IAM последней версии не уменьшает трафик?ISA2006
» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)
oler2
Цитата:
Не в курсах, не юзаю.
Цитата:
IAM последней версии не уменьшает трафик?
Не в курсах, не юзаю.
как же тогда проверить прова?
IAM -56,2
у них - 69,5
корбина
Добавлено:
при том читал что IAM наоборот завышает
IAM -56,2
у них - 69,5
корбина
Добавлено:
при том читал что IAM наоборот завышает
oler2
а ты в iam весь трафик считал? может не тот отчет смотришь. потом у провайдера всегда будет больше, ты же в отчетах наверняка отброшенные пакеты не сосчитаешь, а они снаружи приходили и пров их считает (раз до тебя дошли значит твои, а то что ты их отбросил это твои проблемы)
а ты в iam весь трафик считал? может не тот отчет смотришь. потом у провайдера всегда будет больше, ты же в отчетах наверняка отброшенные пакеты не сосчитаешь, а они снаружи приходили и пров их считает (раз до тебя дошли значит твои, а то что ты их отбросил это твои проблемы)
hardhearted в смысле весь?
по умолчанию импортировал, а потом смотрел по всем IP и по всем протоколам(включая неизвестные)
Добавлено:
и ещё не подскажите ISA2004/
внутри шлюз WI-FI (именно шлюз, который в дальнейшем встанет во вне), но в данный момент ISA переодически определяет его как нарушителя (flooshing-атака) и рвёт соединения по 80 порту, на этом шлюзе 7-8 клиентов, как побороть?
по умолчанию импортировал, а потом смотрел по всем IP и по всем протоколам(включая неизвестные)
Добавлено:
и ещё не подскажите ISA2004/
внутри шлюз WI-FI (именно шлюз, который в дальнейшем встанет во вне), но в данный момент ISA переодически определяет его как нарушителя (flooshing-атака) и рвёт соединения по 80 порту, на этом шлюзе 7-8 клиентов, как побороть?
oler2
Цитата:
я не в курсе как iam работает - не использую, просто некоторые считалки могут считать например только веб трафик или какой то определенно заданный (с учетом кэша или без учета, с компрессией или без)
Цитата:
шлюз роутит в другую сетку? а она где нить вписана?
Цитата:
в смысле весь?
я не в курсе как iam работает - не использую, просто некоторые считалки могут считать например только веб трафик или какой то определенно заданный (с учетом кэша или без учета, с компрессией или без)
Цитата:
внутри шлюз WI-FI (именно шлюз
шлюз роутит в другую сетку? а она где нить вписана?
провайдер - ISA - внутренняя сеть (192.168.0.0) - роутер - клиенты роутера (192.168.1.0)
она где нить вписана?
где именно?
по поводу первой проблемы понятно, спасибо огромное. пишу притензию провайдеру.
она где нить вписана?
где именно?
по поводу первой проблемы понятно, спасибо огромное. пишу притензию провайдеру.
oler2
что значит где именно? у тебя между между 192,168,0 и 192,168,1 стоит nat или роутинг?
если nat то ничего не надо вписывать, только сам роутер добавь в исключения в flood mitigation ибо если за ним несколько активных клиентов то он может кучу пакетов слать
если роуте то даже младенцу очевидно что в исе эту подсетку тоже над овписать в internal, иначе она вообще безхозная получиться
что значит где именно? у тебя между между 192,168,0 и 192,168,1 стоит nat или роутинг?
если nat то ничего не надо вписывать, только сам роутер добавь в исключения в flood mitigation ибо если за ним несколько активных клиентов то он может кучу пакетов слать
если роуте то даже младенцу очевидно что в исе эту подсетку тоже над овписать в internal, иначе она вообще безхозная получиться
hardhearted - спасибо огромное, просто выручил...очень, очень благодарен тебе..
всё заработало.
всё заработало.
Есть одна проблема. ISA 2006 не отрабатывает правила. В журнале нет даже записей чем и как она рубит этот трафик.
Вот ссылка <img src="http://aps.by/ISApolic.JPG" alt="" />
В нашем случае правила
Mail enterprise и ICQ all. Их можно снести в политику межсетевого экрана, но это тоже не поможет
Вот ссылка <img src="http://aps.by/ISApolic.JPG" alt="" />
В нашем случае правила
Mail enterprise и ICQ all. Их можно снести в политику межсетевого экрана, но это тоже не поможет
GhostTJ
А где у тебя правило разрешающее трафик с локального ПК в доменную сеть?
