» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Цитата:

вот только перепроверил трасировку на локальный IP (с неосновным шлюзом и выше метрикой)

если этот локальный IP в одной сети с интерфейсом вашей исы то это так так называемая connected сеть - маршрут к такой сети добавляется автоматически в любом сетевом устройстве с метрикой 0, а шлюз здесь не при делах

Valery12

Цитата:

если этот локальный IP в одной сети с интерфейсом вашей исы то это так так называемая connected сеть

конфиг сети я описал выше

Цитата:

автоматически в любом сетевом устройстве с метрикой 0

две метрики: 20 и 25
две сети, и два провайдера
при обращении с внешнего мира по одному из IP - пакеты возвращаются по тому же маршруту как и пришли.
Я думаю что не стоит тут сейчас спорит что работает, а что нет. Что может быть, а что не может.

При такой конфигурации, если пинговать с сервера во внешку, то естественно пойдет по маршруту с меньшей метрикой. Но как выше писал, у меня ТИ сам направляет по правилам по нужному маршруту.

Цитата:

у меня ТИ сам направляет по правилам по нужному маршруту

ну а чего тогда тень на плетень наводите, я говорю о принципах маршрутизации в интернете и об ISA сервере, который этого не умеет

Valery12
вообще-то, я об этом сразу сообщил.
и пост относился именно к "шлюз может быть только один"
ТИ рулит только запросами от пользователей, направляя в нужное русло, а не всем трафиком на сервере.

Цитата:

хотя у меня инет для самой корп сети идет через уст. на сервере прокси TI

пардон, не увидел, но это ключевой момент - ИСА маршрутизацией не занимается, эту работу выполняет операционная система windows, которая на такие финты не способна, а TI или winroute просто расширяют возможности маршрутизации (как и route-map в юниксе и в cisco), но опять же не за счет метрик, а за счет анализа источника и назначения пакета и использования нескольких таблиц маршрутов в каждой из которых дефолтный шлюз работает все равно один.

Коллеги, вопрос по ISA2006EE

Нужно ограничить диапазон IP с которых можно устанавливать VPN соединения снаружи

Не долго думая поднял виртуалку, впн клиент в той же подсети что и wan isa.

На isa залез в управление сетями, создал сеть с указанным диапазоном IP
В настройках VPN доступа на закладке NETWORK снял галочку с сети External и поставил галочку на созданную сеть.

Тестирую. Впн не поднимается, иса дропает пакеты как спуфед.
Возвращаю все обратно, принимать от всех ip - впн не работает )

Удаляю созданную сеть, ребутаю, впн работает.

Снова создаю сеть, бла бла, не работает. В надежде на чудо ребутаю сервер - не работает.

Вот такая шайтан машина.

Я выбрал не верный путь решения проблемы? Подскажите тру вей )

Решено. Для тестовой ISA на wan использовал адрес из подсети 192.168.10.0 - вот она и отклоняла все запросы, мотивируя тем, что такой адрес внешним быть не может. Изменил на 92.92.92.0 - заработало.

встала задача контролировать трафик в сети без домена, ip-адреса динамические и раздаются DHCP... такая вот тривиальная задача родила два вопроса:
возможно организовать логирование с именем клиента (т.е. чтобы было не anonymous, а локальное имя пользователя)?
возможно ли в принципе в лог исы писать путь и имя файла процесса, сделавшего запрос через ису?
FWC что-то даст в данном случае?

davinchi9

Цитата:

возможно организовать логирование с именем клиента (т.е. чтобы было не anonymous, а локальное имя пользователя)?
возможно ли в принципе в лог исы писать путь и имя файла процесса, сделавшего запрос через ису?
FWC что-то даст в данном случае?

По-первому, у клиента в настройках доступа к интернету выбираешь прокси-сервер и указываешь для авторизации на прокси-сервере имя и пароль локального пользователя, но перед этим на прокси-сервере заводишь идентичных локальных пользователей. Тогда при авторизации имя будет показано в логах.
По-второму и третьему не подскажу.

