» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Я правильно понял:
1. на TGM надо прописать: route add 192.168.107.0 MASK 255.255.255.0 192.168.106.1
2. на VPN-клиенте прописать: route add 192.168.106.0 MASK 255.255.255.0 192.168.107.1

StarLancer
в роуты на ТМГ лезть просто глупо, они прописываются автомат в зависимости от настроек, а вот от ручной правки наоборот косяков больше можно отхватить
смотри логи на ТМГ по трафику от vpn-клиентов и крути правила доступа между подсетями


Цитата:

Если выдавать ардеса из внутренней сетки, то более менее работает DSN.

пул адресов для ВПН-клиентов не может перекрывать адреса, входящие во внутреннюю подсеть!!

Цитата:

пул адресов для ВПН-клиентов не может перекрывать адреса, входящие во внутреннюю подсеть!!

Про это я в вкурсе, просто пока другим способом заставить правильно ДНС и доступ к внутреним ресурсам сети не получается.

Если выносить в отдельную сеть (что как сказано по определнию правильно), то не работает маршрутизация и ДНС.
Что я делаю:
1. На ТГМ два сетевых интерфейса WAN и LAN (192.168.106.1-192.168.106.255)
2. Указываю для ВПН-клиентов выдачу адресов из статического диапозона 192.168.107.1-192.168.107.255), протокол L2TP (впринцие пофигу должен быть какой протокол, хоть PPTP)

Указываю правило в котором ВПН-клиента по всем протоколам разрешен доступ во внутренную сеть.
В ТГМ по умолчанию стоит маршрутизация между ВПН и внутренней сети (что тоже правильно)

3. Подлкючаюсь по ВПН к серверу, предварительно в настройка ВПН-клинета указав следующее:
- Снял галочку использовать удаленный шлюз (обязательное требование при подлкючении по ВПН)
- Прописал ДНС-суфикс

4. ВПН-клинет получает следующие настройки:
- Адрес 192.168.107.6
- Маска 255.255.255.255 <- меня смущает, так и должно быть?????
- шлюз отсутсвует
- ДНС-суфик прописан
- ДНС 192.168.106.6 <- внутренний сети

6. Добавляю маршрут в ручную
- route add 192.168.106.0 MASK 255.255.255.0 192.168.107.1

ДНС начинает разрешать по ИП-адресу, но не по имени. (В чем косяк?)
Пинги проходят не на все компы, т.е. один нормально пигуются, а другие вообще нет.

При подключении, к компу в логах такая хрень

Failed Connection Attempt SRV-GEOPROXY 12/18/2010 10:42:33 PM
Log type: Firewall service
Status: A socket operation was attempted to an unreachable network.
Rule: VPN-to-LAN(1)
Source: VPN Clients (192.168.107.6:1472)
Destination: Internal (192.168.106.9:445)
Protocol: Microsoft CIFS (TCP)

raizo

Цитата:

пул адресов для ВПН-клиентов не может перекрывать адреса, входящие во внутреннюю подсеть!!

Почему не может? И чем это плохо? Вполне стандартное и поддерживаемое поведение для винды.

StarLancer

Цитата:

4. ВПН-клинет получает следующие настройки:
- Адрес 192.168.107.6
- Маска 255.255.255.255 <- меня смущает, так и должно быть?????

все верно, по впн клиенты именно такой адрес и маску получают.

тут нет ничего необычного, когда клиент получает адрес не из внутренней сети то он банально не знает как попасть во внутреннюю сеть, ему нужен маршрут, причем более правильно писать маршрут через полученный ип (то есть шлюзом указывать 192.168.107.6) а не через tmg, потому что маска у впн интерфейса 32я. к сожалению rras не умеет выдавать статических маршрутов клиентам, поэтому либо выдавать впн клиентам адреса из внутренней сети (пул действительно не может перекрываться, но никто не мешает исключать пул впнклиентов из интернал), либо каким то образом писать маршрут на клиенте(руками, скриптами, через cmak)
на tmg роутинг не надо трогать - он то все маршруты нужные знает

Цитата:

