Добавил - нифига 
Кнопки не работают толком, фильтры не работают... Что за фигня....
Кнопки не работают толком, фильтры не работают... Что за фигня....
» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)
erve
хорошо... а что-нибудь вообще фильтруется при помощи политик веб доступа?
хорошо... а что-нибудь вообще фильтруется при помощи политик веб доступа?
да, в веб-доступе несколько правил. Они фильтруют
erve
Цитата:
похоже стоит проанализировать логи, видимо сайты связанные с проблемными попали под одну из категорий запретов
Цитата:
да, в веб-доступе несколько правил. Они фильтруют
похоже стоит проанализировать логи, видимо сайты связанные с проблемными попали под одну из категорий запретов
Коллеги, а вопче стабильно ли работают ВПН туннели ППТП на Иса 2006 - ТМГ ?
У меня 7 офисов, и больше 4х месяцев в самой маленькой подсети ВПН туннель не жил, маршрутизация падала и не поднималась.
Был ли у кого годовой, скажем аптайм ВПН туннелей?
AQAQ
Стабильно-то оно стабильно вроде.. НО!
Может у меня руки кривые, может это косяк 2006 исы, однако VPN почему-то не всегда работает БЫСТРО. Хотя мог бы, если рассматривать скорость инета сервера и клиентского компа.. Для того, чтобы VPN был более стабилен, советую на клиентских компьютерах подредактировать следующую настройку:
Правой кнопкой на VPN-подключении=>Вкладка "Параметры"=>"Число повторений набора номера" увеличить до максимума (99)
Вообще, лично мое мнение, что ISA не самая стабильная система, например в произвольном порядке клиенты ИСЫ теряют с ней связь..
Если вы ищете стабильное решение, то, как мне кажется, стоит поднять PPPoE или VPN аппаратно (на роутере, например), причем на железке не экономить (взять Cisco).
Если кто-то со мной не согласиться, будет интересно послушать доводы.
Стабильно-то оно стабильно вроде.. НО!
Может у меня руки кривые, может это косяк 2006 исы, однако VPN почему-то не всегда работает БЫСТРО. Хотя мог бы, если рассматривать скорость инета сервера и клиентского компа.. Для того, чтобы VPN был более стабилен, советую на клиентских компьютерах подредактировать следующую настройку:
Правой кнопкой на VPN-подключении=>Вкладка "Параметры"=>"Число повторений набора номера" увеличить до максимума (99)
Вообще, лично мое мнение, что ISA не самая стабильная система, например в произвольном порядке клиенты ИСЫ теряют с ней связь..
Если вы ищете стабильное решение, то, как мне кажется, стоит поднять PPPoE или VPN аппаратно (на роутере, например), причем на железке не экономить (взять Cisco).
Если кто-то со мной не согласиться, будет интересно послушать доводы.
да нет, на клиентах работает все нормально, интернет очень быстрый кстати
(попробовал ТМГ , на нем медленнее припрочих равных почему-то)
а вот на самих хостах ИСА, гда подняты туннели периодически падает и не поднимается служба РРАС, и, как следствие, туннели
(попробовал ТМГ , на нем медленнее припрочих равных почему-то)
а вот на самих хостах ИСА, гда подняты туннели периодически падает и не поднимается служба РРАС, и, как следствие, туннели
AQAQ
Цитата:
Лично у меня такого ни разу не помню) У меня ISA 2006. У вас на хостах точно не провайдер падал?
Опишите, как настраивали?
Цитата:
вот на самих хостах ИСА, гда подняты туннели периодически падает и не поднимается служба РРАС, и, как следствие, туннели
Лично у меня такого ни разу не помню) У меня ISA 2006. У вас на хостах точно не провайдер падал?
Опишите, как настраивали?
Хост с бесперебойником и двумя адаптерами, все очень скромно: 2003+ИСА+ , 5 компов от исы берут инет проксей.
1)Правило выпустить почту, хппт и днс
(хотя в другом офисе тупо разрешал всему выбегать в инет, где 15 випов сидело - че париться?)
