xhangmanx
ну либо неправильно смотришь либо на этот порт никто и не ломится
ну либо неправильно смотришь либо на этот порт никто и не ломится
» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)
ну как не прально... вот внутри сетки где этот вебинар крутится айпишник 192.168.0.4
в журнале ставлю назначени равно 192.168.0.4
снаружи захожу лог идет.. когда там заходим как гость, заполняем анкету все норм и тут жмем далее, виснет на "установка соединения", затем ссылка на тест соединения и там тестит 80 443 1935 порт и все они почемуто закрыты...и в это время нет сообщений что какие либо сеодинения запрещены... и порт 1935 там тоже не упоминается..
ЗЫ ссылку я вам кидал в личку на этот вебинар
в журнале ставлю назначени равно 192.168.0.4
снаружи захожу лог идет.. когда там заходим как гость, заполняем анкету все норм и тут жмем далее, виснет на "установка соединения", затем ссылка на тест соединения и там тестит 80 443 1935 порт и все они почемуто закрыты...и в это время нет сообщений что какие либо сеодинения запрещены... и порт 1935 там тоже не упоминается..
ЗЫ ссылку я вам кидал в личку на этот вебинар
xhangmanx
неправильно фильтруешь лог, надо проверять вообще весь трафик с клиента, потому что если публикация сделана неправильно или какой нить баг то назначением будет уже не внутренний ип пуьликуемого сервиса а внешний ип исы.
неправильно фильтруешь лог, надо проверять вообще весь трафик с клиента, потому что если публикация сделана неправильно или какой нить баг то назначением будет уже не внутренний ип пуьликуемого сервиса а внешний ип исы.
hardhearted
думал что будет писать что имено отверг сервер...
поменял фильтр как вы сказали вот что выдало
Закрытое соединение TMG 16.03.2011 22:23:04
Тип журнала: Служба межсетевого экрана
Состояние: Соединение было завершено должным образом, корректно осуществлен процесс отключения с трехсторонним подтверждением, запущенным FIN.
Правило: Разрешить взаимный доступ между PGPI VPN и внутренней сетью
Источник: VPN-клиенты (192.168.1.48:52159)
Назначение: Внутренняя (192.168.0.1:53)
Протокол: DNS
и кучу таких
Отклоненное соединение TMG 16.03.2011 22:23:05
Тип журнала: Служба межсетевого экрана
Состояние: Входящий пакет был отброшен, поскольку его адрес назначения не существует в системе и не существует соответствующий интерфейс пересылки.
Правило: Нет - см. код результата
Источник: VPN-клиенты (192.168.1.48:53427)
Назначение: Внешняя (224.0.0.252:5355)
Протокол: Многоадресное разрешение имен локальных ссылок (LLMNR)
Отклоненное соединение TMG 16.03.2011 22:23:05
Тип журнала: Служба межсетевого экрана
Состояние: Пользовательские запросы запрещены правилами политики.
Источник: VPN-клиенты (192.168.1.48:137)
Назначение: Локальный компьютер (255.255.255.255:137)
Протокол: Служба имен NetBIOS
ЗЫ сразу скажу что правило для впн-клиентов есть доступ и во внутрнее сеть, на локал хост ну и в инет.
думал что будет писать что имено отверг сервер...
поменял фильтр как вы сказали вот что выдало
Закрытое соединение TMG 16.03.2011 22:23:04
Тип журнала: Служба межсетевого экрана
Состояние: Соединение было завершено должным образом, корректно осуществлен процесс отключения с трехсторонним подтверждением, запущенным FIN.
Правило: Разрешить взаимный доступ между PGPI VPN и внутренней сетью
Источник: VPN-клиенты (192.168.1.48:52159)
Назначение: Внутренняя (192.168.0.1:53)
Протокол: DNS
и кучу таких
Отклоненное соединение TMG 16.03.2011 22:23:05
Тип журнала: Служба межсетевого экрана
Состояние: Входящий пакет был отброшен, поскольку его адрес назначения не существует в системе и не существует соответствующий интерфейс пересылки.