Покажи кусок лога при попытке коннекта.
Я смотрю у тебя стоит Bandwidth Splitte, если цельнотянутый удали его пока.
А где у тебя правило разрешающее трафик с локального ПК в доменную сеть?
Покажи кусок лога при попытке коннекта.
Я смотрю у тебя стоит Bandwidth Splitte, если цельнотянутый удали его пока.
Цитата:
Я смотрю у тебя стоит Bandwidth Splitte, если цельнотянутый удали его пока.
Это только в консоле, на серваке удалён.
Цитата:
Покажи кусок лога при попытке коннекта.
Они пусты, вообще ничего нет. На клиенте естественно default Gateway - ISA
Цитата:
А где у тебя правило разрешающее трафик с локального ПК в доменную сеть?
local ok
GhostTJ
Цитата:
Вообще ничего может быть только в случае когда клиент ломится не туда (тоды смотри настройки на клиенте или DHCP и DNS на сервере), или ты отслеживаешь не того клиента...
Я смотрю у тебя Enterprise версия, значит есть вторая иса!?
Цитата:
Они пусты, вообще ничего нет. На клиенте естественно default Gateway - ISA
Вообще ничего может быть только в случае когда клиент ломится не туда (тоды смотри настройки на клиенте или DHCP и DNS на сервере), или ты отслеживаешь не того клиента...
Я смотрю у тебя Enterprise версия, значит есть вторая иса!?
Есть ещё проблема:
с сервера ISA отправляем пинг до оборудования провайдера (gateway). Пинг кривой как турецкая сабля. То есть, то нет, .... бывает 30-40 минут всё ок, а потом провалы. 5 пакетов отправлено 2 потеряны.
Как только отключаю локалку от исы всё летает и пинг ровный и красивый. Загружаю канал всяким барахлом и все нормально. Включаю обратно локалку и понеслось. Настройки ИСЫ в предыдущем посте скриншот.
Как это может быть взаимосвязано?
Технология ADSL, модем менял, сервак исы ставил новый, ису поднимал заново с нуля. И картина та же. IP внешний менял с провайдером.
с сервера ISA отправляем пинг до оборудования провайдера (gateway). Пинг кривой как турецкая сабля. То есть, то нет, .... бывает 30-40 минут всё ок, а потом провалы. 5 пакетов отправлено 2 потеряны.
Как только отключаю локалку от исы всё летает и пинг ровный и красивый. Загружаю канал всяким барахлом и все нормально. Включаю обратно локалку и понеслось. Настройки ИСЫ в предыдущем посте скриншот.
Как это может быть взаимосвязано?
Технология ADSL, модем менял, сервак исы ставил новый, ису поднимал заново с нуля. И картина та же. IP внешний менял с провайдером.
GhostTJ
В догонку...
пинг от куда посылал?
В догонку...
пинг от куда посылал?
Цитата:
Вообще ничего может быть только в случае когда клиент ломится не туда (тоды смотри настройки на клиенте или DHCP и DNS на сервере), или ты отслеживаешь не того клиента...
Того, того. Я ставлю мониторить любую деятельность с IP клиента. При попытке открыть интернет страницу всё открывается и в логах все оК. Потом я закрываю все и открываю только аську и ВУАЛЯ всё чисто в логах.
Клиентскую машину рестартовал, getway - ISA, в настройках аськи "прямое подключение к интернету". И? Где грабли?
Цитата:
Я смотрю у тебя Enterprise версия, значит есть вторая иса!?
Нету пака, но будет.
Добавлено:
Цитата:
пинг от куда посылал?
Пинг с ИСЫ на DEFAULT GATEWAY что прописан в настройках модема.
Топология:
USERS -> switch -> ISA -> modem -> Default Gateway провайдера.
Цитата:
и открываю только аську и ВУАЛЯ всё чисто в логах.
Я вот что-то не понял само подключение аськи то хоть есть?
FWC на клиенте есть? IP на клиенте статика или динамика? (если статика проверь ещё раз шлюз и маску подсети).
В "свойстве обозревателя-подключения-настройка сети", что стоит?
Добавлено:
Цитата:
Пинг с ИСЫ на DEFAULT GATEWAY что прописан в настройках модема.