2)правило разрешить трафик между 4 удаленными ППТП сетями дефолтное, которое мастер создает.
ээээ.
все.
падает служба маршрутизации.
в смысле после ребута в очередной раз (или после зависа капитального + ребута)
просто не встает. не могу запуститься и все тут.иди в сад.
очень любит сделать это в 11 часов вечера (как сегодня, например)
Добавлено:
с провайдером проблем нету, проверяли.
Если бы инет от прова пропал, что бывало на пять этак минут или на часок, то все потом бы ""само"" и заработало бы, как бывало.
Подумываю, может, перейти на другой продукт, ибо денег на железки не допросишься....
(иса лисензионная, кстати )
да.... наверное, в настройках что-то не то, раз падает...
1)Правило выпустить почту, хппт и днс
(хотя в другом офисе тупо разрешал всему выбегать в инет, где 15 випов сидело - че париться?)
2)правило разрешить трафик между 4 удаленными ППТП сетями дефолтное, которое мастер создает.
ээээ.
все.
падает служба маршрутизации.
в смысле после ребута в очередной раз (или после зависа капитального + ребута)
просто не встает. не могу запуститься и все тут.иди в сад.
очень любит сделать это в 11 часов вечера (как сегодня, например)
Добавлено:
с провайдером проблем нету, проверяли.
Если бы инет от прова пропал, что бывало на пять этак минут или на часок, то все потом бы ""само"" и заработало бы, как бывало.
Подумываю, может, перейти на другой продукт, ибо денег на железки не допросишься....
(иса лисензионная, кстати )
да.... наверное, в настройках что-то не то, раз падает...
Можно совет?
У меня почему-то интерфейс маршрутизации ( данные c ipconfig)
или интерфейс подключенной удаленной pptp сети попадает в apipa lиапазон - и иса ругается на конфигурацию"Сервер ISA обнаружил маршруты через адаптер, которые не связаны с элементом сети, к которому этот адаптер относится."
почему так происходит?
У меня на локальном интерфейсе прописан адрес
192.168.70. 0 - 192.168.70.255.
Внп назначение адресов пробовал и DHCP ( это удобнее, как я понимаю, если он есть во ВНУТРЕННЕЙ сети, и статикой давал адрес 70.200 -70.230)
удаленная сеть
192.168.80. 0 - 192.168.80.255.
все то же самое.
при чем вроде все нормально работает, но иногда валятся ошибки конфигурации и с той и с другой сети.
по удаленный "интерфейс" уйдет в 169ю сетку, то rras интерфейс.
М.б. в этом трабла, и крышу сносит?
И может ли раздача ВПН клиентам DHCP дать не "тот" адрес, попадающий во внутреннюю сеть? МБ из-за этого
APIPA вылезает?
Вдогонку вопрос к знатокам- а для чего Шиндер советует
снимать галку Регистрировать адреса этого соединения в DNS на удаленной подсети?
http://isadocs.ru/articles/Creating-VPN-ISA-Server-2006-Firewalls-Main-Branch-Office-Part1html.html
У меня почему-то интерфейс маршрутизации ( данные c ipconfig)
или интерфейс подключенной удаленной pptp сети попадает в apipa lиапазон - и иса ругается на конфигурацию"Сервер ISA обнаружил маршруты через адаптер, которые не связаны с элементом сети, к которому этот адаптер относится."
почему так происходит?
У меня на локальном интерфейсе прописан адрес
192.168.70. 0 - 192.168.70.255.
Внп назначение адресов пробовал и DHCP ( это удобнее, как я понимаю, если он есть во ВНУТРЕННЕЙ сети, и статикой давал адрес 70.200 -70.230)
удаленная сеть
192.168.80. 0 - 192.168.80.255.
все то же самое.
при чем вроде все нормально работает, но иногда валятся ошибки конфигурации и с той и с другой сети.
по удаленный "интерфейс" уйдет в 169ю сетку, то rras интерфейс.
М.б. в этом трабла, и крышу сносит?
И может ли раздача ВПН клиентам DHCP дать не "тот" адрес, попадающий во внутреннюю сеть? МБ из-за этого
APIPA вылезает?
