» Microsoft ISA Server 2006/2004/2000 (Часть III)

т.е. никто не знает как решить мою проблему?

ISA 2006 + RIS

Цитата:

Цитата:simapupkin
создай правило разрешающее этот протокол.

Цитата:simapupkin
создай правило разрешающее этот протокол.
Создал правило:
Cначала создал только для порта 4011 затем погуглил ни нашел вот єто -
http://www.isadocs.ru/articles/isa-2004-unsupported-configs.html
Почитав, расширил кол. портов.
создал протокол UDP port 1 - 5000
(основные подключения)
отправить - получить
(дополнительные соединения)
получить - отправить
Причем если поменять местами получить - отправить на отправить - получить, не работает!
откуда - локальный компьютер, внутренняя
куда - локальный компьютер, внутренняя
пользователи - все

RIS пакеты грузятся. Но оброзы терминалов которые ранне грузились без проблем с TFTP сервера RIS, зависают не загрузившись.

Еще выяснилась проблемка. Сетевой принтер HP laserJet 2420 установленый на серваке с ISA отказался работать.

Спасибо hardhearted!

Цитата:

kaurych

Из вашего поста непонятно какая структура сети используется. Сколько сетевых интерфейсов на исе, куда они смотрят. Какие настройки сделаны на исе и винде. И вообще откуда(интернет, локалка,дмз) должен быть доступен фтп и в каких режимах(полный доступ или только чтение, активный или пассивный). Где находится фтп-сервер(дмз или локалка). Даже не знаю сколько раз тут говорили, что если что то спрашиваешь, то излагай проблему и исходные данные подробно. Тогда и ответы будут точны.
Публикация на втором ип, если он в той же подсети что и первый, ничем не отличается от публикации на единственном. Если в разных - настройте в исе взаимоотношения сетей. Узнайте какой режим используется в вашем юниксовом фтп-клиенте и исходя из этого настроить или добавить новый фтп протокол на исе, а также правила доступа.

NikolaPitersky,
Разреши весь трафик всем юзерам из ЛВС наружу. Работает? Если, да отключи только что созданное правило и создай новое Весь трафик только нужному компьютеру наружу. Работает?... и т.д.

Цитата:

Nesta смотри справку по запросу "публикация".
если быть кратким - тебе надо опубликовать "сервер отчетов" на интерфейсе 10.0.0.1
т.е. эти клиенты будут подключатся на 10.0.0.1 по определенному порту и работать так, будто 10.0.0.1 и есть "сервер отчетов"

для этого маршрутизацию (сетевые правила) вообще никакие не надо, так как все интерфейсы на локальной машине рассматриваются исой как "localhost" до которого по дефотному правилу есть маршрут со всех сетей.
т.е. все правила доступа сводятся к доступу клиентов до "locahost" по необходимому для сервера отчетов порту + собственно публикация сервера отчетов.

Спасибо за совет

Создал Server Publishing Rule
Возникла такая проблема:
Для рамоты программы к примеру требуется протокол: TCP порт:5555 Direction: Outbound

А при публикации транспорта в протоколы можно добавить только те которые работают Direction: Inbound

В мониторе пишет следующее:
клиент IP и destination IP правильные, порт правильный. а вот протокол TCP:5555 INBOUND (создал протокол с такой настройкой специально для теста чтобы небыло Unidentify ip trafic). Ну а далее понятно идет denied connection, поле rule пустое, Result code на microsoft не описан. (0xc0040012 FWX_E_NETWORK_RULES_DENIED)

Подскажите в каком направлении двигатсья, а то я что-то в тупике оказался.

Цитата:

Nesta

Цитата:

FWX_E_NETWORK_RULES_DENIED

Думаю что вы просто не сделали Networks Rules правило между двумя Networks.
В мониторе событий чего-нибуть пишет?

Цитата:

Думаю что вы просто не сделали Networks Rules правило между двумя Networks.
В мониторе событий чего-нибуть пишет?

В мониторе пишет следующее:
клиент IP 192.168.0.1 и destination IP 192.168.5.1, 5555. а вот протокол TCP:5555 INBOUND (создал протокол с такой настройкой специально для теста чтобы небыло Unidentify ip trafic).