Тогда у тебя роутинг работает неправильно. Порядок сетевых интерфейсов на исе какой?
P.S. Настройка сетевых интерфейсов для ISA сервера.
Уважаемые, огромная просьба о помощи!
Имеем:
Windows Server 2003 EE SP2
Microsoft ISA Server 2006 Version: 5.0.5720.100
Ситуация:
Через ISA выход в инет, а так же подключаются по vpn извне. После определенного времени в логе наблюдается ошибка:
The number of denied TCP and non-TCP packets per second exceeded the system limit. As a result, ISA Server reduced the number of records of denied packets that are written in the log. One or many zombie hosts may be attempting an attack against a victim server, but ISA Server policy blocks the attack traffic. See the product documentation for more information about ISA Server flood resiliency.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Как следствие пользователи vpn не могут подключится, выкидывает ошибку 800. Те, кто подключился до этого времени, работать могут, служба Microsoft Firewall работает, RRAS то же. Помогает рестарт Microsoft Firewall. В чем может быть дело и как решить?
До этого не загружалась консоль ISA, полечилось чисткой кеша mmc, вот так вот
Имеем:
Windows Server 2003 EE SP2
Microsoft ISA Server 2006 Version: 5.0.5720.100
Ситуация:
Через ISA выход в инет, а так же подключаются по vpn извне. После определенного времени в логе наблюдается ошибка:
The number of denied TCP and non-TCP packets per second exceeded the system limit. As a result, ISA Server reduced the number of records of denied packets that are written in the log. One or many zombie hosts may be attempting an attack against a victim server, but ISA Server policy blocks the attack traffic. See the product documentation for more information about ISA Server flood resiliency.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.
Как следствие пользователи vpn не могут подключится, выкидывает ошибку 800. Те, кто подключился до этого времени, работать могут, служба Microsoft Firewall работает, RRAS то же. Помогает рестарт Microsoft Firewall. В чем может быть дело и как решить?
До этого не загружалась консоль ISA, полечилось чисткой кеша mmc, вот так вот
SemGemdgi
Насколько помню это связано с защитой от флуда (floo migration) помоему
PS
Нашёл таки мануал по интеграции SP1 в дистрибутив ISA 2006
Поднимите в шапку чтоб не потерялась ссылка.
Линк
Насколько помню это связано с защитой от флуда (floo migration) помоему
PS
Нашёл таки мануал по интеграции SP1 в дистрибутив ISA 2006
Поднимите в шапку чтоб не потерялась ссылка.
Линк
Вот может быть есть мысли по данной схеме:
Users -> switch -> ISA --> switch -> modem -> Default Gateway провайдера
|
notebook (не в домене)
Так вот с ноутбука пинг идёт нормальный и постоянный, а с ИСЫ периодически теряются пакеты.
В ИСЕ 2 сетевухи. Одна смотрит в локалку, другая в модем через свитч. Default Gateway прописан понятное дело на той сетевой что смотрит в модем.
Пинг запускается с самой ИСЫ и ноутбука одновременно.
С ноута за час ни одной потери, с ИСЫ 5-15%
Повторюсь: при отключении Локальной сети от ИСЫ всё идёт ОК. В логах ИСЫ всё чисто. В событиях тоже.
ГДЕ грабли?
Users -> switch -> ISA --> switch -> modem -> Default Gateway провайдера
|
notebook (не в домене)
Так вот с ноутбука пинг идёт нормальный и постоянный, а с ИСЫ периодически теряются пакеты.
В ИСЕ 2 сетевухи. Одна смотрит в локалку, другая в модем через свитч. Default Gateway прописан понятное дело на той сетевой что смотрит в модем.
Пинг запускается с самой ИСЫ и ноутбука одновременно.
С ноута за час ни одной потери, с ИСЫ 5-15%
Повторюсь: при отключении Локальной сети от ИСЫ всё идёт ОК. В логах ИСЫ всё чисто. В событиях тоже.
ГДЕ грабли?
Предлогаю организовать такую схему:
Users -> switch -> ISA --> modem -> Default Gateway провайдера
Т.к. не совсем понятно зачем свич между модемом и исой.
И пустить пинг из машины за исой.
Ipconfig /all с ноута и с исы в студию
Users -> switch -> ISA --> modem -> Default Gateway провайдера
Т.к. не совсем понятно зачем свич между модемом и исой.
И пустить пинг из машины за исой.