Вдогонку вопрос к знатокам- а для чего Шиндер советует
снимать галку Регистрировать адреса этого соединения в DNS на удаленной подсети?
http://isadocs.ru/articles/Creating-VPN-ISA-Server-2006-Firewalls-Main-Branch-Office-Part1html.html
AQAQ
Могу посоветовать такую модель:
Цитата:
На ISA указываем пул статических адресов, прописываем 192.168.70.200-192.168.70.230
В локальном DHCP добавляем этот диапозон 192.168.70.200-192.168.70.230 в иключение.
А в свойствах локальной сети описываем сетку:
192.168.70.0-192.168.70.199
192.168.70.231-192.168.70.255
Про регистрацию в ДНС - хоть я и не особо знаток, но галку снял на всякий пожарный (TMG еще тот фрукт, капризный)
Могу посоветовать такую модель:
Цитата:
Внп назначение адресов пробовал и DHCP ( это удобнее, как я понимаю, если он есть во ВНУТРЕННЕЙ сети, и статикой давал адрес 70.200 -70.230)
На ISA указываем пул статических адресов, прописываем 192.168.70.200-192.168.70.230
В локальном DHCP добавляем этот диапозон 192.168.70.200-192.168.70.230 в иключение.
А в свойствах локальной сети описываем сетку:
192.168.70.0-192.168.70.199
192.168.70.231-192.168.70.255
Про регистрацию в ДНС - хоть я и не особо знаток, но галку снял на всякий пожарный (TMG еще тот фрукт, капризный)
MrTroll
а если в филиале нет DHCP?
Я так понял, речь про то, что иса сама будет выдавать адреса для впн коиентов динамически, сама, даже если физически нету роли DHCP ( а так и происходит у меня на практике)
а если в филиале нет DHCP?
Я так понял, речь про то, что иса сама будет выдавать адреса для впн коиентов динамически, сама, даже если физически нету роли DHCP ( а так и происходит у меня на практике)
AQAQ
Не важно есть или нет внутри сети DHCP - главное исключить из описания внутренней сети тот диапозон адресов который ISA будет раздавать, и на ISA не будет аллертов об ошибке конфигурации.
Добавлено:
У меня есть свой вопрос, который меня мучает. Есть TMG сервер в рабочей группе, есть домен и пользователи в нем. Как мне настроить авторизацию на стороне TMG чтоб доменные пользователи смогли использовать TMG клиента? На данный момент авторизация проходит через RADIUS, приходится в браузере вбивать учетные данные ручками, это не есть гут. Спасибо.
Не важно есть или нет внутри сети DHCP - главное исключить из описания внутренней сети тот диапозон адресов который ISA будет раздавать, и на ISA не будет аллертов об ошибке конфигурации.
Добавлено:
У меня есть свой вопрос, который меня мучает. Есть TMG сервер в рабочей группе, есть домен и пользователи в нем. Как мне настроить авторизацию на стороне TMG чтоб доменные пользователи смогли использовать TMG клиента? На данный момент авторизация проходит через RADIUS, приходится в браузере вбивать учетные данные ручками, это не есть гут. Спасибо.
нет, ошибки будут. (с DHCP их нет почему-то)
Статикой я описывал внутреннюю сеть как 70.0 - 70.200, и давал оставшийся полтинник под впн - иначе диапазон будет перекрываться, и иса не даст сохранить эту конфигурацию, ругнется на ошибку.
MrTroll
Может задам идиотский вопрос, но что мешает TMG-сервер внести в домен?
Если по сути, то что мешает руками на tmg-клиентах прописывать IP адрес сервера? У вас так не работает?
Может задам идиотский вопрос, но что мешает TMG-сервер внести в домен?
Если по сути, то что мешает руками на tmg-клиентах прописывать IP адрес сервера? У вас так не работает?
KOMSOMOLEC1
Цитата:
Мешает EDGE от Exchange. Во всех доках написано что такая связка должна быть в воркгруппе.
Цитата:
Юзера капризные, привыкли к TMG клиенту, что все на автомате.