а чтобы имя узла клиента в лог писалось?

Цитата:

а чтобы имя узла клиента в лог писалось?

Не сталкивался.
Сделай на DHCP резервацию IP-адресов за конкретными машинами по MAC-адресу.

Добавлено:
Знатоки подскажите по TMG 2010. Нужно сделать доступ на сайт https://xxx.yyyyy.ru:8420

Сейчас выдает ошибку:

Цитата:

Failed Connection Attempt PROXY 16.06.2010
Log type: Web Proxy (Forward)
Status: 12204 The specified Secure Sockets Layer (SSL) port is not allowed. Forefront TMG is not configured to allow SSL requests from this port. Most Web browsers use port 443 for SSL requests.
Source: Internal (192.168.xxx.yyy:zzz)
Destination: 192.168.xxx.yyy:8420 <---- IP-адрес TMG 2010 Proxy
Request: xxx.yyyyy.ru:8420
Filter information: Req ID: 0e99c3b1; Compression: client=No, server=No, compress rate=0% decompress rate=0%
Protocol: SSL-tunnel

Как предоставить доступ? Доступ для всех на все протоколы для IP от xxx.yyyyy.ru уже дан, но ошибка остается...

TrustyM
для начала создай SSL порт 8420 (читай Шиндлера)
тебе поможет поиск по ISAtrpe в google

IgorAl
Скрипт с измененным портом создал и запустил, выполнение прошло незаметно, при повторном запуске скрипта выдало ошибку, что пор уже добавлен, т.е. все так как должно быть. Сервер TMG перегрузил, прошло еще полчаса. Сиутация без изменений. Есть комментарии?

TrustyM
1. есть ли правило разрешающее протокол https на сайт?
2. что пишет в логах?

IgorAl
1. Есть разрешение на весь исходящий трафик на сайт.
2. В точности то же, что и ранее указывал в своем сообщении.

TrustyM

Цитата:

Forefront TMG is not configured to allow SSL requests from this port.

смотри правило, он тебе пишет, что не сконфигурирован запрос от этого порта

Цитата:

Destination: 192.168.xxx.yyy:8420 <---- IP-адрес TMG 2010 Proxy

судя по этой записи у тебя надо записать localhost

Коллеги, нужна помощь!
к сожалению давно не занимался ИСОй, но сейчас пришлось, есть вопрос:
стоит ISA 2006 вне домена в режим граничного файрвола (Edge Firewall) без авторизации AD по пользователям. Ограничение на выход в инет ставится на основе IP-адресов.
Необходимо для некоторых IP закрыть доступ в инет если они пытаются получить его напрямую, т.е. без использования прокси сервера.

я поставил правило:
<група IP> к <Local host> разрешить HTTP, HTTPS
<Local host> к <External> разрешить ВСЕ

в итоге никто из диапазона <група IP> выйти в инет не может...

если поставить правило
<група IP> к <External> разрешить HTTP, HTTPS
то тогда все могут выйти в инет без использования прокси.

что я делаю не так?

У меня примерно такая же проблема, если в броузерах указывать настройки прокси то все нормально считается, если нет то в инет пускает и траффик не учитывается, как сделать что бы он не пускал в инет если в броузерах нет настроек прокси?

Все я решил проблему: зашел в Internet Access Properties и поменял nat на router теперь без настроек прокси в инет не пускает

Цитата:

Все я решил проблему: зашел в Internet Access Properties и поменял nat на router теперь без настроек прокси в инет не пускает

это конечно круто но что будешь делать с протоколами которые через прокси не работают?


Цитата:

если в броузерах указывать настройки прокси то все нормально считается, если нет то в инет пускает и траффик не учитывается

нужно ставить клиента фаервола и все будет учитываться.

zubastiy

Цитата:

Я выбрал не верный путь решения проблемы?