Ну а далее понятно идет denied connection, поле rule пустое, Result code на microsoft не описан. (0xc0040012 FWX_E_NETWORK_RULES_DENIED)

Проблема в том что данных доходят до нужного места. Доходят по нужно порту. А вот протокол я не могу разрешить в Server Publishing Rule. Потому-что в нем Direction - Outbound. Тип трафика в Server Publishing Rule может быть только протокол со значением Direction - Inbound.

А мне, как я понял, нужно заставить Server Publishing Rule использовать протокол со следующими натсройками: TCP:5555 Direction - Outbound. Тогда все должно заработать.

Возможно нужно прописать каккой-то маршрут? Подскажите.

////В данный момент настроаиватеся работа для RRAS клиентов/////

Вот список существующих сетевых правил (маршруты и трансляции)

Networks Rules:
1. Route
from "local host" - to "all network"

2. NAT
from "VPN Clients" to "Internal", и "внешний адрес исы"

3. NAT
from "internal", "VPN Clients", "Quarantined VPN Clients" - to External

Вот список настроек Firewall:

Access rule:
VPN Clients (RRAS клиенты) - to 192.168.5.1 (севрер отчетов во внутренней сети)
разрешаю 2 протокола TCP:5555 Outbound TCP:5555 Inbound

Server Publishing Rule:
VPN Clients (RRAS клиенты) - to 192.168.5.1 (севрер отчетов во внутренней сети)
Разрешить могу только 1 протокол TCP:5555 Inbound

-------
Программа же использует протокол TCP:5555 Outbound
Подскажите как обойти эту проблему? Может нужно по другому маршрутизацию и трансляцию адресов организовать?

Цитата:

Nesta

Цитата:

А мне, как я понял, нужно заставить Server Publishing Rule использовать протокол со следующими натсройками: TCP:5555 Direction - Outbound. Тогда все должно заработать.

Нет это не так.
При публикации сервера так и нужно использовать входящий трафик. Те есть для клиента инициирующего соединение он буден исходящим , а для иса-сервера входящим. Этот ваш порт 5000 - по нему какой протокол идет? Не HTTP случайно?
В общем советую для начала почитать доку isa , сделать публикацию вашего сервера отчетов как бы в интернете (разрешить в настороке "from" для какого нибудь поставленного между циской и иса компа с адресом из ваше 10-ой подсетки). Добится чтобы с этого тестого компа все работало и понять почему оно работает. А уж потом заниматься с впн-клиентами, с которыми я вам помоч, не могу так, как сам ими плотно не занимался...
Руская дока с примерерами публикации и мног чего еще, например здесь http://www.isadocs.ru/articles/section.php?PAGEN_1=1&ID=228#nav_start


Добавлено:

Цитата:

simapupkin

Цитата:

Еще выяснилась проблемка. Сетевой принтер HP laserJet 2420 установленый на серваке с ISA отказался работать.

если сетевой HP laserJet 2420 имелось ввиду эзернет модуль, то обычно принтер использует порт tcp/ip - 9100. Посмотри в мониторе собыий исы все по этому порту, если найдешь запреты, то создай правила для разрешения трафика. Вообще при установке драйвера от HP, он ставит много лишнего, в том числе и в ветку run реестра, для атозагрузки всякой ненужной байды. Можно убрать. удачи.

Всем доброго дня...
Подскажите пожалуйста, как мне сделать вот такую весч:
в сети есть пару клиентов, у них стоит MSN Messenger...
нужно сделать так, чтоб они могли общаться используя видео конференции...

у них вэб-камер нету, к ним приходит запрос, они принимают, и видят морду говорящих...
Фишка в том, что когда они соединяются напрямую допустим чере диал-ап, то все выходит у них...

теперь о конфигурации доступов:
внут сеть -> ИСА 2004 -> internet...
соединение - 2 МБ со статическим внешним адресом...
есть правило, разрешающее протокол MSN Messenger и MSN...
что делать - подскажите...

AvvNtl

Цитата:

Даже не знаю сколько раз тут говорили, что если что то спрашиваешь, то излагай проблему и исходные данные подробно. Тогда и ответы будут точны.