Что делать с прогами в которые не пропишешь прокси сервер?? У нас пользуются в основном Outlook'ом, но тут просто - создам правило - SMTP, POP3 для всех без авторизации. А как быть со всякими банк клиентами и прочей хренью?
Цитата:
что мешает TMG-сервер внести в домен?
Мешает EDGE от Exchange. Во всех доках написано что такая связка должна быть в воркгруппе.
Цитата:
что мешает руками на tmg-клиентах прописывать IP адрес сервера?
Юзера капризные, привыкли к TMG клиенту, что все на автомате.
Что делать с прогами в которые не пропишешь прокси сервер?? У нас пользуются в основном Outlook'ом, но тут просто - создам правило - SMTP, POP3 для всех без авторизации. А как быть со всякими банк клиентами и прочей хренью?
Вынес роль Microsoft Exchange EDGE на отдельный сервер, TMG ввел в домен. Всем спасибо.
Добрый день! Никто не сталкивался с проблемой, при установке TMG выдается сообщение:
"Ошибка программы установки при создании хранилища Forefront TMG"
Ставлю на только что установленную чистую 2008 R2 с обновлениями, программа подготовки к установке выполнилась успешно, права администратора домена.
Добавлено:
Upd. С проблемой разобрался, прочитав логи понял, что установке мешало то, что у администратора домена проблемы с профилем и был загружен временный.
"Ошибка программы установки при создании хранилища Forefront TMG"
Ставлю на только что установленную чистую 2008 R2 с обновлениями, программа подготовки к установке выполнилась успешно, права администратора домена.
Добавлено:
Upd. С проблемой разобрался, прочитав логи понял, что установке мешало то, что у администратора домена проблемы с профилем и был загружен временный.
Добрый день . МОжете помочь с проблемой.
стоит вин сер 2003 R2
На нем поднял днс и дхцп
ставлю isa server 2006
до установки иса - днс работает нормально, дхцп тоже. сервак пингуется. в расшаренные папки доступ нормальный.
после установки иса сервак становится невидимым.
настройки иса
Пограничный межсетевой экран
политика межсетевого экрана:
кроме прочих правил есть правило разрешить все исходящие от внутренней сети к внешней.
впн не настраивал
От иса мне надо чтоб клиент настроил у себя в сетевых настройках IP маршрутизатор сервера с установленным ISA. и выходил в интернет. на иса хотел чтобы стояли фильтры на подобие куда нельзя заходить на какие сайты. и чтоб фаервол блокировал нехороших людей с внешней сети. но чтото у меня не выходит.
стоит вин сер 2003 R2
На нем поднял днс и дхцп
ставлю isa server 2006
до установки иса - днс работает нормально, дхцп тоже. сервак пингуется. в расшаренные папки доступ нормальный.
после установки иса сервак становится невидимым.
настройки иса
Пограничный межсетевой экран
политика межсетевого экрана:
кроме прочих правил есть правило разрешить все исходящие от внутренней сети к внешней.
впн не настраивал
От иса мне надо чтоб клиент настроил у себя в сетевых настройках IP маршрутизатор сервера с установленным ISA. и выходил в интернет. на иса хотел чтобы стояли фильтры на подобие куда нельзя заходить на какие сайты. и чтоб фаервол блокировал нехороших людей с внешней сети. но чтото у меня не выходит.
packuh
Должно быть разрешающее правило: весь трафик (ну или по отдельным протоколам) от внутренней сети к локальному компу.
Должно быть разрешающее правило: весь трафик (ну или по отдельным протоколам) от внутренней сети к локальному компу.
Вместо 5 и 6 правила попробуйте сделать: весь исходящий, откуда - локальный комп и внутренняя, куда - локальный комп и внутренняя. Должно работать.
Добавлено:
правила 1 и 2 вообще не нужны
Добавлено:
их дублируют правила 3 и 4
Добавлено:
а если vpn не настраивал то правила 1,2,3 вообще не нужны
Добавлено:
правила 1 и 2 вообще не нужны
Добавлено:
их дублируют правила 3 и 4
Добавлено:
а если vpn не настраивал то правила 1,2,3 вообще не нужны
Не подскажете почему он автоматически не осуществляет дозвон?
