» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

еще раз - если в логах ничего нет значит либо они не ведутся либо коннект до исы не доходит - третьего не дано
возможено модем не умеет кидать на другой порт, или в настройке что то не то

подключил через сервер. ну его нафиг ! не получается перенаправить прямо на комп пользователя.

contrafack
хочешь сказать на сервер без проблем проходит?
либо ты что то не так настроил на роутере либо роутер косячит. на исе публикация терминала на левых портах тривиальна и работает без проблем. сам так делал с циской в качестве внешнего роутера

hardhearted


Цитата:

хочешь сказать на сервер без проблем проходит?

да. сейчас клиент работает такой схемой:
подключается по RDP к серверу, а потом с сервера на свою машину. все прекрасно работает.


Цитата:

либо ты что то не так настроил на роутере либо роутер косячит.

ну я написал как делал, даже скрины выложил.

contrafack
если клиент может на сервер с исой попасть то должет и на любой комп внутри перебрасываццо


у меня так работает...это не правило, а публикация.сорри за неорезанный скрин

Добавлено:
У меня другая проблема: vpn site-site l2tp на ключе между forefront tmg & isa 2006, создал пользователей, разрешил звонки, через визард с обеих сторон создал сети и правила, в RRAS появились интерфейсы...тока статус у них-недостижимый, причина недостижимости: со стороны исы -клиент пытаеццо подключиццо используя порт который только для маршрутизатора, со стороны тмг- ошибка на уровне безопасности во время согласования с удаленным хостом...ПОМОЖИТЕ!!! может кто сталкивался...

kpbisin
ну ты диалог то читал? он публикацию и делал и делал правильно, если верить скринам

kpbisin

Ip адрес 192.168.1.1 - Это IP адрес клиента? т.е. куда должен перенаправить RDP ?
у меня тоже все сделано, но не работает.

Добавлено:
hardhearted

кстати, в логах ИСЫ так и не появляются информация о RDP, хотя клиент подключается и работает нормально.

contrafack
либо смотришь не то, либо логирование не все включено

hardhearted

может быть.

Вот скрин, какие пункты отмечены:



может какие то галочки лишние или не стоят ?

contrafack
быть может не на всех правилах логирование включено?

hardhearted

а это как ? где и что смотреть ?

contrafack
в свойствах правила на вкладке action есть галка

hardhearted

по умолчанию на всех стоят.

contrafack
как лог смотришь?

hardhearted

вот так:


нажимаю на Start Querty и смотрю в on-line что куда и как.

contrafack,
а говоришь смотриш в логах ). В мониторинге ИСЫ поменяй последнее правило.
Открой файлы логов и смотри там.

10) При решении проблемы с пробросом портов можно было запустить Network Monitor (ну или любой снифер по вкусу) и разбираться на уровне пакетов.
11) Несколько раз сталкивался с глюкавостью правил публикаций на ISA, а точнее listener-ов. Удаляешь правило публикации. Создаешь заново и оно начинает работать.

ISA не умеет решать довольно простую задачу (TMG научился начиная с beta 2) — использовать разные внешние IP адреса для исходящих соединений (aka one-to-one NAT). Есть стороннее решение — IP Binder, за которое просят $220, а вылеченных версий как-то не встречалось. Чтобы заткнуть эту дыру для тех, кто на TMG перейти не может, написал аналогичный фильтр — BindTo (временно не доступен, исследуем глюки при наличии сплиттера). Пользуйтесь на здоровье.

vu1tur
это потому что иса не является роутером и такого функционала у нее не должно было быть а статик нат умеет даже ррас

hardhearted
И что делать, когда иса _уже_ стоит и нужна (не покупая дополнительных железяков)?

hardhearted

Цитата:

то потому что иса не является роутером и такого функционала у нее не должно было быть

Тем не менее TMG прямой наследник ISA и у него такой функционал есть. Причём этот функционал входит в небольшой и очень ожидаемый набор отличий от ISA.
vu1tur

Цитата:

исследуем глюки при наличии сплиттера

Это который bsplitter?
Хотим пустить арендаторов через отдельный IP наружу. С деньгами, как водится, туго. Очень заинтересовал Ваш фильтр. Но и от bsplitter отказаться не сможем.

FL0od13

Цитата:

Это который bsplitter?

он самый.
Пока выяснилось, что если внутренний ип шейпится или считается сплиттером, то BindTo не работает. Если добавить этот ип в исключения во всех правилах шейпера и считалки, то всё ок. Разбираюсь.

vu1tur

Цитата:

И что делать, когда иса _уже_ стоит и нужна (не покупая дополнительных железяков)?

лично мне такой функционал почему то еще ни разу не понадобился в офисах до 200 человек. а если у конторы серьезные запросы то там и сеть серьезнее и железки есть правильные, которые в роутинге умеют гораздо больше чем этот фильтр (tcp only не вариант) и tmg вместе взятые и стоят кстати дешевле (иса стандард+винда это уже 2К не считая железа, которое еще не меньше 2К)

Добавлено:
FL0od13

Цитата:

Тем не менее TMG прямой наследник ISA и у него такой функционал есть

он на весьма примитивном уровне, как и isp redundancy, и приделали его явно исключительно из-за того что многие нытики плакались на форумах что какой то керио умеет а иса нет, они просто не понимают позиционирование продукта и назначение


Цитата:

Хотим пустить арендаторов через отдельный IP наружу

ты заметил что фильтры работают только для tcp? то есть честно ты их отдельно не пустишь. и вообще для услуг предоставления инета (по сути провайдер) ису использовать как то не айс

hardhearted
Не вижу ничего серьезного в желании, чтобы исходящие коннекты от почтового сервера уходили с того адреса, который прописан в MX. А чем это полезно я думаю рассказывать не нужно. Если я эту задачу могу решить не потратив ни цента (ну, время мое не считаем), то почему я должен говорить себе, что ISA не является роутером и бояться сделать шаг в сторону?

