» Microsoft ISA Server 2006/2004/2000 (Часть III)

Granmer
если создается отдельно подключение для того чтобы попасть в какую то сеть то должен быть отдельный network с соответствующими network rules

hardhearted
Сеть создана, в неё включены диапазоны 10.0.0.1-10.0.0.100 и 192.168.0.250-192.168.0.255
Правило тоже есть, которое роутит internal в эту сеть. Результат тот же.
Но к чему тут сети если я пытаюсь попасть в ту сеть с локалхоста. А самым первы нетворкрулом идёт роутинг локалхоста во все сети?
Из-за чего ещё может иса не пускать?
Пробовал на домашнем компе, где нет исы, - всё работает на ура без дополнительной настройки.

2all

Как через ISA пустить юзера без NTLM аутентификации? А то есть машинки с линуксом не пойму как добавить пользователя не из AD? Раньше просто Kerio был и там всё просто =)

включить basic аутенфикацию на прокси и сделать для него юзера в ad или на самой исе

2all

ест такая задача:
ест около 50 юзеров в АД 2003, ИСА2004 и Циско роутер (Модел не знаю)
АД скажем м 192.168.1.1
ИСА 192.168.1.10; 1.1.1.5
на роутере открыты 3 Айпи адреса (1.1.1.30,31,32 с урезанным трафиком. (256Кб, 512кб, 128Кб))
Ест три группы Ползователей, Serfing, Download, VIP.
Нужно в ИСА перенаправит эти группы (АД) на нужные Айпи Адреса. ИСа работает в режиме ПРокси.
Это реально?
И вообше в ИСА ест такое фича с перенаправлением Трафика на ИП (а оттуда в инет...)

hamid
что в твоем понимании ?

Цитата:

фича с перенаправлением Трафика на ИП

вообще то весь tcp/ip основан на маршрутизации трафика и иса (вернее винда, иса не роутер) не исключение, на нее приходит что то и она это кидает дальше согласно таблице маршрутизации.
второй понимания про "перенаправление" это web proxy chaining на исе и firewall chaining, но это касается только webproxy трафика и firewall клиентов

но вот то что ты задумал на исе ты не реализуешь, во всяком случае иса такого точно не может и никогда не могда, а левых надстроек для этого я не встречал.
как роутер винда умеет разделять маршруты только по пункту назначения, более продвинутые умеют и по источнику и по протоколам, а вот по пользователям это нереально, на уровне ip пользователей не существует

коллеги! поможите, плиз. не могу никак заблокировать торренты.
через http фильтр, блокировку расширений не получается
сигнатуру для utorrent не могу найти
битторентовская сигнатура не закрывает utorrent
поможите, плиз

порты закрой нах и всё

привет у меня такой вопрос,на сервере стоит одна сетевая карта,но с двумя выходами,возможно ли будет на ней поднять ИСА?то есть с двумя-то картами проблем нет,а вот как она будет вести себя с картой у которой два выхода

cbh1
что имеется ввиду под двумя выходами? в винде сколько интерфейсов показывает? если два то все ок, а скорее всего так и есть.

Наверно, глупый вопрос, но я что-то застрял Есть ISA 2004. Ставлю Кэш... Все работает. Но как сделать так, чтобы определенные юзера (или по логину или по ip-адресу) лезли в инет минуя кэш ? В правилах нет что-то такого. Есть только Exception для сайтов, которые не будут кешироваться...

Kumarych
стандартными методами никак
из нестандартных есть один: например создать для этого юзера или ip отдельное правило где разреши transparent http (tcp порт 80 тока web фильтр на него не ставить) и запрети ему стандартный http, ну и проксю из браузера убрать

Несколько вопросов по ISA серверу.

1) У меня на машине с ISA стоит также WSUS-сервер. При генерации отчётов по трафику машина с ISA стоит первой в списке Top websites. Как сделать, чтобы этот трафик не учитывался? Он ведь локальный.

2) Если в браузере включить прокси, то начинает жутко тормозить загрузка страниц. Можно по несколько минут ждать, пока наконец-то откроется страница. Если прокси отключить, всё работает очень быстро.

3) Есть правило, запрещающее доступ по определённым доменам из списка от malwaredomains.com. Если включен прокси в браузере, то при заходе на один из этих сайтов отображается страница ISA о том, что доступ запрещён. А если отключен прокси, то браузерная. Это нормально?

posseru
1) во первых не весь трафик локальный, wsus же синхронизируется с microsoft, во вторых эти репорты настолько убоги что лучше ими даже не пользоваться
2) либо в правилах где то косяки либо в браузерах, надо смотреть логи
3) конечно нормально, даже обьяснять не надо почему

Спасибо за ответы.
По первому вопросу буду искать удобный анализатор логов.
По остальным понятно всё.