Добавлено:
вот еще проблема встала все равно нету выхода в интернет
настройки на клиенте
в самом броузере прокси не указывал. там настройки по умолчанию.
настройки на сервере
Добавлено:
добавил еще правило: весь исход трафик - локальный компьютер - интернет
все равно такая же проблема даже с самого сервера не могу с борлузера выйти на страничку.
Добавлено:
но пинг на те же маил ру и яндекс проходит нормально с самого сервера
5 правило поставь первым, добавь в откуда - локальный комп, а в куда - внутренняя. Я так понимаю 192.168.20.1 - это комп с исой? DNS сервер на нем поднят?
Добавлено:
правила 2 и 3 вообще убери
Добавлено:
Если DNS поднят на этом компе, в свойствах DNS сервера сделай пересылку на DNS сервера провайдера.
Добавлено:
правила 2 и 3 вообще убери
Добавлено:
Если DNS поднят на этом компе, в свойствах DNS сервера сделай пересылку на DNS сервера провайдера.
Провожу трассировку с локального компа
tracert mail.ru
Трассировка маршрута к mail.ru [°я♠]
с максимальным числом прыжков 30:
1 <1 мс <1 мс <1 мс admin-server.lgb.local Нет ресурсов.
да днс поднят и дхцп. можно подробнее как делать пересылку?
tracert mail.ru
Трассировка маршрута к mail.ru [°я♠]
с максимальным числом прыжков 30:
1 <1 мс <1 мс <1 мс admin-server.lgb.local Нет ресурсов.
да днс поднят и дхцп. можно подробнее как делать пересылку?
Пуск - Администрирование - DNS. Выделяешь свой сервер, правой кнопкой, свойства. Закладка "Пересылка". В список ip адресов добавляешь DNS сервера провайдера.
запустил на локальном компе
оказывается все видно но почему броузеры не хотят работать?
nslookup
Default Server: admin-server.lgb.local
Address: 192.168.20.1
> mail.ru
Server: admin-server.lgb.local
Address: 192.168.20.1
Non-authoritative answer:
Name: mail.ru
Addresses: 94.100.191.202, 94.100.191.203, 94.100.191.204, 94.100.191.201
оказывается все видно но почему броузеры не хотят работать?
nslookup
Default Server: admin-server.lgb.local
Address: 192.168.20.1
> mail.ru
Server: admin-server.lgb.local
Address: 192.168.20.1
Non-authoritative answer:
Name: mail.ru
Addresses: 94.100.191.202, 94.100.191.203, 94.100.191.204, 94.100.191.201
Правила сейчас какие?
у меня у провайдера два днс альтернативный и предпочитаемый оба ввел в то окно которое вы сказали. поле "Домен DNS" оставил по умолчанию так как у меня не поднят домен.
не помогло.
вопрос такой а в настройках сетевых карт я все сделал правильно?
WAN поключеная к адсл модему(дозвон делается с сервера)
ip 192.168.1.2
mask 255.255.255.0
Шлюз пусто
днс пусто
Lan сетевая карты выходит в локальную сеть
ip 192.168.20.1
mask 255.255.255.0
Шлюз пусто
днс 192.168.20.1
Добавлено:
не помогло.
вопрос такой а в настройках сетевых карт я все сделал правильно?
WAN поключеная к адсл модему(дозвон делается с сервера)
ip 192.168.1.2
mask 255.255.255.0
Шлюз пусто
днс пусто
Lan сетевая карты выходит в локальную сеть
ip 192.168.20.1
mask 255.255.255.0
Шлюз пусто
днс 192.168.20.1
Добавлено:
Цитата:
WAN поключеная к адсл модему(дозвон делается с сервера)
ip 192.168.1.2
mask 255.255.255.0
Шлюз пусто
днс пусто
А шлюз разве не нужен?
Страницы: 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677787980818283848586878889909192939495
Предыдущая тема: Kerio WinRoute Firewall (часть 4)
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.