Правило: Нет - см. код результата
Источник: VPN-клиенты (192.168.1.48:53427)
Назначение: Внешняя (224.0.0.252:5355)
Протокол: Многоадресное разрешение имен локальных ссылок (LLMNR)
Отклоненное соединение TMG 16.03.2011 22:23:05
Тип журнала: Служба межсетевого экрана
Состояние: Пользовательские запросы запрещены правилами политики.
Источник: VPN-клиенты (192.168.1.48:137)
Назначение: Локальный компьютер (255.255.255.255:137)
Протокол: Служба имен NetBIOS
ЗЫ сразу скажу что правило для впн-клиентов есть доступ и во внутрнее сеть, на локал хост ну и в инет.
xhangmanx
а причем тут впн клиент, если публикуется сервис для внешних пользователей?
а причем тут впн клиент, если публикуется сервис для внешних пользователей?
hardhearted
так не работает ни с впн ни без, только внутри сети...
как мониторить журнал в тмг если нужно подключится по мстсц(а для этого по впн цепляюсь)?
попробывал только что настроить лоиг на мой внешний айпи(клиента) и зайти на вебинар...затем по впн подрубился чтобы посмотреть логи, там они начилсь с впн соединения....
завтра буду тестить с ноута и мониторить с компа...отпишу что выдает журнал
так не работает ни с впн ни без, только внутри сети...
как мониторить журнал в тмг если нужно подключится по мстсц(а для этого по впн цепляюсь)?
попробывал только что настроить лоиг на мой внешний айпи(клиента) и зайти на вебинар...затем по впн подрубился чтобы посмотреть логи, там они начилсь с впн соединения....
завтра буду тестить с ноута и мониторить с компа...отпишу что выдает журнал
xhangmanx
каша какая то. включить мониторинг, и цеплятся снаружи по внешнему ип. впн клиент внутрь и так доступ может получить без всяких публикаций
каша какая то. включить мониторинг, и цеплятся снаружи по внешнему ип. впн клиент внутрь и так доступ может получить без всяких публикаций
а можна будет дать вам доступ через к примеру teamviewer и вы там посмотрите че да как?
если у меня у самого не получится разобратся..
если у меня у самого не получится разобратся..
xhangmanx
у меня и своей работы навалом
получи лог и смотри что там
у меня и своей работы навалом
получи лог и смотри что тамвсе разобрался ))) не савсем прально был опубликован веб-сайт...страно что он вообще на него заходил и трабла была имено на переходе к вебинару..
в логах не отображался этот злапоучный порт..там вообще не едино красного сообщения не было..все строчки зеленые, как будто все пучком. и щас када все работает не одной строчки с этим портом..хоть и все работает тьфу тьфу тьфу
в логах не отображался этот злапоучный порт..там вообще не едино красного сообщения не было..все строчки зеленые, как будто все пучком. и щас када все работает не одной строчки с этим портом..хоть и все работает тьфу тьфу тьфу
Господа помогите пож-та с Site to Site VPN через IPsec.
Есть ISA сервер 2006 в офисе А на нем настроил соединение типа сеть сеть к другому ISA серверу 2006 в офисе B
Если Пинговать из офиса А любой IP в офисе Б с Исы то все пингуется и связь есть, а если пинговать из внутренней сети (компьютеров) сети А компьютеры офиса Б то пинг не проходит соответственно RDP тоже не работает в чем может быть дело?
Есть ISA сервер 2006 в офисе А на нем настроил соединение типа сеть сеть к другому ISA серверу 2006 в офисе B
Если Пинговать из офиса А любой IP в офисе Б с Исы то все пингуется и связь есть, а если пинговать из внутренней сети (компьютеров) сети А компьютеры офиса Б то пинг не проходит соответственно RDP тоже не работает в чем может быть дело?
AdminNovichok
а трафик то между сетями разрешил?