Ещё один вопрос.
Поднял на ISA сервере VPN L2TP. Настроил авторизацию через домен и выбрал группу VPN users, которой разрешён доступ. Не пускало до тех пор, пока в свойствах юзера в оснастке "AD users and computers" не поменял "Remote access permission" на вкладке "Dial-in" с Deny на Allow. По-моему на предыдущей работе этого не нужно было делать, достаточно было выбрать в ISA группу, которой разрешено входить на VPN-сервер и добавить пользователя в эту группу. Где-нибудь это настраивается?

posseru

Цитата:

Не пускало до тех пор, пока в свойствах юзера в оснастке "AD users and computers" не поменял "Remote access permission" на вкладке "Dial-in" с Deny на Allow.

видимо на пред работе у тебя была нормальная ad где по умолчанию на этой вкладке стоит пункт "Control access through Remote Access Policy", то есть rras решает кого пускать а кого нет

Вопрос по разрешению торрент траффика через ISA Server. Есть оный в редакции Enterprise версии 2006. Поставил все апдейты и увидел такой прикол, если раньше все норм работало, то сейчас у меня в логах кучу Failed Connection Attempt. При этом торрент тянет нормально, но в Инете полазить нереально, скорость как на модеме. До установки все было норм. Не помогает даже ограничение скорости скачки в самом uTorrent

Народ, подскажите плиз. Ну есть ли в нём полноценный порт маппинг? МОре всего перечитал так и не нашёл ответа. Кто-то пишет что есть, кто-то что нет. Хрен поймешь. Нужна такая весчь: из внутренней сети стучимся прогой, которая будет коннектиться по порту 5555 на ису, иса перенаправляет его на внешний (инет) сервак на порт 6666? винроуте и юзергейт позволяют это делать. А вот публикацие в исе я так и несмог этого добится. плиз подскажите.

user5nov

Цитата:

Народ, подскажите плиз. Ну есть ли в нём полноценный порт маппинг? МОре всего перечитал так и не нашёл ответа. Кто-то пишет что есть, кто-то что нет. Хрен поймешь.

порт маппинг есть в понимании публикации серверов. Т.е. тебе надо чтоб из внешней сети к тебе стучались на конкретный порт компа с isa server, он это принимал, и пересылал на другой комп. во внутренней (защищенной) зоне на конкретный ip.




Добавлено:
user5nov



Цитата:

Нужна такая весчь: из внутренней сети стучимся прогой, которая будет коннектиться по порту 5555 на ису, иса перенаправляет его на внешний (инет) сервак на порт 6666? винроуте и юзергейт позволяют это делать. А вот публикацие в исе я так и несмог этого добится. плиз подскажите.

ну дак и стучись прогой на внешний сервак по порту 6666. А в исе создай правило, чтоб она твоего клиента пропускала по нужному тебе протоколу на нужный сервак.

hardhearted

Цитата:

видимо на пред работе у тебя была нормальная ad где по умолчанию на этой вкладке стоит пункт "Control access through Remote Access Policy", то есть rras решает кого пускать а кого нет

Вероятно так и есть. Но тут в AD этот пункт неактивен. Где это можно подкрутить?

UPD. Повысил функциональный уровень домена до Windows 2003. Пункт стал активен. Только нужно теперь у всех, у кого вручную менял "Deny" на "Allow", поменять на "Control access through Remote Access Policy".

Добрый день!

Помоги решить проблему с настройкой двух ISA Server 2006 и ДМЗ?
Суть такова Две ИСЫ 2006 одна внешняя Иса (в домен не входит) с двумя интерфесами один смотрит в инет второй в зону ДМЗ и внутряння ИСА (входит в домен) два интерфейса один смотрин в локальную сеть второй в зону ДМЗ, в ДМЗ расположены два севркака.
-На внутренней Исе сетевые правила установлены так Между ЛАН и Интернетов НАТ, между ЛАН и ДМЗ маршрутизация, сделано для того что бы пользователи локалки ходили в ДМЗ и в логах отражалось их имя и IP адреса а в инет буду выходить через внешнюю ИСУ под адресом внутренней ИСЫ правильно ли так???
-Затем на внутреней исе сделаны правила доступа по группам для различных пользователей свои протоколы, а также опублекован почтовый сервак который стоит в Локалке...на внешней исе такие же правила делать или не заработает так потому что между этими ИСА стоит отношения НАТ может лучше поставить Маршрут????
-Какую адресацию лучше сделать в зоне ДМЗ (у меня щас 10.0.1.Х) что порекомендуете???
-Кто вообще настроивал ДМЗ с двумя ИСАми и как все это реализованно????
-Если создавать на обоих ИСАх правила Всем все разрешено то инет работает а если по тем правилам что созданны для различных групп то инет не работает???
-И еще вопрос как на внутренней исе правильно указать что все запросы во Внешнюю сеть передаются в внешнюю ису? (Я сделал веб-цепочку) или можно как то подругому???
Спасибо!

