» Microsoft ISA Server 2006/2004/2000 (Часть III)

ISA 2006
Необходим был доступ по PPTP к удаленному серверу
Назовем наш комп во внутренней сети 192.168.x.x
Удаленный сервер 65.66.67.y

Используемые порты были Cisco VPN (500 10000 и 4500)
И, когда я посмотрела по логу - использовался еще 10001 - удаленный сервер отвечал нашему клиенту по этому порту

До этого был назначен range UDP_send и UDP_recive от 10000 до 20000

изначально был необходим полный доступ без авторизации для компа 192.168.x.x в External

и до "определенного" момента все работало.

а потом "перестало" - стала смотреть лог. Увидела Deny когда 65.66.67.y отвечал нашему
192.168.x.x по 10001.
Разрешила этот трафик. не заработало.

Мучилась в общем долго. даже раз завалила ISA Server
Назначила порты UDP 20000 - 65535_recieve на range Allow-All
и попыталась всю эту совокупность разрешить от 65.66.67.y Плохое решение-но я была в отчаянии.
ISA упала. Удалила дурацкое правило, дурацкий range. Подняла ISA.
Временно отложила задачу

только потом Я случайно (наводила порядок) удалила range UDP_send и UDP_recive от 10000 до 20000 (вначале я писала о том что такой существовал тоже). И о чудо VPN заработал.

так вот внимание вопрос.
Почему при назначении range UDP такие глюки?

Хотя бы приведите ссылку где про такое можно прочитать....
Заранее большое спасибо.
Любой помощи буду рада и
Очень надеюсь на ответ от Hardhearted

Tim2000
прям таки и ничего? а сайт производителя пробовал посещать? говорят часто помогает )
http://www.bsplitter.com/download.aspx
levak205
потому что это опера...
Vanil
весьма лестно, но я к сожалению, или к счастью, не пытался скрещивать кошку с собакой
одно настораживает, насколько я помню у PPTP совсем другие порты, а у те что у тебя указаны очень смахивает на обычный ipsec. тут на isaserver.org попалась какая то статейка...
http://isaserver.org/tutorials/Implementing-IPSEC-Site-to-Site-VPN-between-ISA-Server-2006-Beta-Cisco-PIX-501.html

hardhearted
А поподробнее про оперу если можно?
Спасибо, заранее.

Проблема
Есть ISA и 2 интерфейса - внутренний - внешний. Внешний 65.х.х.х Внутренний 10.2.5.х
Если цепляться изнутри сети по VPN то все нормально и работает. Если цепляемся снаружи , то адрес дается нормально, но у интерфейса VPN шлюз по умолчанию 0.0.0.0 а должен быть равен выданному адресу, подскажите где копать?

levak205
подробностей я не знаю, к счастью с оперой не работал и надеюсь что не буду. но на всех форумах часто видел что у оперы проблемы с аутенфикацией на исе.

Имеем:
1. Центральный офис Windows 2003 Server Enteprise + ISA Server 2006 EE - на машине два интерфейса: внутренний и внешний (подключен к adsl модему).
2. Удаленный офис Windows 2003 Server Enteprise + ISA Server 2006 EE - на машине два интерфейса: внутренний и внешний (подключен к adsl модему).

Собственно конфигурации практически одинаковые.

Необходимо: чтобы клиенты из удаленного офиса имели доступ к локальной сети центрального офиса и ХОДИЛИ в интернет через канал центрального офиса. Первую вещь я могу решить путем создания VPN Site-to-Site - причем все работает. А вот вторая задача (чтобы клиенты из удаленного офиса ХОДИЛИ в интернет через канал центрального офиса) решить в этом случае не получается, т.к. при настройке VPN Site-to-Site мы указываем тип Route, а не NAT, да и тем более, в удаленном офисе на клиенстких машинах в качестве шлюза прописан компьютер с ISA, который расположен в удаленном офисе и он все запросы в интернет роутит сразу на DSL модем и получается, что клиенты идут в интернет напрямую, а не через канал центрального офиса. Из моих соображений для решения данной проблемы можно воспользоваться Firewall Chaining, только возникает вопрос, если я там укажу внутренний адрес сервера из центрального офиса, то будет ли этот работать? Т.е. isa сначала поднимает VPN в сеть центрального офиса, а потом вообще все заворачивает в этот туннель через Firewall Chaining? Если данная схема не будет работать, то какое может быть решение? Если там прописывать реальный адрес удаленного сервера, то какие порты на нем нужно открыть, чтобы ISA в центральном офисе принимала соединения от удаленной ISA? Или есть другие (кроме Firewall Chaining) варианты решения моей проблемы?