ДНС начинает разрешать по ИП-адресу, но не по имени

это фразы я вообще не понял

с маршрутизацией по сетям на разных картах, значит маршруты в ручную писать надо? на isa 2006 типа route add xxx xxx xxx? я правильно понимаю?
но загвоздка в том что есть на одной машине все как-то само работает а еще одна ни как не хочет подниматься ((( может куда ударить надо? )))

RomaVologda
а теперь неплохо было бы написать тоже самое только попонятнее

Цитата:

Цитата:ДНС начинает разрешать по ИП-адресу, но не по имени

это фразы я вообще не понял

Иммел ввиду, что запускаю nslookup ввожу ИП-адрес из внутренней сети, имя разрешается, а обратно по имени нет..
Потом решил указать полное доменное имся в месте с суффиксом, он успешно разрешилось.

В настройках ВПН-клиента, днс-суфикс указан, но судя повсему его не подхватил

StarLancer

Цитата:

В настройках ВПН-клиента, днс-суфикс указан, но судя повсему его не подхватил

суффикс подключения? а в настройках указано использовать примари и суффикс подключения? а то бывает стоит радио батон на использовании конкретного списка суффиксов.

Такой вопрос - в свойствах Внутренней Сети значится некая корпоративная сеть, к которой через ISA трафик не ходит. Хочу ее удалить. В корпоративных сетях удалить не дают, так как она входит во внутренней сети массива.
А в свойствах Внутренней сети корпоративные сети видно, можно добавить, а вот удалить их оттуда как?
Как мне удалить корпоративную сеть, бо в логах постоянно ошибка лезет...

C Новым Годом всех, друзья!
помогите с задачкой-
надо асю подзапретить
правило налепил по аналогии с блеклистом нехороших сайтов- а оно не воркает.
Шо ему не так?
http://s2.ipicture.ru/uploads/20110104/5a6T2ig7.jpg

Добавлено:
покурил
http://www.isaserver.org/tutorials/How_to_Block_Dangerous_Instant_Messengers_Using_ISA_Server.html
но у меня 2006 иса, без клиентов файерволла.

Добавлено:
Сам с собой разговариваю
покурил еще тут
http://support.microsoft.com/kb/925120/en-us
сделал по первому методу, написал названия в заголовках qip icq aol magent
Посмотрим, поможет ли?
Буржуйскими MSN ами наши бабушки не пользуюца

AQAQ

Цитата:

надо асю подзапретить
правило налепил по аналогии с блеклистом нехороших сайтов- а оно не воркает.
Шо ему не так?
http://s2.ipicture.ru/uploads/20110104/5a6T2ig7.jpg

Так вроде если "асю" не разрешить, то она и не будет работать, и правило на запрет не понадобится?

SergeyMark
если разрешен весь или почти весь инет по http/https то ася может запросто через 443 работать

AQAQ

Цитата:

Шо ему не так?
http://s2.ipicture.ru/uploads/20110104/5a6T2ig7.jpg

если аська проходит то смотри логи по какому правилу, у тебя там правило аж 22м значит выше есть другие.
универсальных методов нет. можно закрыть все аол диапазоны, и обычные клиенты у бестолковых юзерей работать перестанут, но более продвинутые начнут ходить через левые серваки, которые тоже можно закрыть.
еще можно усложнить жизнь заставив пользователей аутенфицироваться, если нет fwc то они вынуждены будут настраивать аську на прокси - не всякий клиент умеет интегрированную аутенфикацию на прокси, и даже если умеет то он светит юзер агента которого можно запретить по сигнатурам. правда в некоторых клиентах юзерагента тоже можно подменить

isa vs odnoklassniki.

внезапно, пару-тройку месяцев назад, стал глючить вход на жаднокласники. пароль/логин вводишь, а брозер в ответ опять рисует станицу ввода пароля. ч-з минуту - входит, достаточно нажать F5 в брозере или заново ввести логин-пароль.