На исе 2ве сетевые платы - одна смотрит в ДМЗ, вторая в локалку.
У той которая смотрит в ДМЗ - надо привинтить 2й IP для того чтобы по этому IP опубликовать FTP Server который находится внутри локальной сети!
- привинтил!
- опубликовал FTP Server для обоих ip на сетевой которая смотрит в ДМЗ!
На выходе с ДМЗ в интернет стоит Cisco - на которой разрешён FTP для IP указанных на сетевой ISA - которая смотрит в ДМЗ!
Попросил друга проверить публикацию - В результате - ftp опубликованный на изначальном
IP который был всегда - всё работает - а на альтернативном НЕТ!

Что касается проверки этой публикации - с серверов которые сетевыми смотрят в ДМЗ - то выяснилась какая штука!
1. - Если я обращаюсь к ISA Server - к обоим IP по FTP с ОС Windows - то они работают
оба (но я захожу через браузер Internet Explorer) !!!!!!!!!!!
2. - Если я обращаюсь с Linux - т.е. пишу
[root: ~]$ ftp XXX.XXX.XXX.XXX 8891 (для основного)
[root: ~]$ ftp XXX.XXX.XXX.YYY 8891 (для альтернативного)
то выдаёт такую бяку
Connected to XXX.XXX.XXX.XXX (81.3.145.220).
421 Service not available, remote server has closed connection
ftp>
Короче понятно!
При этом доступ на Сервере FTP - просмотр и чтение!

вопрос к тем кто ставил и настраивал ису 2006 а именно интересует VPN
дело в том что надо сделать впн за один день а на исе я это ни разу не делал, большая просьба помочь,
нужно настроить впн сеть-сеть, поверхностно я разобпрался, но вот вопрос, где в исе посмотреть принимающая она подключения или инициирующая, как в 2006 исе создать конфигурационный файл и с каким он должен быть расширением чтоб потом на удалённом офисе в исе использовать этот файл для настройки впн, и где вообще в исе можно указать чтоб для настройки впн указывать этот файл, в 2004 исе я посмотрел это как-то проще было судя по мануалам, справка в 2006 мне не помогла, просьба ссылки на аглицком не давать ибо я басурманский не понимаю а иса у меня русская.
помогите кто может, очень надо до выходных.
чем подробней будет обьяснение тем лучше, буду очень благодарен.

простите за возможно просто вопрос, но полистал маны и что то не нашёл ответа, ИСА умеет шейпить канал?
есть несколько подсетей, одна из них - халявный вай-фай для клиентов, надо бы канал им урезать, возможно ли средствами ИСЫ или юзать что-нить стороннее?

KorP2 иса умеет почти все. но не все можно сделать с помощью админки.

конкретно по шейпингу - можно или написать vbs скриптину соответствующую или воспользоваться дополнительным софтом типа bssplitter
честно скажу - скриптину писать запаришься :)

ISA - весч крутая, сама дозванивается по PPPoE и держит соединение, но иногда, после долгих проблем с провайдером - соединение приходится поднимать вручную!
С чем это связанно и как исключить ручной дозвон?
.
Еще одна проблемка, у меня 2 севухи, одна смотрит в ADSL и выход через pppoe, вторая в локалку. Настройки такие (см скриншоты).
.
http://pride-com.narod.ru/temp/isa/1.jpg
http://pride-com.narod.ru/temp/isa/2.jpg
.
Так вот, когда инета на ISA сервере нет, я немуго зайти никак на него из локалки. Он даже не пингуется, хотя он вроде пашет (консольно)
.
ISA 2006 Ru 180 Trial

Цитата:

Нет это не так.
При публикации сервера так и нужно использовать входящий трафик. Те есть для клиента инициирующего соединение он буден исходящим , а для иса-сервера входящим. Этот ваш порт 5000 - по нему какой протокол идет? Не HTTP случайно?
В общем советую для начала почитать доку isa , сделать публикацию вашего сервера отчетов как бы в интернете (разрешить в настороке "from" для какого нибудь поставленного между циской и иса компа с адресом из ваше 10-ой подсетки). Добится чтобы с этого тестого компа все работало и понять почему оно работает. А уж потом заниматься с впн-клиентами, с которыми я вам помоч, не могу так, как сам ими плотно не занимался...
Руская дока с примерерами публикации и мног чего еще, например здесь http://www.isadocs.ru/articles/section.php?PAGEN_1=1&ID=228#nav_start

Спасибо за ссылку. к сожалению не нашел там полезной инфы. Протокол не HTTP. Протокол TCP.
Может маршрутизацию как-то изменить надо?