а трафик то между сетями разрешил?
Всем доброго времени суток.
Столкнулся с такой проблемой при работе с ISA Server 2006 SE:
У провайдера предоставляющего инет есть свои внутренние ресурсы, и один из ресурсов показывает внутреннюю скорость до ресурсов провайдера, то бишь в среднем 80-100Мб/с. Если данную проверку делать в браузере на сервере где установлен ISA server, то такая скорость там и есть, а вот если эту проверку делать на компьютере где прописан прокси сервер, то скорость там максимум 1Мб/с.
Раньше стоял squid на линуксе и такого там не было, данная проверка проходила нормально, что на сервере, что на клиентах. Так что грешу на то что на клиентах скорость как то режется через isa.
Проксей пользуются от 30-50 человек, но данная проблема есть и тогда когда никого нет. Подскажите пожалуйста в чем может быть проблема?
P.S. извиняюсь если данный вопрос где то уже есть,но поиском подходящего не смог найти.
P.P.S. похоже данная проблема только на машинах где установлен ISA client. Это как влияет на скорость браузеров?
Столкнулся с такой проблемой при работе с ISA Server 2006 SE:
У провайдера предоставляющего инет есть свои внутренние ресурсы, и один из ресурсов показывает внутреннюю скорость до ресурсов провайдера, то бишь в среднем 80-100Мб/с. Если данную проверку делать в браузере на сервере где установлен ISA server, то такая скорость там и есть, а вот если эту проверку делать на компьютере где прописан прокси сервер, то скорость там максимум 1Мб/с.
Раньше стоял squid на линуксе и такого там не было, данная проверка проходила нормально, что на сервере, что на клиентах. Так что грешу на то что на клиентах скорость как то режется через isa.
Проксей пользуются от 30-50 человек, но данная проблема есть и тогда когда никого нет. Подскажите пожалуйста в чем может быть проблема?
P.S. извиняюсь если данный вопрос где то уже есть,но поиском подходящего не смог найти.
P.P.S. похоже данная проблема только на машинах где установлен ISA client. Это как влияет на скорость браузеров?
С некоторого времени начали наблюдаться проблемы с ДНС. Очень долго пингуются сервера в интернете по имени. По айпишнику пинг нормальный. У провайдера проблем нет так как пинг по имени в обход исы идет нормально. Пробовал на исе прописывать и ДНС провайдера и гугловские ДНС все то же самое. В чем может быть проблема?
Darktime
Цитата:
MS Firewall Client for ISA Server никак не влияет на скорость подключения интернета, его задача только авторизация клиента при запросе к ISA серверу.
P.S. Вполне может быть, что у Вас просто неправильно настроена иса, или же у Вас стоят какие-то левые приблуды на исе (типа антивирусов и шейперов).
Цитата:
похоже данная проблема только на машинах где установлен ISA client. Это как влияет на скорость браузеров?
MS Firewall Client for ISA Server никак не влияет на скорость подключения интернета, его задача только авторизация клиента при запросе к ISA серверу.
P.S. Вполне может быть, что у Вас просто неправильно настроена иса, или же у Вас стоят какие-то левые приблуды на исе (типа антивирусов и шейперов).
JekaRus
Цитата:
Клиенты получают какой ДНС? На компе с ИСОЙ стоит ДНС сервер, пересылающий на DNS провайдера?
Цитата:
С некоторого времени начали наблюдаться проблемы с ДНС.
Клиенты получают какой ДНС? На компе с ИСОЙ стоит ДНС сервер, пересылающий на DNS провайдера?
Цитата:
На компе с ИСОЙ стоит ДНС сервер, пересылающий на DNS провайдера?
Нет. На внешней сетевой прописаны ДНС провайдера. На сетевой карте вснутренней сети ДНС наши.
JekaRus
Ищи проблемы в пересылке DNS, оптимальные пути:
1. на клиенте первичен DNS контроллеров домена, они пересылают на DNS на ИСЕ, DNS на ИСЕ пересылает на провайдеров
2. на клиенте первичен DNS ИСы, он пересылает либо содержит вторичную зону для доменов АД, остальное пересылает на провайдеров.