удаляю правило http - работает нормально.
переустановил сервак - то же самое.

win2003sp2std+isa2006std

Подскажите как реализовать:
Есть сервер терминальный и с постоянным внешний IP шлюз на ISA 2006 с опубликованным терминалом наружу.
необходимо запретить всем к нему доступ кроме необходимых компьютеров, проблема в том что у клиентов динамически назначаемый IP, подскажите как лучше реализовать безопасность в данном случае, спасибо.

DmitryV
зарегать клиентов с динамическими ip на dyndns.com или тому подобных сервисов (поставить им клиентов) на иса сервере создать правило публикации в котором указать список хостов которым разрешено подключение.

123Maximus123
Спасибо, но хотелось бы без динамической регистрации. домена нет.
Вопрос возможно ли поднять VPN при раскладе 1 фиксированный IP (сервер) и динамика клиенты на фиксированном ISA на динамике возможен роутер с поддержкой VPN/? спасибо за консультацию если не сложно подробнее.

DmitryV

Цитата:

Спасибо, но хотелось бы без динамической регистрации. домена нет

без сервисов подобных dyndns как бы сложновато и это самый простой способ, про домен я правильно понел что сам сервер isa находиться вне домена active directory. да это и не существенно (как бы).
про VPN да безусловно дело пары минут, статей и пошаговых инструкций по гугли
Настройка VPN сервера в ISA Server 2004
Включение доступа для удаленных VPN-клиентов
Настройка удаленного VPN-доступа в ISA Server 2006

От себя добавлю не секъюрно это все с vpn, пускать в сеть левых клиентов (Вы им доверяете? а мож они рассадники троянцев и прочей нечести). Да конечно много всяких "НО" и сделать можно правильно как в книжках пишут секъюрно. В вашем случае смотрите в сторону терминалов так проще.... тем более сейчас 2008 позволяет сделать RDP over HTTPS, и головняки пропадают сами собой что гдето там в Урюпинске в местном хотеле Вашему Биг Боссу оставили только два протокола http и https.

DmitryV
123Maximus123

Цитата:

без сервисов подобных dyndns как бы сложновато и это самый простой способ

с dyndns ничего не выйдет, когда речь идет об адресе источника там нельзя указывать dns имена

Цитата:

не секъюрно это все с vpn

как раз впн гораздо секьюрнее чем публикация rdp голышом. а рассадники легко отрезаются - впн клиентам трафик надо ограничивать также как и остальным - оставить например только dns и rdp и все.
использовать rdg (tsg) тоже можно, но для этого сервер терминалов должен быть минимум 2008, в настройке это сложнее, могут возникнуть проблемы с сертификатами или с секуритипровайдерами у старых клиентов
а для чего вообще так ограничивать то?

Добавлено:
mordmord
телепаты вымерли как динозавры - что такое "правило http"?

Такой вопрос, прокомментировать, что делает правило из предидущего поста, можно?
Я не понимаю, оно почему РАЗРЕШАЕТ
сигнатуры прог?
Создаем, из локалки во внешку, и конфигурируем сигнатуры в заголовках приложения.
Вроде простое правило, а его логика мне не ясна.

(оно разрешает ходить в инет приложению с сигнатурой такой-то. И что?
У меня после применения правила сайты не оборзеваются никде
пришлось отменить)...
заколотил его наверх, снизу стоит обычное правило
разрешить ХТТП, ХТТПС изнутри вовне - шоб все ходили в тырнет и радовались.
МСН мессенджер все равно работает.
И второй способ тоже не канает
[more=простыня]Method 1: Create a new access rule and configure an HTTP policy rule that blocks MSN Messenger traffic and Windows Live Messenger traffic
Create the new access rule

1. Log on to the computer that is running ISA Server 2004 or ISA Server 2006 by using an account that has administrative permissions.
2. Click Start, point to All Programs, point to Microsoft ISA Server, and then click ISA Server Management.
3. In the left pane of the ISA Server Management console, expand ServerName.