hardhearted
Да что ты прицепился к "позиционированию" и "назначению" ISA ?!
Именно такого "примитивного" функционала ISA большинству и не хватало, что и исправили в TMG.
Есть простое желание выпустить арендаторов по 25-му порту через отдельный IP. С этим сталкиваются многие [more=почтовые админы]Арендаторы платят деньги и хотят "полноценный" инет. По 25-му выпускаем только на определённые IP, и всё равно несколько раз попадали в RBL и прочие списки не завязанные на SMTP. Почти у каждого хостера есть SPAM-ловушки. Отдельный IP отгородил бы IP организации от занесения в различные чёрные списки.[/more].
У меня ISA ent. И я считаю недоразумением, что в правиле есть возможность выбрать внешний IP одной из двух нод, но нельзя выбрать IP, если на одном интерфейсе их несколько.

Цитата:

ты заметил что фильтры работают только для tcp? то есть честно ты их отдельно не пустишь. и вообще для услуг предоставления инета (по сути провайдер) ису использовать как то не айс

Заметил. Согласен. Не айс. Так вышло. Как снег на голову

vu1tur
а какая религия мешает прописать в качестве mx основной адрес? или наоборот, назначить основным тот что прописан в mx?

FL0od13

Цитата:

Есть простое желание выпустить арендаторов по 25-му порту через отдельный IP. С этим сталкиваются многие почтовые админы.
У меня ISA ent.

админы с этим сталкиваются когда изначально выбрали неправильное решение, они либо их предшественники ) вот и начинают лепить костыли.

Цитата:

что в правиле есть возможность выбрать внешний IP одной из двух нод

где это можно выбрать ip ноды? у меня две 2006ent в массиве и nlb но выбора ипшника я не вижу

hardhearted
мешает здравый смысл. Закрепление внешнего адреса за почтовым сервером, который больше не использует ни один сервис, уменьшает вероятность попадания во всяческие блок-листы. Ну и эстетически так лучше

Цитата:

админы с этим сталкиваются когда изначально выбрали неправильное решение, они либо их предшественники ) вот и начинают лепить костыли.

Я привык искать решение, а не сетовать на сложившуюся ситуацию.

vu1tur

Цитата:

Закрепление внешнего адреса за почтовым сервером, который больше не использует ни один сервис, уменьшает вероятность попадания во всяческие блок-листы. Ну и эстетически так лучше

эту вероятность уменьшает запрет на smtp всем кроме почтового сервака, и возможно админа, для диагностики проблем.
особой эстетики в этом не вижу, зато проблем на ровном месте отгрести можно, для небольших конторок до 300-500 хостов вполне достаточно одного адреса.

Цитата:

Я привык искать решение, а не сетовать на сложившуюся ситуацию

я тоже, поэтому сразу предлагаю заказчику (руководство это тоже заказчик) нормальное решение, а не подставляю подпорки

Цитата:

где это можно выбрать ip ноды? у меня две 2006ent в массиве и nlb но выбора ипшника я не вижу

Упс. Лоханулся. Перепутал с публикацией.

Цитата:

админы с этим сталкиваются когда изначально выбрали неправильное решение, они либо их предшественники ) вот и начинают лепить костыли.

Дык я ж написал. Арендаторов никто не ждал. Бизнес резко модифицировался. Нам приходится подстраиваться. Причём на это никто денег не даёт. Вот и "лепим костыли".

Тем не менее разработка vu1tur в тему. Я уверен, что заинтересует многих.


Цитата:

эту вероятность уменьшает запрет на smtp всем кроме почтового сервака, и возможно админа, для диагностики проблем.

Предлагаете арендаторам использовать корпоративный почтовик в качестве релея? Не помогает! Некоторые вири используют профили почтовых клиентов для рассылки спама. Да и лишняя морока с выдачей аккаунтов.

FL0od13

Цитата:

Арендаторов никто не ждал. Бизнес резко модифицировался. Нам приходится подстраиваться. Причём на это никто денег не даёт

ну это уже просто неправильное ведение бизнеса. если появился проект то следовало оценить затраты на него, сравнить стоит ли это того, и потом уже делать. но это тема уже не этого форума


Цитата:

Предлагаете арендаторам использовать корпоративный почтовик в качестве релея? Не помогает! Некоторые вири используют профили почтовых клиентов для рассылки спама. Да и лишняя морока с выдачей аккаунтов.

про smtp я писал для обычной конторы, а не минипровайдера с арендаторами. в случае услуг провайдера для арендаторов в идеале вообще выдают каждому внешний ип и они себе сетки организуют со своими шлюзами.

Всем привет!
Есть проблема при работе с mail.ru, точнее при прикреплении файлов в письмо. Выскакивает авторизация на ИСУ, ввод правильных (и неправильных) данных не помогает - обозреватель совсем зависает. Проблема и в IE и в опере, но не на всех компах, а на некоторых. Кэш, куки чистили. Кэширование на ИСЕ отключил совсем. Создано правило все наружу для проблемных компов и юзеров - не помогает.
ISA 2006, Версия: 5.0.5723.514
Клиенты - XP, Firewall Client настроен.
В логах - denied connection от anonymous на http://win.mail.ru:88 и т.д.

Нашел подобную проблему, но без решения на sysadmins.ru
Вобщем, уважаемые комрады, если кто сталкивался и победил (желательно без переустановки винды. Использовать outlook - тоже не вариант) - отпишитесь плиз.