Ищи проблемы в пересылке DNS, оптимальные пути:
1. на клиенте первичен DNS контроллеров домена, они пересылают на DNS на ИСЕ, DNS на ИСЕ пересылает на провайдеров
2. на клиенте первичен DNS ИСы, он пересылает либо содержит вторичную зону для доменов АД, остальное пересылает на провайдеров.
JekaRus
ArgonOL
Вообще то при доменной структуре всеми DNS запросами может (фактически должен) управлять контроллер домена вот там то и прописываются DNS`ы провайдера.
ArgonOL
Вообще то при доменной структуре всеми DNS запросами может (фактически должен) управлять контроллер домена вот там то и прописываются DNS`ы провайдера.
anton04
При продуманной структуре контроллеру домена не стоит разрешать инетовские имена, коих запросов -- 90%.
При продуманной структуре контроллеру домена не стоит разрешать инетовские имена, коих запросов -- 90%.
ArgonOL
Никто и не разрешает, просто идёт перенаправление DNS запросов от одного DNS сервера (который на эти запросы ответить не в силах) к другому. Классическая схема DNS запросы от клиента в интернет идут только от одного ПК коим является контроллер домена с DNS.
Никто и не разрешает, просто идёт перенаправление DNS запросов от одного DNS сервера (который на эти запросы ответить не в силах) к другому.
Классическая схема DNS запросы от клиента в интернет идут только от одного ПК коим является контроллер домена с DNS. anton04
Цитата:
Цитата:
В настройках сетевой карты можно указать много DNS серверов, но система будет обрабатывать только первые три. Как быть если в сети уже есть три контроллера домена?
Цитата:
Вообще то при доменной структуре всеми DNS запросами может (фактически должен) управлять контроллер домена вот там то и прописываются DNS`ы провайдера.
Цитата:
Классическая схема DNS запросы от клиента в интернет идут только от одного ПК коим является контроллер домена с DNS.
В настройках сетевой карты можно указать много DNS серверов, но система будет обрабатывать только первые три. Как быть если в сети уже есть три контроллера домена?
anton04
Цитата:
В принципе на ISA я настроил только сеть и прописал политики межсетевого экрана. Никаких ограничений не выставлял нигде, антивируса и шейперов нет. В настройках ISA мне показала очень простой, я где то упустил еще какие то важные настройки (в консоли особо нужных настроек не нашел)?
Просто например на сервере файл драйвера качается со скоростью 500 КБ/с, а на компьютере от силы 50 КБ/с. Разница довольно таки ощутимая, хотелось бы исправить данные нюанс.
P.S. походу данная проблема еще как то повлияла на скачивание файлов с самого сервера ISA, теперь если пытаешься скопировать файл с сервера,то он тянет его тоже со скоростью не больше 50-100кб/с, а в локальной сетки он должен как минимум 80-100Мб/с передавать. ISA как то могла зарубить где нибудь скорости,или эт походу проблема самого сервера?Оо
Цитата:
P.S. Вполне может быть, что у Вас просто неправильно настроена иса, или же у Вас стоят какие-то левые приблуды на исе (типа антивирусов и шейперов).
В принципе на ISA я настроил только сеть и прописал политики межсетевого экрана. Никаких ограничений не выставлял нигде, антивируса и шейперов нет. В настройках ISA мне показала очень простой, я где то упустил еще какие то важные настройки (в консоли особо нужных настроек не нашел)?
Просто например на сервере файл драйвера качается со скоростью 500 КБ/с, а на компьютере от силы 50 КБ/с. Разница довольно таки ощутимая, хотелось бы исправить данные нюанс.
