уж пару лет работают (тьф-тфу-тфу) без проблем.
Еще у де-линка тоже есть похожее, но про них ничего не могу сказать - нету в наличии.

AvvNtl

Цитата:

по цене и по простоте настроек по сравнению с циской выигрывают сильно. Я бы даже сказал ошеломляюще

весьма сильное и безосновательное утверждение. есть сравнения?

AvvNtl
У меня уже есть 2 правила. 1-е разрешает всё от контроллера домена к локальному компьютеру, 2-е разрешает всё от локального компьютера к контроллеру. Когда смотрю журнал при попытке, например, добавить пользователя домена в локальную группу нет никаких отклонённых соединений, но происходит ошибка удалённого вызова процедур

Добавлено:
Нашёл!!!
Конфигурация -> Надстройки
Отключить RPC-фильтр

Цитата:

hardhearted

Продолжаем офтоп
Ну а самому сравнить в поисковике ?
попроще ZyXEL ZyWALL 2 EE ~ 200$
потяжелее Zyxel ZyWall EE 5 ~ 400$
относительно попроще CISCO 2611 ~ 490$
потяжелее PIX 501-50 3DES/AES Bundle (Chassis, SW, 50 Users, 3DES/AES) ~ 650$

По моему для тех, кому от железки нужно только пару vpn тунелей и нат, разница существенная...
Нет ну если для бюджета конторы такая разница неважна и она может себе позволить за отдельные деньги содержать (временно нанимать) специалиста по цискам (для настройки зикселей скрипач не нужен), то да, можно и раскрученный бренд прикупить...


Добавлено:

Цитата:

BigPtica

А вот у меня он включен и работает все
Основные правила для самой исы задаются в системных политиках. Там в правиле для актив директори посмотри стоит ли галка на "Требовать строгого соответствия RPC". Если стоит , то попробуй снять.

hardhearted,
1. "почитал твою ветку, в такой конфигурации проблем у исы нет"
"а вот если ты захочешь имея два канала в инет сделать так чтоб на одной исе работали оба (балансировка, резервирование или разделение клиентов по каналам) то уже нельзя." Запутал ты меня
Наверное надо описать чего я хочу.

ГлОфис
1- для интернета. Провайдер А
2-для корпоративки(ВПН). Провайдер Б
В ДопОфисе дают один интерфес - для корпоративки(ВПН). Провайдер Б.

Хочу чтоб
А)из ДопОфиса юзеры по ВПН работали с базой 1С(поэтому обрывы в связи не приемлемы). Общались с ГлОфис по чату(в будующем по голосовому чату). В будующем может дать ДопОфису интернет и почту. В будующем дать доступ к ftp-серверу, находящемуся в ГлОфис(пока дать доступ к одной общей папке). Желательно делить канал между пользователями и естественно считать трафик(может ограничивать этот трафик, а то начнут музыку гонять из офиса в офис).
Б)из ГлОфис(кроме того что юзают Интернет и почту через Провайдера А. И надо считать трафик, ограничивать трафик(израсходовал 200М, дальше можешь пользоваться только почтой) и делить канал между пользователями желательно) чтобы общались по чату с ДопОфис. Поставить Radmin на компьютеры в ДопОфис и из ГлОфис смотреть чем они занимаются. Желательно делить канал между пользователями и естественно считать трафик.

vicwanderer
http://isadocs.ru/bitrix/redirect.php?event1=article_out&event2=http://isadocs.ru/articles/Creating-VPN-ISA-2006-Firewall-Branch-Office-Connection-Wizard-Part1.html&goto=http://isadocs.ru/articles/Creating-VPN-ISA-2006-Firewall-Branch-Office-Connection-Wizard-Part1.html

kuah, видел...

Цитата:

vicwanderer

Цитата:

Желательно делить канал между пользователями и естественно считать трафик(может ограничивать этот трафик, а то начнут музыку гонять из офиса в офис).

Вот тут BSplitter не поможет. Пока. Вот почитайте тут http://www.bsplitter.com/rus/forum/viewtopic.php?t=46
http://www.bsplitter.com/rus/forum/viewtopic.php?t=157
Насчет других шейперов не знаю.
Да вообще имхо ненужное это дело - между офисами трафик считать. По моему опыту если из доп офиса, кто нить начинает гонять большой файл, это быстро обнаруживается - сеть просаживается для других. Виновник выясняется и громко озвучивается. И все. Они там уж дальше между собой разбираются и больше так не делают. Ну во всяком случае договариваются...

Если рассматривать связку ISA(доп)-ISA(гла), я бы поставил счетчик только в главном офисе - для подсчета интернет трафика по пользователям в глав.офисе и по IP из допофиса. Или посмотреть другой шейпер , который умеет аунтифицировать впн пользователей и назначать квоты в зависимости от сетки назначения.
В варианте с аппаратными впн-маршрутизаторами проблема квотирования трафика из доп офиса в интернет по пользователям снимается при любом квотировщике. Проблема квотирования по пользователям между офисами остается.