W2K3 SP2, ISA2006 St. WAN-интерфейс смотрит в инет через интерфейс на циске, LAN - в сеть соответственно.
x.x.x.x, y.y.y.y - IP адреса DNS серверов провайдера, которые указаны как DNS на WAN-интерфейсе.
z.z.z.z - IP адрес WAN интерфейса.
Есть AD, на других серверах поднят внутренний DNS, IP адреса серверов указаны на LAN интерфейсе.

На сервере с ISA постоянно валится Event 11164. Смысл ясен, но как сделать, чтобы прекратились попытки данной регистрации?



Цитата:

The system failed to register host (A) resource records (RRs) for network adapter
with settings:

Adapter Name : {EEF2FC3B-BD9D-49D5-AE07-....}
Host Name : isa
Primary Domain Suffix : domain-name.ru
DNS server list :
    x.x.x.x, y.y.y.y
Sent update to server : <?>
IP Address(es) :
z.z.z.z

The reason the system could not register these RRs was because either (a) the DNS server does not support the DNS dynamic update protocol, or (b) the authoritative zone for the specified DNS domain name does not accept dynamic updates.

To register the DNS host (A) resource records using the specific DNS domain name and IP addresses for this adapter, contact your DNS server or network systems administrator.

Люди, кто решал задачку ISA Enterprise в режиме 24х7, подскажите, плз. Имеется два прокси-сервера на внешку на основе сквида, на них каскадом второй линией смотрят два сервака с Исой 2006 в режиме "Один сетевой адаптер" для лимитирования трафика. DHCP нет. Необходимо обеспечить отказоустойчивость интернета для пользователей + оптимизировать нагрузку на канал. Балансировка сетевой загрузки между членами массива в Исе есть, а вот как устроить балансировку запросов на "первую" линию прокси? хочется-то использовать оба канала на внешку...

user5nov

Цитата:

Нужна такая весчь: из внутренней сети стучимся прогой, которая будет коннектиться по порту 5555 на ису, иса перенаправляет его на внешний (инет) сервак на порт 6666?

вообще так нельзя, хотя некоторые в форумах уверяли что типа делали. самое непонятное за каким болтом этот идиотизм нужен?

posseru
так и есть, этот пункт есть только в 2003 домене

admt
вообще непонятно зачем тебе две исы и такая схема, дорого и не нужно
во-первых это не форум блондинок - достаточно ставить один знак "7"
во-вторых полезно читать книжку, там такой случай рассмотрен, и много других глупых и банальных вопросов тоже.
в-третьих, по порядку
- не знаю в каких логах ты хочешь добиться ип и имен пользователей, на внутренней исе ипшники будут всегда, имена тока если трафик аутенфицируется, поэтому непонятно зачем тебе там route, хотя и nat тоже непонятно зачем, и вообще непонятно зачем там вторая иса
- откуда у тебя между исами nat если ты сам писал что между lan и dmz стоит route? непонятно зачем на внешней исе делать такие правила если они уже есть на внутренней, к тому же если между сетями nat и внешняя не в домене то откуда она будет смотреть пользователей?
- адресацию делай любую, если нет внешних адресов то ставь любые приватные, та же 10я сеть сойдет если ни с кем не пересекается, в твоем случае они все бессмысленны
- кто то да настраивал, тот же Шиндер например, а реализовано это все элементарно, только надо сначала четко определиться зачем оно
- если не работает по юзерам значит не работает аутенфикация, на внешней в твоем случае она скорее всего и не будет работать, на внутренней все стандартно
- легко, внешняя иса должна быть просто шлюзом по умолчанию в настройках внешнего интерфейса у внутренней, web chaining тоже рабоатть будет но только для web proxy трафика