P.S. походу данная проблема еще как то повлияла на скачивание файлов с самого сервера ISA, теперь если пытаешься скопировать файл с сервера,то он тянет его тоже со скоростью не больше 50-100кб/с, а в локальной сетки он должен как минимум 80-100Мб/с передавать. ISA как то могла зарубить где нибудь скорости,или эт походу проблема самого сервера?Оо
SergeyMark
Цитата:
Что значит будет обрабатывать первые три!? Сколько припишите DNS столько опрашивать она и будет (при недоступности предыдущих DNS).
Цитата:
Никак, приписываете три DNS с настройках сетевой карты...
Darktime
Цитата:
Иса не рубит скорость, у неё нет встроенного шейпера.
Скорее всего это проблема самого сервера или железа+дрова.
Поменяйте дрова на сетевухах. Выставьте приоритет сетевым картам.
Цитата:
В настройках сетевой карты можно указать много DNS серверов, но система будет обрабатывать только первые три.
Что значит будет обрабатывать первые три!? Сколько припишите DNS столько опрашивать она и будет (при недоступности предыдущих DNS).
Цитата:
Как быть если в сети уже есть три контроллера домена?
Никак, приписываете три DNS с настройках сетевой карты...
Darktime
Цитата:
ISA как то могла зарубить где нибудь скорости,или эт походу проблема самого сервера?
Иса не рубит скорость, у неё нет встроенного шейпера.
Скорее всего это проблема самого сервера или железа+дрова.
Поменяйте дрова на сетевухах. Выставьте приоритет сетевым картам.
Здравствуйте.
Устанавливаю Forefront TMG Standard(лицензия) на Windows 2008 R2 Enterprise(лицензия)
Предварительно были установлены все обновления на сегодняшний день включая IE9 , машина введена в домен и получила сертификаты.
Включена предварительная подготовка перед установкой , далее запускается сама установка.
С виду установка проходит замечательно, до финального аккорда кнопки "Готово."
Когда пытаюсь запустить Forefront TMG через консоль запуска "Диспечер Forefront TMG".
Тут же высвечивается табличка с ошибкой.
"Ошибка сценария
На этой странице произошла ошибка сценария
Строка: 283
Символ: 13
Ошибка: Недопустимый аргумент
Код: 0
URL: .....Generic.htm....
Продолжить выполнения сценариев на данной странице ? "
Нажимаю ДА
"Ошибка сервера Forefront TMG
Обновление не выполнено"
Ну и соответственно ничего не работает.
Винду тока установил уже второй раз , все по порядку.
В чем может быть причина ?
Устанавливаю Forefront TMG Standard(лицензия) на Windows 2008 R2 Enterprise(лицензия)
Предварительно были установлены все обновления на сегодняшний день включая IE9 , машина введена в домен и получила сертификаты.
Включена предварительная подготовка перед установкой , далее запускается сама установка.
С виду установка проходит замечательно, до финального аккорда кнопки "Готово."
Когда пытаюсь запустить Forefront TMG через консоль запуска "Диспечер Forefront TMG".
Тут же высвечивается табличка с ошибкой.
"Ошибка сценария
На этой странице произошла ошибка сценария
Строка: 283
Символ: 13
Ошибка: Недопустимый аргумент
Код: 0
URL: .....Generic.htm....
Продолжить выполнения сценариев на данной странице ? "
Нажимаю ДА
"Ошибка сервера Forefront TMG
Обновление не выполнено"
Ну и соответственно ничего не работает.
Винду тока установил уже второй раз , все по порядку.
В чем может быть причина ?
xhangmanx
Это вирус, троян, руткит, бэкдор, и т.д.
1. Ставь систему. многа ребут, лан откинут.
2. Ставь обновления, ребут, лан откинут.
3. Ставь антивирус, настраивай феирвол, ребут, лан откинут.
4. Обновляешь авирь, настраиваешь фаер, ребут, включаем лан.
5. Разбираемся, какого хрена по сетке гуляет вирус, троян, руткит, бэкдор, и т.д.
Это вирус, троян, руткит, бэкдор, и т.д.
1. Ставь систему. многа ребут, лан откинут.