Заранее ОЧЕНЬ признателен!

vk222
тебе не обязательно пользовать firewall chainig - достаточно web chaining, укажи там адрес офисной исы и все (различия в том что web chainig передает только web трафик - что тебе и нужно)

Добавлено:
передавать надо будет трафик на внутренний интерфейс главной исы, т.к. site-to-site vpn поднимется до того как заработает web chaining

ITeXPert
ну я бы не стал говорить что web=internet
web это маленькая часть всего трафика который может понадобится
так что все зависит от поставленных задачь.

ITeXPert


Цитата:

тебе не обязательно пользовать firewall chainig - достаточно web chaining, укажи там адрес офисной исы и все (различия в том что web chainig передает только web трафик - что тебе и нужно)

Т.е. принципиально chaining (будь то firewall Или web) будет работать, если указать внутренний адрес центральной исы, который можно достигнуть через VPN Site-to-Site?

Теперь еще вопрос, при использованиие chaining необходимо чтобы обе машины были членами одного домена или без домана все и так будет работать?

Есть ли какие-нибудь другие пути решения моей проблемы?

Заранее благодарен!

Добавлено:
А если используется firewall chaining, то на клиентах в удаленном офисе должны стоять isa клиенты или, если они идут через SNAT, то тоже все будет работать? А то настроил firewall chaining (правда не удаленный офис, а в центральном офисе 2 сервака с разными внешними каналами), прописал у одного в firewall chaining, внутренний ip другого, выбрал учетку администратора, ввел его пароль, в event log написано: The Firewall service detected that the upstream proxy '10.10.10.1' is now available., но клиент (SNAT), у которого в качестве шлюза указана эта машина, идет в интернет напрямую через внешний канал этого сервера.

Заранее благодарен.

hardhearted
считается шейпером встроенным, им же квоты дневные раздаются. вопрос в том, что он похоже не умеет разделять трафик. мб под 2004 есть более продвинутые шейперы?
Ну либо биллинговая система какая-нить простенькая...

vk222
По идее логика такова:
При настроенном firewall/web chaining при попытке выхода в нет клиента из удаленного офиса срабатывает перенаправление трафика на вышестоящий прокси. И тут же срабатывает поднятие site-to-site vpn, если оно еще не установлено, дальше все просто передается на главную ису.

По поводу доменов - не обязательно, ты когда передаешь трафик на вышестоящую ису можешь указать логин и пароль от имени которого будет работать иса из удаленного офиса, чтобы ты мог посчитать ее суммарный трафик (по клиентам тогда прийдется считать в удаленном офисе). Естественно этого пользователя надо будет создать в главном офисе. Если один домен, то ничего указывать не надо

По поводу firewall chaining помню что он передает весь трафик а не только веб, но для этого нужен firewall client.

По поводу upstream proxy '10.10.10.1' is now available - у меня то же самое было когда вышестоящей проксей был Linux со squid - работало все но так же ругалось


Цитата:

клиент (SNAT), у которого в качестве шлюза указана эта машина, идет в интернет напрямую через внешний канал этого сервера

Всмысле в обход правил исы?

Добавлено:
hardhearted
ну вообщем да
но разговор пока шел только за инет трафик )))

hardhearted
Спасибо канечна, но это англицкий мануал, который появляется и при установке фильтра. Я не сказал что желательно на русском. Работы море, и вообще капец...

Народ нужен срочно Хелп,,,просто очень срочно,,,а то из этого офиса не вылезу ещу пару дней....2 дня парюсь и никак!
КОроче есть иса 2006 все инет получают по доменным учеткам т.е. так аутентифицируются.и вот есть чел у него ноут он не в домене но учетка у чела есть ,,,инет он получает все номрально(открывая браузер у него спрашивает логин и пароль он вводит свои учетные данные домена и все ок),,, с аськой тоже трабов нет..
ВОт тока одна дибильная проблема у него не пашет мэйл агент даже с указанием аутентификации в настройках проги.---но все равно не пашет!
в чем могет быть трабла???
по айпи аутентификацию не предлогать!не пойдет!