да, потому что обьект network в исе это не просто подсетка, это обьект топологии, и создание левых сеток не приветствуется потому что ты нарушаешь топологию.

Добавлено:
admSpotting
laycman
банальная тема, на офсайте в секунду ищется по словам block transparent http


Цитата:

Все я решил проблему: зашел в Internet Access Properties и поменял nat на router теперь без настроек прокси в инет не пускает

с таким дже успехом можно было вообще network rule убрать ) если тебе понадобится что то не умеющее прокси или публикация то у меня для тебя плохие новости

Добавлено:
davinchi9

Цитата:

возможно организовать логирование с именем клиента

с именем юзера можно как написано выше - завести на исе зеркальных юзеров и пускать их через прокси/fwc/vpn (через последний можно пускать любой трафик)

Цитата:

возможно ли в принципе в лог исы писать путь и имя файла процесса, сделавшего запрос через ису?

в общем случае нет, в случае прокси прога может писать строчку клиента агент, в случае fwc также может писаться имя екзешника. это относится ко всем сетевым файрволам - какую либо инфу о процессе можно брать только на уровне приложений osi, а в общем случае фаер работает на сетевом

Цитата:

а чтобы имя узла клиента в лог писалось?

нет, разве что найдешь/напишешь специальный фильтр, или будешь запускать парсер который по ип клиента будет резолвить имя и записывать, но второй вариант может работать некорректно из-за разницы во времени

hardhearted

Цитата:

в случае fwc также может писаться имя екзешника.

я развернул в сети fwc, но exe-шиника проги, организовавшей запрос к прокси серверу, в логах нигде так и не увидел...
везде много написано про fwc, но так толком и не пойму в чем заключается приимущества его использования, хочу тут у знающих уточнить резюмирующую информацию о fwc:
принцип действия: fwc перехватывает все обращения к winsocks локально на клиенте, добавляеет информацию о запросе данными собранными на клиенте локально и отправляет запрос от/через себя к исе по протоколу "microsoft firewall client".
1. весь исходящий от клиента трафик независимо от протокола до обработки правилами на исе передается в трафике fwc клиента по протоколу "microsoft firewall client" (что это дает не совсем понял - поясните кто может?);
2. если запрос делается программой, которая не умеет аутентифицироваться на прокси, то в fwc есть возможность указать учетные данные под которыми будут исходить запросы от этой программы;
3. при использовании fwc в лог исы пишется разрешенное имя узла назначения запроса;
4. при использовании fwc в лог исы пишется разрешенное имя узла назначения запроса в URL адресе запроса.
это все или Fwc умеет еще что-то?

davinchi9
fwc это по сути локальная winsocks прокси на клиенте которая принудительно перехватывает трафик и отправляет его на вышестоящую "прокси" с аутенфикацией.
главное его преимущество - возможность аутенфикации тех приложений которые сами это не умеют, особенно это удобно в домене так как все проходит прозрачно для пользователя и ничего нигде указывать не надо.
по поводу 3 и 4 не все так - имя хоста пишется только для прокси клиентов.

Цитата:

развернул в сети fwc, но exe-шиника проги, организовавшей запрос к прокси серверу, в логах нигде так и не увидел...

это поле client agent в firewall logs, проверь чтобы было включено его логирование

Настроил site-to-site vpn. С одной стороны железяка, со второй - TMG. Если забить канал, то выдает только 1Мб/с, хотя должен быть в районе 25Мб/с. Подскажите, где копать..