по поводу моего вопроса что-то пока тихо, а ведь очень нужна помощь

SHRIKE74 к слову сказать -учи английский если с серверами работаешь.

по теме:

Цитата:

нужно настроить впн сеть-сеть

Цитата:

где в исе посмотреть принимающая она подключения или инициирующая

Цитата:

как в 2006 исе создать конфигурационный файл и с каким он должен быть расширением чтоб потом на удалённом офисе в исе использовать этот файл для настройки впн

Цитата:

и где вообще в исе можно указать чтоб для настройки впн указывать этот файл

честно слово - справку почитай более подробно.

Сам нашёл ответы на все свои вопросы
http://isadocs.ru/articles/Creating-VPN-ISA-2006-Firewall-Branch-Office-Connection-Wizard-Part1.html

Цитата:

kaurych

Цитата:

На исе 2ве сетевые платы - одна смотрит в ДМЗ, вторая в локалку.
У той которая смотрит в ДМЗ - надо привинтить 2й IP для того чтобы по этому IP опубликовать FTP Server который находится внутри локальной сети!
- привинтил!
- опубликовал FTP Server для обоих ip на сетевой которая смотрит в ДМЗ!
На выходе с ДМЗ в интернет стоит Cisco - на которой разрешён FTP для IP указанных на сетевой ISA - которая смотрит в ДМЗ!

Та-а-а-к. А вот здесь нужно договорится о терминалогии. Применительно к isa о дмз говорят, когда она находится на тетьем или более интерфейсе. То есть классический случай это когда 1 интерфейс - локалка, 2 интерфейс - интернет, 3 интерфейс - дмз.
И иса стоит меж ними и управляет доступом. Есть и другие конфигурации, но это когда isa серверов несколько -один за другим....

У вас мне кажется , если инет идет через циску на иса сервер, то для этого иса сервера это уже не дмз, а просто интернет. (Опять приходится гадать!)Я же просил все описывать подробно, если конфигурация сети сложная то картинками, настройками сетевых интерфесов и маршрутов.


Цитата:

Попросил друга проверить публикацию - В результате - ftp опубликованный на изначальном
IP который был всегда - всё работает - а на альтернативном НЕТ!

Что касается проверки этой публикации - с серверов которые сетевыми смотрят в ДМЗ - то выяснилась какая штука!
1. - Если я обращаюсь к ISA Server - к обоим IP по FTP с ОС Windows - то они работают
оба (но я захожу через браузер Internet Explorer) !!!!!!!!!!!

А если не браузером заходить?

Цитата:

2. - Если я обращаюсь с Linux - т.е. пишу
[root: ~]$ ftp XXX.XXX.XXX.XXX 8891 (для основного)
[root: ~]$ ftp XXX.XXX.XXX.YYY 8891 (для альтернативного)
то выдаёт такую бяку
Connected to XXX.XXX.XXX.XXX (81.3.145.220).
421 Service not available, remote server has closed connection
ftp>

Посмотрите в мониторе иса, что происходит в этот момент
Вот посмотрите еще доку по публикации. http://www.internetaccessmonitor.ru/rus/products/articles/Publishing-FTP-Sites-with-an-Alternate-Port/Publishing-FTP-Sites-with-an-Alternate-Port.php

Еще одна проблема, по данным провайдера моя ISA 2006 недосчитала 2 гигабайта из 3-ех возможных
Может быть такое? Кто считает трафик исой помогите?
Я смотрю стирочку в отчетах
.
Трафик по веб-узлам, входящих, всего!

AvvNtl

Цитата:

Та-а-а-к. А вот здесь нужно договорится о терминалогии. Применительно к isa о дмз говорят, когда она находится на тетьем или более интерфейсе. То есть классический случай это когда 1 интерфейс - локалка, 2 интерфейс - интернет, 3 интерфейс - дмз.