Ipconfig /all с ноута и с исы в студию
GhostTJ
Цитата:
Модем настраивал провайдер и выдал уже настроенный? Тогда возможно настройка mask в модеме не допускает подключение одновременно более одного IP адреса к модему. Или эта же настройка во внешнем интерфейсе ISA. Убирай switch между модемом и ISA. По хорошему ему там делать нечего. Или ты свои личные проблемы так решаешь?
Цитата:
Users -> switch -> ISA --> switch -> modem -> Default Gateway провайдера
|
notebook (не в домене)
Модем настраивал провайдер и выдал уже настроенный? Тогда возможно настройка mask в модеме не допускает подключение одновременно более одного IP адреса к модему. Или эта же настройка во внешнем интерфейсе ISA. Убирай switch между модемом и ISA. По хорошему ему там делать нечего. Или ты свои личные проблемы так решаешь?
ildarU
спасиб, посмотрю, это может быть связано с вирусом на компе одного из vpn-клиентов?
спасиб, посмотрю, это может быть связано с вирусом на компе одного из vpn-клиентов?
Цитата:
Предлогаю организовать такую схему:
Users -> switch -> ISA --> modem -> Default Gateway провайдера
Т.к. не совсем понятно зачем свич между модемом и исой.
И пустить пинг из машины за исой.
Такая схема и есть. Свитч и ноут за ИСОЙ впихнули для организации проверки (параллельного пинга)
Цитата:
Модем настраивал провайдер и выдал уже настроенный? Тогда возможно настройка mask в модеме не допускает подключение одновременно более одного IP адреса к модему. Или эта же настройка во внешнем интерфейсе ISA. Убирай switch между модемом и ISA. По хорошему ему там делать нечего. Или ты свои личные проблемы так решаешь?
Модем ковыряю только сам. Единственное что, так это давал доступ провайдеру для проверки настроек модема (после того как я не него наехал как бульдозер за интернет)
есть предположения что сидит какая-то падла в локалке и гадит UDP пакетами или ещё чем-нить
не подскажите как в ISA 2006 резать банеры?
имеется база rejik хотелось бы прикрутить.
имеется база rejik хотелось бы прикрутить.
oler2
так же как и все остальные сайты
так же как и все остальные сайты
подскажите кто знает, что за ошибки и как бороться?
Description: The routing table for the network adapter Local includes IP address ranges that are not defined in the array-level network Internal, to which it is bound. As a result, packets arriving at this network adapter from the IP address ranges listed below or sent to these IP address ranges via this network adapter will be dropped as spoofed. To resolve this issue, add the missing IP address ranges to the array network.
The following IP address ranges will be dropped as spoofed:
External:192.168.1.0-192.168.1.0;
Description: The routing table for the network adapter Local includes IP address ranges that are not defined in the array-level network Internal, to which it is bound. As a result, packets arriving at this network adapter from the IP address ranges listed below or sent to these IP address ranges via this network adapter will be dropped as spoofed. To resolve this issue, add the missing IP address ranges to the array network.
The following IP address ranges will be dropped as spoofed:
External:192.168.1.0-192.168.1.0;
SemGemdgi
тебе "русским по белому" написали что перечиcленный адрес не вписан в тот network (Internal) в котором он должен быть согласно таблице роутинга. скорее всего ты, как и многие другие не читавшие мануал и не имеющие представления что твкое сеть, в internal вписал сеть начиная с "1" а не с "0" как положено
)
тебе "русским по белому" написали что перечиcленный адрес не вписан в тот network (Internal) в котором он должен быть согласно таблице роутинга. скорее всего ты, как и многие другие не читавшие мануал и не имеющие представления что твкое сеть, в internal вписал сеть начиная с "1" а не с "0" как положено
)hardhearted
тобишь в ручную каждый адрес вбивать?или можно этот лист импортировать?
тобишь в ручную каждый адрес вбивать?или можно этот лист импортировать?
hardhearted
ну может представление имею, но не полное
про мануал ты прав, не читал, ноя и не настраивал, а лишь разбираюсь с ошибками в логах и т.п.
Спасибо за подсказку
ну может представление имею, но не полное
про мануал ты прав, не читал, ноя и не настраивал, а лишь разбираюсь с ошибками в логах и т.п.
Спасибо за подсказку
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495
Предыдущая тема: Kerio WinRoute Firewall (часть 4)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.