» Microsoft ISA Server 2006/2004/2000 (Часть III)

Всем доброго времени суток!

Помогите пожалуйста начинающему сисадмину...

ISA 2006. Необходимо открыть порт 443 для HTTPS. Как именно это сделать?

TimariK
разрешить https
это стандартный порт для этого протокола, ничег оне потребуется лишнего делать

hardhearted
Совершенно верно )))) то что 443 стандартный порт я знаю...
Видимо неправильно сформулировал вопрос...

Как именно разрешить https??? нужно создать access rule в Firewall policy rules или нужно искать в System policy rurles??? Какая именно строка должна быть?

Заранее прошу прощения за глупые вопросы =)

TimariK
с такими вопросами в system rules просто не лезь
создай просто правило в firewall rules? типа разрешить https откуда надо куда надо и кому надо.

TimariK
Возможно понадобиться ещё добавить протокол https server.

Tornado777
не сбивай с пути истинного юного подавана своими глупыми "возможно"

Помагите пожалуста, я загрузил в компютер программу Mask Surf Standard, это программа для смены IP адреса, потом у меня перестал работать Windows Live Messenger, удалил программу Mask Surf Standard не помогло, не могу зайти на MSN, вижи щто с Internet Explorera не могу зайти на сайт www.msn.com, или на www.microsoft.com, а на сайты www.mail.ru и. т. могу зайти, не знаю что случилось, мне кажетса что то блокирует эти сайты. Как мне зделать что бы MSN работало.

kamran017
поимей свою совесть, ты на прошлой странице этот вопрос задавал и тебе уже ответили что он не по теме топика.

замалчи, че не хочеш не отвачей, я не для тебя задавал вопрос

^_^ )))))))))))))))))
сорри не здержалсо..

Здравствуйте! У меня такой вопрос: стоит ISA Server 2006 Standart Edition русская версия + TrafficQuota 2.2 Будет ли вместе со всем этим работать GFI WebMonitor 4? И если нет, тогда чем можно анализировать логи, кто куда ходил? Заранее спасибо...

Всем привет,
Совершенно простой вопрос, как создать client VPN с “IPsec tunnel” а не L2TP.
Site-to-Site делается элементарно, а для юзеров-то как?
Сразу поясню, зачем это нужно: есть толпа юзеров с уже настроенным “IPsec tunnel”.
Только вяжутся они не через ISA, а через NetScreen. Юзера начали было вистовать, но там IPsec падает. А на ХР нормально договаривается. Виста + L2TP + ISA работает нормально, но юзера народ страшно бестолковый, поэтому решили просто втихую заменить NetScreen на ISA.
Гуглил со страшной силой - единственное, что нашел - “IPsec tunnel” только для Site-to-Site, т.к. типа низзя юзеров различать. Но у нас все юзера при сертификатах, так что вроде это должно быть без проблем.
Единственное, что не ясно, как же создать client VPN с “IPsec tunnel”?
Если вопрос совсем не в тему, заранее извиняюсь.
Если кто кинет ссылку, где есть инфа по этому вопросу – тоже буду рад!
Спасибо!

Apokrif
через ису никак. сам по себе l2tp и есть ipsec

senator14
пользуй IAM - InternetAccessMonitor - отличнейшая вещь
Apokrif
Что-то похожее пробовали делать, а точнее туннель между исой и линуксом но в итоге так и не заработало, не смогли договориться по методам шифрования. Точнее ночью без нас само поднялось на пару минут и потом опять полегло, но тогда времени не было много, на идею забили. А делали все по этому доку, почитать можешь тут:
http://www.microsoft.com/technet/isa/2006/branch_office_rtm.mspx
http://www.microsoft.com/technet/isa/2006/vpn.mspx

и вот цитата из последней ссылки:
There are three VPN protocols for site-to-site connections:
• PPTP
• L2TP over IPsec
• IPsec tunnel mode

hardhearted

Цитата:

через ису никак. сам по себе l2tp и есть ipsec

Эт точно!
А еще точнее, l2tp вяжется через "Transport Mode with UDP encapsulation"

ITeXPert

Цитата:

There are three VPN protocols for site-to-site connections:
• PPTP
• L2TP over IPsec
• IPsec tunnel mode

Все верно. Длинное письмо у меня вышло, и мысля видать потерялась!
Мне хотелось поиметь "IPsec tunnel mode" но не как site-to-site, а для "Remote Access VPN Connection" (т.е. client сonnection)
Соответственно это будет "Tunnel Mode with UDP encapsulation"


Openswan (IPsec for Linux) по идее должен вязаться без проблем.
Причем с Openswan даже виста как client "IPsec tunnel mode"работает. (Т.е. то что мне и нужно, только вместо Openswan хотелось ISA прикрутить)
Отлаживать сложно, но можно. Главное иметь терпение логи на обоих сторонах читать.