Notes
* ServerName is a placeholder for the name of the computer that is running ISA Server.
* If you are running ISA Server 2004 Enterprise Edition, expand Arrays in the left pane, and then expand ServerName.
4. Click Firewall Policy.
5. Click the Tasks tab in the task pane, and then click Create New Access Rule.
6. On the Welcome to the New Access Rule Wizard page, enter the name for the rule in the Access Rule name box, and then click Next.
7. On the Rule Action page, click Allow, and then click Next.
8. On the Protocols page, click Selected protocols in the This rule applies to list, and then click Add.
9. In the Add Protocols dialog box, expand Common Protocols.
10. Double-click the HTTP protocol and the HTTPS protocol, click Close, and then click Next.
11. On the Access Rule Sources page, click Add.
12. In the Add Network Entities dialog box, expand Networks.
13. Double-click Internal, click Close, and then click Next.
14. On the Access Rule Destinations page, click Add.
15. In the Add Network Entities dialog box, expand Networks.
16. Double-click External, click Close, and then click Next.
17. On the User Sets page, click All Users in the This rule applies to requests from the following user sets list, click Remove, and then click Add.
18. In the Add Users dialog box, double-click All Authenticated Users, click Close, and then click Next.
19. On the Completing the New Access Rule Wizard page, click Finish.

Configure the HTTP policy rule that blocks MSN Messenger traffic and Windows Live Messenger traffic

1. In the left pane of the ISA Server Management console, right-click the access rule that you created, and then click Configure HTTP.
2. In the Configure HTTP policy for rule dialog box, click the Signatures tab, and then click Add.
3. In the Signature dialog box, enter a name for the signature in the Name field.
4. In the Search in list, click Request headers.
5. In the HTTP header box, type User-Agent:.
6. To block MSN Messenger traffic, type MSN Messenger in the Signature box.
7. To block Windows Live Messenger traffic, type Windows Live Messenger in the Signature box.
8. Click OK, and then click OK again.
9. In the ISA Server Management console, click Apply.
[/more]

AQAQ
а в логах какой агент светится?

не там смотрю, что ли?
не вижу клиента, тока ойпи

и дальше так по списку

Добрый день!
Облазил весь интернет и форумы, но так и не нашел ответ(

Есть задача централизованно развернуть клиент TMG. По поводу того как это сделать и как настроить автообнаружение клиента - вопросов нет.

Но хочу что бы значок в трее скрывался при подключении к серверу TMG. Никак не могу найти как это сделать. Нашел решение с подсовывание в msi файла management.ini с настройками. Но это было для ISA и видимо для TMG не работает (или я что то делаю не так, но файлик попадает при установке в директорию клиента).

Может кто знает как это решить, поделитесь!

И еще такой вопрос - можно ли сделать так, что бы при первой загрузке после развертывания клиента - не выскакивало окно клиента на рабочий стол.

Заранее благодарю за ответы!


PS Отвечаю сам на свой вопрос: надо пдпихнуть файлики common.ini и management.ini в MSI пакет установки клиента (в первый раз запихивал их не туда). Кроме того, что бы пользователи не могли менять настройки клиента, можно с помощью групповой политики убрать доступ на запись к этим файлам. Вот так. Может кому будет полезно.

AQAQ
значит он не через прокси идет

Есть TMG есть правило из внутренней сети, наружу весь трафик кроме smtp разрешен только для авторизованных пользователей.
есть комп бухгалтера win7 tmg client банк клиенты, которые используют яву.
не дает подписывать документ. если разрешать интернет для всех пользователей, то все работает... куда можно ткнуть? в ISA2006 все работало

artemk
в логе что про это пишет?

День добрый, уважаемые специалисты! В нашей компании стоит лицензионный win 2003 ent + isa 2004. По скольку продукты уже порядком в возрасте, передо мной поставили задачу собрать информацию о целесообразности перехода с данного программного продукта на ISA 2006 или ForeFront.

Визуально, судя по статьям, которые я прочитал, отличий между 2004 2006 и ForeFront практически нет.

Как я понял, с технической точки зрения для перехода на TMG нужно обновить с 2004 на 2006 и + обновить платформу до 2008 64bit.

Самих по себе отличий между 2004 и 2006 очень мало, скорее 2006 это доработанный 2004 с парочкой фич типа "меньшения размера логов" и "http компрессия"

Похоже, смысл грейдиться до 2006 есть только при планировании последующего апргейда до ForeFronta?