Господи, как мне надоело...
Опять пропали порты PPTP в RRAS

temio
кому должен? почитай спеки на железку - сколько она может шифровать мб/с на выбранном алгоритме и длине ключа (если это иса то подозреваю что 3des). 25 мбит это достаточно много, особенно если железка soho уровня, например циски сохо 9х серий на обычном des тянуть чуть больше мегабита (тестил лет 6 назад, тупо соединив напрямую проводом)

Доброе время суток. Хотелось бы узнать такую вещь - позволяет ли ISA делать временные правила для пользователей? Объясняю подробней - есть учебный центр, туда приходят люди со своими ноутбуками. Вот как сделать чтобы он пришел первый раз, сделали ему правило, а через две недели (или месяц) правило либо отключилось, либо удалилось. Конечно можно и руками, но вдруг забуду? Заранее благодарен

arxont
скриптом, по шедулу
скриптов на технете куча

чего делать?:
публикую шарепоинт в инете https://point.domain.ru
в исе самоподписной прописал, добавил в трасты.в листенере по 443, и потом перебрасывается на порт 20000 на шарепоинт портале.

что получаю: с инета захожу но выходит:
не удается отобразить страницу
Код ошибки: 500 Внутренняя ошибка сервера.
The token supplied to the function is invalid (-2146893048)

тестирую в isa:
Категория: Ошибка сертификата сервера назначения
Сведения об ошибке: 0x80090308 - The token supplied to the function is invalid

что не так?

по описаниям идет как This happens when the published port is not used for listening to SSL.

поясните?

Добавлено:
bahtey
сам отвечу, не правильно указал что мост на http.

Вопрос к обладателям лицензионного ПО, наличие лицензии на ISA 2006, позволяет использовать Forefront Threat Management Gateway?

Приветствую всех! Нужна помощь!

По итогам работы за месяц провайдер выставил счет на 90 Гб, хотя каждый месяц у нас в среднем 30 Гб уходит.
Пользуюсь ProxyInspector для сбора и анализа логов. Статистика подтвердила такой трафик(+-), но возник вопрос куда ушли 60 Гб, а главное на кого? Так вот статистика по расходу трафика такая...

IP адрес    Запросы    Отправлено    Получено (*)    Общий трафик    %(Получено)
внешний ISA1    541 871    2 371 МБайт    72 509 МБайт    74 881 МБайт    66,87%
внешний ISA2    9 591    11 136 МБайт    11 918 МБайт    23 054 МБайт    10,99%
пошли юзеры:
10.0.1.29    70 065    38,8 МБайт    2 612 МБайт    2 651 МБайт    2,41%
и т.д.

Здесь видно, что трафик ушел на 2а ISA...каким образом?

Адреса наиболее посещаемых сайтов...

Сайт    Запросы    Отправлено    Получено (*)    Общий трафик    %(Получено)
a92-122-213-98.deploy.akamaitechnologies.com
5 350    417 МБайт    27 545 МБайт    27 963 МБайт    25,4%

195.27.30.187
1 346    345,5 МБайт    22 962 МБайт    23 308 МБайт    21,18%

внешний ISA1
15 391    11 140 МБайт    11 921 МБайт    23 061 МБайт    10,99%

и т.д.

т.е. здесь ISA1 - сервер в одном офисе, ISA2 - сервер в другом офисе, между ними поднят VPN типа "сеть-сеть"

Здесь видно, что трафик ушел на проксевые сайты микрософта, эпла и т.д. + 1ый ISA - куда?

но, что самое страшное, что по логам показывает, что трафик ушел с ISA хотя на ней все закрыто для Localhost, т.е. сама она не могла выкачать, не первый год так все настроено.
Так вот хотелось бы разобраться, что это такое, если на самом деле трафик ушел с сервера ISA - дыра и уязвимостость какая, т.к. вирусов нет - проверенно. Если трафик ушел с компьютеров сети, то как можно вычислить с какого компьютера?

Да кстати, по логам также видно, что всплески активности приходятся на четверг, т.е. каждый четверг начиная с 3 июля расход от 10 до 30 гигов, в сотальные дни по 1,5-2...

И еще вопрос не по теме, сколько 1 комп может выкачать обновлений за месяц?

invip

ProxyInspector сильно косячит с подсчётом трафика, пользуй SQL запросы на прямую, так будет вернее.