Цитата:

но тогда времени не было много

Да блин, это и есть самая большая проблема!


Добавлено:
Парни,
Чо-то я опять туплю…
Для site-to-site VPN в свойствах Connection | IPSec settings выставляются Phase I & Phase II (aka MM & QM) офферы. Непонятно, почему-то только один набор, но жить можно!

А где то же самое выставляют для client сonnection (L2TP over IPsec)
В логах вижу 4 MMOffer:
----------
MMOffer[0] LifetimeSec 28800 QMLimit 0 DHGroup 2
MMOffer[0] Encrypt: Triple DES CBC Hash: SHA
MMOffer[1] LifetimeSec 28800 QMLimit 0 DHGroup 2
MMOffer[1] Encrypt: Triple DES CBC Hash: MD5
MMOffer[2] LifetimeSec 28800 QMLimit 0 DHGroup 1
MMOffer[2] Encrypt: DES CBC Hash: SHA
MMOffer[3] LifetimeSec 28800 QMLimit 0 DHGroup 1
MMOffer[3] Encrypt: DES CBC Hash: MD5

И 5 QMOffer:
----------
QMOffer[0] LifetimeKBytes 250000 LifetimeSec 3600
QMOffer[0] dwFlags 0 dwPFSGroup 0
Algo[0] Operation: ESP Algo: Triple DES CBC HMAC: MD5
QMOffer[1] LifetimeKBytes 250000 LifetimeSec 3600
QMOffer[1] dwFlags 0 dwPFSGroup 0
Algo[0] Operation: ESP Algo: Triple DES CBC HMAC: SHA
QMOffer[2] LifetimeKBytes 250000 LifetimeSec 3600
QMOffer[2] dwFlags 0 dwPFSGroup 0
Algo[0] Operation: ESP Algo: DES CBC HMAC: MD5
QMOffer[3] LifetimeKBytes 250000 LifetimeSec 3600
QMOffer[3] dwFlags 0 dwPFSGroup 0
Algo[0] Operation: ESP Algo: DES CBC HMAC: SHA
QMOffer[4] LifetimeKBytes 250000 LifetimeSec 3600
QMOffer[4] dwFlags 0 dwPFSGroup 0
Algo[0] Operation: ESP Algo: NULL DES HMAC: SHA
QMOffer[5] LifetimeKBytes 250000 LifetimeSec 3600
QMOffer[5] dwFlags 0 dwPFSGroup 0
Algo[0] Operation: ESP Algo: NULL DES HMAC: MD5

А где собсно я их выставляю-то?
В принципе почти все устраивает (кроме PFSGroup), но хотелось бы знать где подкручивать!

Заранее извиняюсь за ламерские вопросы, ISA только вчера поставил.
И доки честно просмотрел!

Здравствуйте уважаемые эксперты и пользователи
Я прочитал кучу статей и книгу по исе и окончательно запутался
Задача: есть АД в ней группа ИНЕТ надо раздать инет этой группе сервисы почта ася и http
отдельно сервер введеный в АД на нем иса 2006 стандарт
создаю правило
зазрешить выбираю сервисы(пробовал весь исходящий траффик) внутреннюю сеть пускать в инет в разделле пользователи создаю пользователя авторизация в домене выбираю эту группу
резутьтата нету, а если выбираю все пользователи работает
это когда не стоит клиент исы как только его ставлю сразы перестает работать всё кроме веб прокси
Подскажите что надо сделать что бы всё заработало????

Есть сеть 192.168.0.1-254 и AD. Выход в инет у клиентов через циску.
Есть ли вариант поставить ISA 2006 в варианте с одним интерфейсом (хотя бы web proxy), не создавая vlan-ов, других сетей , использования второго интерфейса и т.п.?