ДОКУ ПОСМОТРЮ - НЕВОПРОС - СПАСИБО!
А про ДМЗ - ну да проще было сказать интернет - так как 2ве сетевые!
Я почему про ДМЗ заговорил - просто понятно было бы если бы с серверов которые в ДМЗ я бы заходил на этот ФТП!!! - а товарисч нет!!!
- можно было бы на цыску грешить или на товарисча у которого на собственном шлюзе правило режет его! - а тут наоборот!!
Вобщем такая фигня назревает что с Юниксов на Этот АйПи не зайти - а с винды и с командной и с эксплорера можно - значить есть какаято в этом фишка - что то надо дописывать при входе с юнихов или как - ???

pridecom, чем считаешь?
Клиенты секуреНАТ или файервол?

Может, кто сталкивался с ситуацией:

Имеем ADSL-канал 1024/768 кБит/с.

До установки ИСА (все были воткнуты напрямую в свич) скорость закачки была около 150 кБ/с.

Поставил ИСА 2004 SP2. Максимальная скорость загрузки файлов упала до 85 кБ/с, причем лей хоть в 2 потока, хоть в 3, хоть в 10 -- все равно выше не поднимается.

Из правил -- резка баннеров, запрет порнухи, разрешение FTP на пару доменов, вроде все.

Клиенты на машинах установлены.

Даже сам сервер, на котором ИСА стоит, и тот выше 85 кБ/с лить не может.

Включал/отключал QoS -- не влияет.

Где еще копнуть, отцы?

1) попробуй все запрещ. правила отключить
2) хттп публикации сервака есть?

1). Не влияет. Даже включил на время правило "можно все и всем" -- ничего.
2). Нет

Может, копать глубже -- вроде отношений между сетями?
У меня везде Route. Пробовал NAT -- не влияет.

Еще предположение -- IP Preferences -- IP Routing -- Enable. Может, здесь поиграться?...


Затык какой-то. Половину реального канала ИСА съела...

Есть шлюз - 3Com(ip-192.168.0.1), через который народ ходит в интернет. За 3Com-ом стоит ISA2006 с 2-мя картами, одна к 3Com-у (192.168.0.2) и вторая в локалку (192.168.1.1).
На 3Com-е прописан статический маршрут в локалку, т.е. следующее правило:
Все пакеты которым надо в 192.168.1.0 отправлять на 192.168.0.2. Таким образом если пинг из 192.168.0.1 в localhost разрешён, то с 3-Com-а можно без проблем пропинговать 192.168.1.1 (внутренний интерфейс ISA).
Проблема следующая: если я хочу пропинговать с 3Com-а какой-либо комп в локалке (192.168.1.*) и создаю соответствующее правило (например: разрешить пинг с 192.168.0.1 на 192.168.1.4), то пинг не проходит, а в логах ISA пишет, что
"для Ping-а отсюда и сюда" - Denied Connection, по Default rule, Source Network - External, Destination - Internal.
Здесь я явно не правильно создал правило, но в чём именно проблема?

Немогу понять что ненастроено ISA или Exchange...
Ситуация такова:

Почтовый сервер не виден из интернета.
Попытка отправить письмо на ящик, - демон такой ответ :

lost connection with mail.мойдомен.ru while receiving the initial server greeting

Сделал следующее:
открыл в локальной сети телнет и попытался приконектиться как и на локальный адресс 10.7.19.2 так и на внешний 83.xxx.204.2. все успешно. На Helo отвечает правильно, однако при запросе из интернета я не могу даже подключиться к постовому серверу с ошибкой Failed Connection Attempt (в исе логируется) а так.. почта по локалке бегает. но мне нужна внешка . помогите хорошим советом

alexps
публикация сервера как оформлена?

kuah
при помощи мастера публикации маил сервера.


Добавлено:

Цитата:

194.67.23.67                S1    -        TCP    -                        -                19.03.2007 5:14:56    33282    20922    0    0    0x8007274c WSAETIMEDOUT        0x0    0x0    Firewall    -    19.03.2007 10:14:56    10.7.19.2    25    SMTP Server    Failed Connection Attempt    S2 [почта] SMTP Server    194.67.23.67        External    Internal    -    -

Может кто занимался подобной бякой... Задача - вести логирование ИСА на отдельный сервер с SQLем... Все бы хорошо, логи льются, все вроде нормально, но отказоустойчивость у этого решения нулевая - любая недоступность сервера логирования - в пару минут ИСА ложиться мертвяком, ничего не делает, может кто знает, есть выход из этой ситуации?...