Markes
все банально и написано во всех букварях, если иса в домене то никаких тупых dns провайдера на внешнем интерфейсе, только внутренние доменные dns на внутреннем интерфейсе, и соответственно разрешить этим внутренним dns серверам посылать запросы наружу. вопрос вообще к исе отношения не имеет.

atelgero
а сможешь внятно обьяснить зачем тебе аж 4(!!!) прокси да еще на разных платформах
стояли сквиды, так и стояли бы, зачем тебе понадобились еще две исы enterprise? каждая стоит около 6К баксов, да еще так бездарно их использовать: "с одним интерфейсом", в такой конфигурации это не иса это никчемная и недоделанная прокся
а твой ключевой вопрос вообще по сквидам а не по исе, хотя на исах можешь выставить шлюзом или через web chaining так чтобы каждая иса посылала трафик на "свою сквиду"

hardhearted

-вообще непонятно зачем тебе две исы и такая схема, дорого и не нужно
>>Две ИСЫ нужны для того что бы общедоступные Веб-серваки выделить в отдельный защищенный сегмент сети, что бы внешние пользователи имели доступ только в ДМЗ (где эти серваки и находяться) но не в локалку еще там планируется скоро в ДМЗ поставить и Exchange server. Один Веб-сервак служит для внесения инормации в том числе и конфиденциальной и Авторизации внешних пользователей, а веб-севис служит для связи с SQL-сервером с БДкоторый стоит в локалке, оба сервака используют всего два порта, поэтому если злоумышленик захватит этит серваки то зайти в локальную сеть а уж тембоолее на DC не сможет т.к. для атаки ему дано всего два порта, и они очень жестко контролируется на исах так и отдельным ПО на этих серверах
-во-первых это не форум блондинок - достаточно ставить один знак "7"
>>Извините, просто дурная привычка ставить много "7"
-во-вторых полезно читать книжку, там такой случай рассмотрен, и много других глупых и банальных вопросов тоже.
>>Шиндера я читал и не один раз и знаю как настраивать одну ису, но с настройкой ДМЗ никогда не сталкивался, очень много тонкостей.
-в-третьих, по порядку
- не знаю в каких логах ты хочешь добиться ип и имен пользователей, на внутренней исе ипшники будут всегда, имена тока если трафик аутенфицируется, поэтому непонятно зачем тебе там route, хотя и nat тоже непонятно зачем, и вообще непонятно зачем там вторая иса
>логи будут вестись на Веб-серваке где будет указан имя пользователя и его IP-адрес т.к. по правилам не все юзеры локалки могут ходить в инет, но могут ходить в ДМЗ на Веб-сервак и плюс почта, а некоторым только в инет но не в ДМЗ . На внутренней ИСЕ доваблена сеть ДМЗ и правило сетевое ДМЗ Internal - маршрут и правило Доспут к Интерснету - НАТ
- откуда у тебя между исами nat если ты сам писал что между lan и dmz стоит route?
>> потому что Создана сеть ДМЗ и route а между Исами правило НАТ по умалчанию, сама ИСа это делает в шаблонах.
-непонятно зачем на внешней исе делать такие правила если они уже есть на внутренней, к тому же если между сетями nat и внешняя не в домене то откуда она будет смотреть пользователей?
>>Внешняя ИСА будет проверять пользователей через RADIUS-сервер
А вот теперь про НАТ между ИСАми, на Внутр Исе есть правила публикации протоколов и портов напривем для клиентов сети VipNet там протокол UDP а порт 55777 настроен мапинг портов с компа в локалке во внешнюю сеть и обратно, с одно исой все просто получается а с двумя как, получается на первйю ису приходит пакеты UDP по порту 55777 с локаольного компа с адресов 192.168.55.55 а на вторую ису придет такой же пакет но с адресом уже внутренней исы т.е. 10.0.1.Х следовательно на внешней нужно создавать правила для тех же портов и протоколов как на внутренеей только ставя IP адрес внутренней ИСЫ, я думаю так.!?
- адресацию делай любую, если нет внешних адресов то ставь любые приватные, та же 10я сеть сойдет если ни с кем не пересекается, в твоем случае они все бессмысленны
>> всмысле есть внешний адрес? имеете в виду внешний IP адрес который нам выдал провайдер?
- кто то да настраивал, тот же Шиндер например, а реализовано это все элементарно, только надо сначала четко определиться зачем оно
>>да у него есть статья по реализации ДМЗ с двумя ИСАми и сделано там все также как и у меня только правила доступа у него всем и все (вот статья по этому поводу h2tp://3w.isadocs.ru/articles/detail.php?ID=17986&phrase_id=582732
- если не работает по юзерам значит не работает аутенфикация, на внешней в твоем случае она скорее всего и не будет работать, на внутренней все стандартно
>>втом то и дело что не проходит на внутренней исе а почему не понятно...стоит встроенная аутентификация пользоватлей. ?
- легко, внешняя иса должна быть просто шлюзом по умолчанию в настройках внешнего интерфейса у внутренней, web chaining тоже рабоатть будет но только для web proxy трафика
>>в принципе так и должно если на внешнем интерфейсе внутренней ИСЫ указан шлюз внешней ИСЫ то пересылка будет без лишних манипуляция