Markes
ну если хотя бы веб прокси то с одним интерфейсом будет работать, тока я не понимаю зачем тебе такая ущербная иса...
уж проще все на циске оставить, или поставить их друг за другом с промежуточной сеткой между циской и исой.

hardhearted

Цитата:

ну если хотя бы веб прокси то с одним интерфейсом будет работать, тока я не понимаю зачем тебе такая ущербная иса...

По сути нужен только прокси, а ISA устраивает сама по себе, вариант с 2-мя интерфейсами пройден успешно


Цитата:

поставить их друг за другом с промежуточной сеткой между циской и исой.

Если с одним инт-ом не получится - тогда этот вариант, конечно. Интересно все же - кто-нибудь делал с одним инт-ом?

Markes

Цитата:

Интересно все же - кто-нибудь делал с одним инт-ом?

встречались такие извращенцы и не раз, эта модель в книге даже описана, но имхо использовать такой дорогой продукт как глупую проксю с одним интерфейсом не очень прикольная затея

Народ, подскажите, FTP-прокси в ISA можно реализовать только через NAT?

Цитата:

Народ, подскажите, FTP-прокси в ISA можно реализовать только через NAT?

кто нить понял эту фразу?

hardhearted

Цитата:

кто нить понял эту фразу?

Совсем непонятно? Перевожу :)

Нужно открыть доступ к FTP с клиентской машины. Сказали, что в ISA это можно сделать только через NAT, а он отключен, по соображениям безопасности. Вот и хочу узнать, брешут, или в самом деле так.

RazDray
web-proxy умеет запрашивать FTP, но закачивать на сайт через неё нельзя.

Цитата:

NAT отключен, по соображениям безопасности

Отключите еще http и https, по ним что угодно можно туннелировать

RazDray
так бы и писал, а то "ftp-прокси через nat" прокси и нат это совершенно разные технологии. по поводу ftp через прокси то выше написали, folder view в ie работает тока без прокси, хотя насчет других ftp клиентов я не проверял, мож какой нить фар или еще кто и умеет.

Refugee

Цитата:

Отключите еще http и https, по ним что угодно можно туннелировать

Шутить изволите :)


Попробую переформулировать вопрос - Если отключен NAT, можно ли организовать скачивание и заливку файлов по FTP протоколу? Хоть чем нибудь - FlashFXP, Total Commander, etc.

P.S. Через HTTP-Proxy не подходит, через SOCKS4 тоже, устроил бы SOCKS5, но в ISA его нет :(

Здравствуйте!
Подскажите пожалуйста, есть ли в ИСА Сервере 2006 возможность блокировать трафик от определенных компьютеров по МАС ?

Проблема в том, что надо запретить определенным компам лазить в инет.

Решение через авторизацию не совсем помогает, т.к. авторизрованные пользователи не приемлют пароли, поэтому на запрещенных компах легко можно войти под их аккаунтом и получить доступ в инет.

Блокировка по IP тоже не даст желаемого результата, т.к. стоит домен с автоматическим динамческим назначением IP адресов.

Остается тогда блокировка по МАС, но как реализовать не могу найти... может есть какой-то фильтр сторонний?

На ИСА прикручен модуль Bandwidth Splitter 1.22, решающий вопрос шейпинга инета, но в нем так же не возможно блокировать по МАС.

Подскажите пожалуйста, как и с помощью чего можно решить данную проблему?

Заранне огромное спасибо!!!

RazDray
В 3proxy есть ftppr - FTP proxy gateway service, позволяющий заливку
Keiichi
сделай в DHCP reservations для нужных MAC и сможешь блокировать IP

Refugee

Цитата:

В 3proxy есть ftppr - FTP proxy gateway service, позволяющий заливку

Не совсемм понял, какое отношение это имеет к ISA?

RazDray
а чем не устраивает fwc?
насчет других прог через прокси надо тестировать, большая часть из них не умеет integrated authentication, другая часть работает через прокси тока в режиме web view (например IE)

Добавлено:
Keiichi
во первых выучи разницу между авторизацией и аутенфикацией
во вторых по маку иса не поддерживает авторизацию и думаю не будет никогда, тока по ип и по юзеру.
маки работают в пределах сегмента, это используют тока домашние провайдеры и то на свичах и роутерах, дальше роутера маки уже безполезны, а иса сделана как корпоративный файрвол+прокси, ее проблемы домовых недопровайдеров не волнуют