Но и с ним я так и не понял что добавили нового кроме возможности пропускания трафика по двум каналам и фильтрации url адресов...

Подскажите, какие еще технические различия этих версий и какие могут быть причины для перехода с одного программного продукта на другой?

По поводу сетевой нагрузки:

у нас два офиса соединенных оптикой и ходящих в инет через этот сервер.

в каждом офисе по 50 рабочих мест.

+ планируется создание виртуальных серверов для доступа извне клиентам с целью демонстрации определенного ПО.

Так же интересна целесообразность перехода на Squid или Kerio.

r1sh


Цитата:

Визуально, судя по статьям, которые я прочитал, отличий между 2004 2006 и ForeFront практически нет.

Плохо читали, отличий куча!


Цитата:

Как я понял, с технической точки зрения для перехода на TMG нужно обновить с 2004 на 2006 и + обновить платформу до 2008 64bit.

да


Цитата:

Самих по себе отличий между 2004 и 2006 очень мало, скорее 2006 это доработанный 2004 с парочкой фич типа "меньшения размера логов" и "http компрессия"

Отличий немного конечно, но всё же есть. Особенно большие отличия глазом не видны, это добавления определения и противодействия новым типам атак.


Цитата:

Похоже, смысл грейдиться до 2006 есть только при планировании последующего апргейда до ForeFronta?

Не согласен. TMG очень прожорлива, а вот 2006 иса может спокойно крутится на старом железе.


Цитата:

Но и с ним я так и не понял что добавили нового кроме возможности пропускания трафика по двум каналам и фильтрации url адресов...

Не совсем, добавили дешифровку SSL на стороне TMG и проверку на вирусы. Плюс ещё всякого, но переработку сделали основательную.


Цитата:

Подскажите, какие еще технические различия этих версий и какие могут быть причины для перехода с одного программного продукта на другой?

Для чего обновлять брандмауэры ISA до версии 2006?

Отличия Medium Business Edition от ISA Server и полной версии Forefront TMG

или оригинал:

Compare TMG with ISA Server 2006 and TMG MBE


Цитата:

Так же интересна целесообразность перехода на Squid или Kerio.

О целесообразности должны решать Вы и никто другой.

r1sh
где то я седни на такое отвечал...

Цитата:

Отличий немного конечно, но всё же есть. Особенно большие отличия глазом не видны, это добавления определения и противодействия новым типам атак.

ну это само собой, чем новее софт тем больше на нем залатано старых дыр) но надо же кудато деваться тем, кто приобрел платный продукт, а его больше не поддерживают (по моему)


Цитата:

Не согласен. TMG очень прожорлива, а вот 2006 иса может спокойно крутится на старом железе.

в этом согласен полностью, но с точки зрения лицензирования, на 2006 ису лицензии уже не продаются, только на TMG, вот чем проблема...а тут уже вытекает сразу и лицензия на вин2008 ент....


Цитата:

Не совсем, добавили дешифровку SSL на стороне TMG и проверку на вирусы. Плюс ещё всякого, но переработку сделали основательную.

да! точно, читал про проверку на вирусы, только я думал он проверяет запрашиваемые страницы на скрытых червей. В любом случае, как думаете, это повлияет на уменьшение пропускной способности как прокси?


Цитата:

О целесообразности должны решать Вы и никто другой.

вы правы) kerio конечно же отпадает, вопрос остался только в таком ключе:

1.переход с 2004 на TMG
2.переход с 2004 на линух
3.остаться на 2004.

1й как я понял денежно затратный, трудозатратный да и вообще какбе "не айс"
3й самый менее затратный с точки зрения как рабочих ресурсов так и денежных)

по поводу второго варианта, какую бы связку Сквида вы бы посоветовали с другими программными продуктами на опенсорсе для реализации функционала схожего с ISA?

По факту у нас грубо говоря 100 юзеров ходящих в инет, демонстрации на внутреннем сервере разного П.О. для внешке и VPN. Сайты не хостим)


З.Ы. искренне благодарю за ссылки! странно что гугл их не выдал)