2. Ставь обновления, ребут, лан откинут.
3. Ставь антивирус, настраивай феирвол, ребут, лан откинут.
4. Обновляешь авирь, настраиваешь фаер, ребут, включаем лан.
5. Разбираемся, какого хрена по сетке гуляет вирус, троян, руткит, бэкдор, и т.д.
xhangmanx
Цитата:
в IE9
Цитата:
В чем может быть причина ?
в IE9
Цитата:
xhangmanx
Цитата:
В чем может быть причина ?
в IE9
Подтверждаю. Как только IE9 появился в апдейтах - накатил на серваке с установленным TMG Standart - и перестала нормально работать консоль. Причем с удаленной машины под Win 7 с IE9 консоль пашет на "ура". Пришлось удалить 9-го "ослика".
попробую удалить ИЕ9 отпишу о результатах
не получится пойду по пути Bezzz
не получится пойду по пути Bezzz
Добрый день!
WindowsServer 2003 SE + Microsoft ISA Server 2006 SE.
Можно ли настроить прозрачный прокси на ISA, чтобы не указывать никаких настроек прокси в браузерах?
За сервером ISA в локальной сети стоит роутер который раздает интернет по wi-fi для гостевых ноутбуков и телефонов, поэтому использование групповых политик к клиентам не возможно.
Общая задача выглядит так:
- Ограничение доступа из локальной сети к некоторым внешней сет. ресурсам.
- Организация прозрачного проски.
===
update 22-04-2011
Решил свою проблему может будет полезно кому-нибудь:
Сервер ISA поддерживает три типа клиентов:
- SecureNAT.
- Firewall.
- Web Proxy.
SecureNAT - это любое устройство, адресом основного шлюза кот. является внутренний IP адрес ISA. Клиент SecureNAT может работать под любой операционной системой, которая может работать с протоколами TCP/IP.
Чтобы использовать ISA Server в качестве прозрачного прокси, нужно указать в качестве осн. шлюза(Default Gateway) в настройках TCP/IP IP-адрес внутреннего интерфейса ISA-сервера. Основной шлюз(Default Gateway) можно настроить вручную или назначить его автоматически через DHCP.
Полезно почитать:
http://isaserver.ru/forums/t/442.aspx
http://www.redline-software.com/rus/support/articles/isaserver/security/securenat-securenet-client-guide-universe.php
http://www.osp.ru/win2000/2006/02/1156325/
WindowsServer 2003 SE + Microsoft ISA Server 2006 SE.
Можно ли настроить прозрачный прокси на ISA, чтобы не указывать никаких настроек прокси в браузерах?
За сервером ISA в локальной сети стоит роутер который раздает интернет по wi-fi для гостевых ноутбуков и телефонов, поэтому использование групповых политик к клиентам не возможно.
Общая задача выглядит так:
- Ограничение доступа из локальной сети к некоторым внешней сет. ресурсам.
- Организация прозрачного проски.
===
update 22-04-2011
Решил свою проблему может будет полезно кому-нибудь:
Сервер ISA поддерживает три типа клиентов:
- SecureNAT.
- Firewall.
- Web Proxy.
SecureNAT - это любое устройство, адресом основного шлюза кот. является внутренний IP адрес ISA. Клиент SecureNAT может работать под любой операционной системой, которая может работать с протоколами TCP/IP.
Чтобы использовать ISA Server в качестве прозрачного прокси, нужно указать в качестве осн. шлюза(Default Gateway) в настройках TCP/IP IP-адрес внутреннего интерфейса ISA-сервера. Основной шлюз(Default Gateway) можно настроить вручную или назначить его автоматически через DHCP.
Полезно почитать:
http://isaserver.ru/forums/t/442.aspx
http://www.redline-software.com/rus/support/articles/isaserver/security/securenat-securenet-client-guide-universe.php
http://www.osp.ru/win2000/2006/02/1156325/
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495
Предыдущая тема: Kerio WinRoute Firewall (часть 4)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.