1. Есть сеть, к примеру 192.168.10.0/255.255.255.0.
В ней ISA на 192.168.10.1 и роутер в сеть 12.0.0.0/255.255.255.0 на 192.168.10.2.
На машине прописаны статические маршруты, что трафик в сеть 12.0.0.0/255.255.255.0 должен заворачиваться на 192.168.10.2, но Firewall client всё равно заворачивает его на ISA, что видно по логам.
Причём интересно что если пинговать 12.0.0.1 или делать к нему tracert то всё замечательно, как и должно быть. А когда из программы идёт обращение к SQL-серверу на 12.0.0.1, то трафик заворачивается на ISA. Как быть?


2. Нужно сделать доступ филиалам по VPN. Сейчас для этого используется Kerio VPN, но я хочу его "погасить" и ввести вместо него ISA.
Сейчас настроил PPTP, но попробовал в ближайшем филиале - не работает. Как я понял их провайдер не пропускает GRE-пакеты (в логах соответствующие ошибки, а из дома у меня всё вроде работало).
Насколько я понял, чтобы сделать VPN L2TP нужно поднимать центр сертификации и чтобы пользователи сами делали запрос на сертификат и потом его устанавливали. В филиалах сидят люди, далёкие от компьютеров, для них максимум возможного - это установить автонастройку, созданную пакетом CMAK и запустить RDP-подключение. Насколько безопасно L2TP с pre-shared key? Что предпочтительнее, L2TP и pre-shared key или PPTP?

Мужики, возможно этот вопрос уже был, но попробуй пересмотри все темы, связанные с ISA. В общем - ставил я в свое время ISA 2004 на небольшую сеть - все работало. Сейчас же симптомы примерно те же, какие были бы в случае полной путаницы mime types: открываешь на клиентской машине, лазащей в Интернет через ISA, страничку в браузере, щелкаешь по ссылке на EXE-шник, а браузер норовит его тебе на экран выдать, как обычную html-страницу. При прямом подключении (без ISA) таких фортелей нет. Где и что смотреть???

Заранее благодарен..)))

Как посмотреть загрузку канала пользователями в исе? какие счетчики добавить в перфоманс монитор?

darkomen
никак. никакие. использовать, например, Bandwidth Splitter.

Привет всем. Hardhearted в частности )

У меня вопрос по ISA 2006 и Checkpoint NG
У нас стоит ISA. На другой стороне Checkpoint.
Из нашей сети группа (назовем ее groupFromISA) создает vpn соединение к Удаленному серверу (ServerCP)
и успешно работает. Вся группа имеет статические IP.

На ISA сервере к тому же еще есть vpn site-to-site и еще клиенты коннектятся через vpn к местной локальной сети.

У меня стоит задача выделить и посчитать траффик именно группы groupFromISA.

Для нее было изначально правило Rule_groupFromISA
Allow all - outbound traffic - from [groupFromISA(статические IP адреса)] - External

В ходе анализа логов (использую Internet Access Monitor) выяснилось что по правилу Rule_groupFromISA
эта группа ходила в инет. Но трафик "виден" только до того момента как пользователь коннектится к ServerCP
(Мне так кажется во всяком случае). Потом по моему предположению трафик идет непосредственно от ISA сервера.

hardhearted уже с месяц назад отвечал мне на вопрос про "непонятное" правило РАЗРЕШАЮЩЕЕ трафик от ISA сервера

(я тогда не могла понять что это вообще)

Теперь я предполагаю что это и есть трафик в тоннеле vpn

НО что самое удивительное - это HTTP!!!
по времени (а groupFromISA начинает свою работу в 4 часа дня) - совпадает
по внешним IP откуда идет трафик (а он в основном входящий) - тоже похоже - это не .ru. тоже специфика

В общем вопрос
как же такое может быть - vpn а трафик виден как http
возможно ли это?