AvvNtl
ну ты загнул конечно, 2611 очень даже не попроще, и стоит она не 500, и не 1000 уев ), ты хоть линейку продуктов посмотри у цисок прежде чем такое писать
попроще это cisco soho 9х, стоит около 300, все что ты написал и даже больше умеет.
посложнее это cisco 8хх, у меня на сотню с лишним человек 1841 пашет не напрягаясь абсолютно.
а pix это уже другой класс устройств, хоть и родственный, ты их не путай.
сам настраивал с нуля впервые увидев, при желании простые вещи можно через веб настроить, хотя это конечно неприлично )

Добавлено:
vicwanderer
а че тут запутанного, обьясняю на пальцах, у исы своего роутинга как такового нет, она базируется на виндовом rras, то есть тупо по виндовой таблице роутинга, это значит если у тебя есть два канала, и на конкретные адреса ты хочешь чтоб все ходили через первый канал а на весь остальной инет через второй (твой случай, разделение допофис и инет) то это легко выполнимо, ибо на уровне винды ты можешь прописать маршруты в доп офис через нужный канал. то есть это банальный destination-based routing

другое дело что винда, а значит и иса, не умеет source-based и port-based routing, а также не может балансировку и резервирование. то есть ты не сможешь в инет ходить сразу по двум каналам с балансировкой нагрузки, или не сможешь использовать второй канал в случае если у первого проблемы (резервирование, вернее устроить можно, например поставить проверку канала и по алерту выполнять скрипт меняющий маршрут по умолчанию), или ты не сможешь сказать чтоб эти компы ходили в инет через один один канал, а другие компы через другой (source-based), также ты не сможешь сделать чтоб одни протоколы бегали по одному каналу а другие по другому (port-based), исключение составляет только web chaining, с помощью которого можно web трафик кидать на другую прокси.

короче с твоей задачей иса справится легко, так же как и винда

AvvNtl, hardhearted
Спасибо за подробное объяснение, теперь всё стало понятно.
Начинаю изучать ИСА

vicwanderer

Цитата:

Alex_H_aka_RAT, kuah
3. VPN Работает по L2TP/IPSec c сертификатами или по PPTP?

Сначала PPTP был, сейчас L2TP подняли.
Но без туннелирования в IPSEC и со второй стороны сервером обычный RRAS.

Ребят, не подскажете, в чем проблема:
есть сетка, внутри которой стоят fwc > isa 2004 ee sp2 . В данный момент работает правило разрешить всё всем отовсюду. Но! Не проходят пинги ни с какой машины (не считая ИСУ) и не работает почтовик (мдаемон) на компе с АД... В логах пишет анонимусы, хотя fwc стоит...

Добавлено:
Логи же почтовика (Mdaemon) светят ошибку winsock error 10060 (connected timeout). В ИСЕ просто-напросто пишет connection denied. Везде прописаны шлюзы в качестве isa, настроена пересылка dns-запросов на днс прова. Куда копать?

KOMSTAR
Насчет пингов посмотри логи самой исы - какое правило их запрещает
Это относится не только к пингам.
Если чего-то, куда-то не пускает - первым делом смотри лог исы- там много чего видно. Если не понимаешь что делать - кинь их сюда - посмотрит народ и подскажет. Телепатов тут нету.

Каким образом можно запретить для Firewall Client все приложения, чтобы затем по мере необходимости добавлять нужные в список разрешенных?

Ребята... Помогите...
Такая ситуация:
ISA server 2004, одна сетевая в инет, другая в локалку...
Настроен впн-сервер.... раздача IP для впн-клиентов через DHCP
Пользователи конектятся по впн-у учетными записями из домена...
стоит задача такая - если пользователь заходит с определённой учетной записью,
то ему присваивается определённый IP
таких учетных записей две...
т.е. нужно организовать так, что если пользователь соединяется любой учетной записью, отличной от двух выше указаных, то ему присваивается IP из пула DHCP; если же он соединяется с одной из двух указаных учетных записей, то ему присваивается определённый IP!!! можно ли такое сделать и как???

Добрый день!
Такая проблемма! стоит ISA 2006, в локалке есть машина к которой нужно конектиться по SSH, как зделать проброс из вне с определённого ip, не создавая VPN (так как нужно поддерживать несколько SSH сессий на внешней машине)?

systech78
можно попробовать выставить common configuration disable 1

Добавлено:
EyeFey
к исе это отношения не имеет, это настройки rras, делается через свойства юзера в AD (вкладка Dial-in)

Добавлено:
kolt
создай протокол ssh с нужным портом и направлением inboundб и для этого протокола сделай паблишинг.