попробуй установить файервол клиента и через него гони. может пройдет. отпишись в любом случае

sasbai
аа блин я не написал.,,,фаервол клиент ваще не цепляется ,,почему не знаю может потому что иса в домене?!но по идее же не должно быть такого если явно его указываешь в клиентк по айпи!

el mentiroso
у исы нет встроенного шейпера и квот тоже, так что я не знаю о чем ты говоришь
нормальные аддоны типа bsplitter или tquota работают по созданным в них правилам и там ты легко можешь указать куда и как шейпить и квотировать.

Tim2000
ты совсем слепой, или инет впервые видишь?
на сайте все есть и на русском и на английском
http://www.bsplitter.com/rus/download.aspx
а вообще там и разбираться нечего, там интерфейс простейший и все настраивается двумя щелчками, я доки даже не неоткрывал.
ps а без знания языка вообще в ИТ лучше не лезть

Добавлено:
timsson
какая аутенфикация разрешена?
можно поставить fwc и воспользоваться тулзой fwccreds.exe

ITeXPert


Цитата:

По поводу firewall chaining помню что он передает весь трафик а не только веб, но для этого нужен firewall client.

Поставил на клиента из удаленного офисе isa client, подцепился к исе, на сервере из удаленного офисе (на нем настроен firewall chaining на другую ису), но пакеты идут все-равно минуя правило firewall chaining: клиент-удаленная иса-внешний интерфейс-интернет, а должны идти так: клиент-удаленная иса-центральная иса-интернет).

В чем может быть дело? Был бы очень признателен, если поможете.

C SNAT ситуация такая же, т.е. правило firewall chaining игнорируется и траффик напрямую гонится в интернет через интернет канал на удаленной исе.

Добавлено:

Цитата:

Поставил на клиента из удаленного офисе isa client, подцепился к исе, на сервере из удаленного офисе (на нем настроен firewall chaining на другую ису), но пакеты идут все-равно минуя правило firewall chaining: клиент-удаленная иса-внешний интерфейс-интернет, а должны идти так: клиент-удаленная иса-центральная иса-интернет).

Хотя как-то странно, tracert показывает именно такой машршрут (неправильный), а через
logging мониторинг в ISA Management видно, что запросы все-таки переадресосываются на вышестоящий ISA и уходят нормально дальше.

Видимо tracert идет SNAT, на который firewall chaining не распространяется. Интересно можно и как-нибудь завернуть ВЕСЬ тарффик с клиента через firewall client?

Заранее благодарен!

Добрый день
вопрос, сначала стояла isa 2000 с AD. пользователи не из AD работая через прокси получали приглашение от IE ввести имя и пароль, после чего пучкала согласно правилам, теперь поставил isa 2006 и пользователи не из AD получают бан 502 в логах dinied аноним. кто сталкивался подскажите что делать.

vk222
если бы ты читал хоть что нить по исе то знал бы что fwc работает тока с приложениями совместимыми с winsocks, то есть ничего кроме tcp и udp ты через fwc не пустишь.
snat вообще работает как и везде по роутингу, у тебя в таблице маршрутизации какой маршрут по умолчанию стоит?

joraspb


Цитата:

вопрос, сначала стояла isa 2000 с AD. пользователи не из AD работая через прокси получали приглашение от IE ввести имя и пароль, после чего пучкала согласно правилам, теперь поставил isa 2006 и пользователи не из AD получают бан 502 в логах dinied аноним. кто сталкивался подскажите что делать.

Зайди в ISA Management->Monitoring->Logging и посмотри на какое парвило ссылается ISA, когда отфутболивает клиентов, а потом ковыряй это правило.

hardhearted


Цитата:

DmyDry
а не дано поискать этот же номер на офсайте?
10 секунд
http://support.microsoft.com/kb/293863
и я хоть с 2000й не знаком но сдается мне что этот hotfix включен в sp1
http://support.microsoft.com/kb/313249

поставил, не помогает (((

все ошибки упорядочены как всегда, одна за одной и до ресета... а в логах системы регистрируется событие Предыдущее завершение работы на такое то время было неожиданным. При чем событие регистрируется за пол часа до того, как начинают региться ошибки ISA. Я уже менял логи на то, чтоб файлы создавались каждый день отдельно, думал из-за большего размера такое.. а нет..

Винт в порядке!... у меня истерика, в чем же может быть дело!?

ХЕЛП!

Цитата:

Цитата:вопрос, сначала стояла isa 2000 с AD. пользователи не из AD работая через прокси получали приглашение от IE ввести имя и пароль, после чего пучкала согласно правилам, теперь поставил isa 2006 и пользователи не из AD получают бан 502 в логах dinied аноним. кто сталкивался подскажите что делать.


Зайди в ISA Management->Monitoring->Logging и посмотри на какое парвило ссылается ISA, когда отфутболивает клиентов, а потом ковыряй это правило.

в логах отфутболивает по дефолту, есть правило пускать пользователей домена.
Проблема именно в том, что IE не открывает окна с авторизацией, к примеру опера спрашивает!

hardhearted


Цитата:

если бы ты читал хоть что нить по исе то знал бы что fwc работает тока с приложениями совместимыми с winsocks, то есть ничего кроме tcp и udp ты через fwc не пустишь.

А есть ли какая-либо возможность между двумя ISA серверами сделать так, чтобы клиенты одного иса сервера ПОНОСТЬЮ ходили в интернет только через внешний канал другого ISA сервера? (я так понял firewall chaining решает эту проблему не полностью).

Сейчас приходится на клиентах в удаленном офисе поднимать pptp к ISA серверу в центральном офисе и тогда все нормально работает, но иногда pptp не поднимается и люди начинают ходить в интернет по каналу ISA сервера в удаленном офисе.

Заранее благодарен!

hardhearted
о да! сэнксищще!
не заметил чего то русской доки..
а англицкий я знаю, на четыре с плюсом - говорил же разбераться много, поэтому и просил на руцком
Пасиба!

hardhearted
АутентиФИкация по юзерам -доменным учеткам(т.к. поднят домен).
Когда короче делаю тоже самое тока разрешаю инет не по учеткам а по айпи - все пашет. Чудеса....блин...не понимаю..!(((

joraspb

Цитата:

в логах отфутболивает по дефолту, есть правило пускать пользователей домена.
Проблема именно в том, что IE не открывает окна с авторизацией, к примеру опера спрашивает!

Настройки proxy серверов и т.п. в IE и Опере одинаковые?

хм, посмотрел, правила то создавать в Bandwidth Splitter'е проще некуда.. а как аутентификацию пользователей то делать? У мну рабочая группа, до домена пока не поднял..
Подскажите плз, други..

Прошу совета! Есть ISA 2006, одна. Есть внутри сети почтовый сервер. На внутреннем интерфейсе ISA - 1 IP, а на внешнем - 2. Как сделать так, чтобы весь трафик от почтового сервера шёл именно через 2 IP, а не через первый? Почтовый сервер получает то со второго, а отправляет через первый. Помогите советом, пожалуйста.

Народ ну че может кто что нить дельное подсказать?а?
я уже все облазил...

Цитата:

Прошу совета! Есть ISA 2006, одна. Есть внутри сети почтовый сервер. На внутреннем интерфейсе ISA - 1 IP, а на внешнем - 2. Как сделать так, чтобы весь трафик от почтового сервера шёл именно через 2 IP, а не через первый? Почтовый сервер получает то со второго, а отправляет через первый. Помогите советом, пожалуйста.

Может просто шлюзом прописать именно 2

Добавлено:

Цитата:

Прошу совета! Есть ISA 2006, одна. Есть внутри сети почтовый сервер. На внутреннем интерфейсе ISA - 1 IP, а на внешнем - 2. Как сделать так, чтобы весь трафик от почтового сервера шёл именно через 2 IP, а не через первый? Почтовый сервер получает то со второго, а отправляет через первый. Помогите советом, пожалуйста.

Может просто шлюзом прописать именно 2




Цитата:

Цитата:в логах отфутболивает по дефолту, есть правило пускать пользователей домена.
Проблема именно в том, что IE не открывает окна с авторизацией, к примеру опера спрашивает!


Настройки proxy серверов и т.п. в IE и Опере одинаковые?

Конечно! IE 6.