» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Сделал экспорт все правил. Удалил ISA, установил ISA, ипортировал правила.
При импорте ругнулось на то правило, которое у меня не работало. Из файла с правилами вырезал это правило, и после этого импорт прошел. Заново создал правило, все заработало.

Всем привет!

Что-то я сделал не то и у меня перестали переворачиваться имена в IP адреса с VPNклиентов.

Ситуация такая, VPN-ом подключаюсь, пингую по IP - всё ок, пингую по имени - "при проверки связи не удалось обнаружить узел server. Проверьте имя узла и повторите попытку"

У меня стоит TMG с последними обновлениями и со следующими правилами:
http://file.qip.ru/photo/pd2MfnKo/сетевые_правила.html

Сервера:
Шлюз - Windows Server 2008 R2 Standart TMG2010 SP1 - 4-е сетевых интерфейса (2-а провадера и две локалки)
DC - Windows Server 2008 R2 Int, DNS & DHCP сервера подняты на нем.

ifconfig /all шлюза:
Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corporation), 2009. Все права защищены.

pconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : NNV-GTW
Основной DNS-суффикс . . . . . . : uvg.local
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : uvg.local

Адаптер PPP RAS (Dial In) Interface:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : RAS (Dial In) Interface
Физический адрес. . . . . . . . . :
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.2.65(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.255
Основной шлюз. . . . . . . . . :
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Mega-NN:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethernet
сетевой адаптер
Физический адрес. . . . . . . . . : 00-80-48-19-1E-AF
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 000.000.000.000(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.248
Основной шлюз. . . . . . . . . : 000.000.000.000
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Локальная сеть Unite:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Сетевая карта Realtek RTL8101E Family PCI
-E Fast Ethernet NIC (NDIS 6.20)
Физический адрес. . . . . . . . . : 00-1D-7D-C1-0B-22
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 192.168.2.5(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
IPv4-адрес. . . . . . . . . . . . : 192.168.10.1(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . :
DNS-серверы. . . . . . . . . . . : 192.168.2.25
192.168.2.222
NetBios через TCP/IP. . . . . . . . : Включен

Ethernet adapter Prostor:

DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : D-Link DFE-538TX 10/100 адаптер
Физический адрес. . . . . . . . . : 00-05-5D-4C-67-75
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
IPv4-адрес. . . . . . . . . . . . : 00.00.00.00(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.252
Основной шлюз. . . . . . . . . : 00.00.00.00
NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да

Настройка VPN на шлюзе:
разрешен протокол PPP
назначение IP - включен DHCP

По VPN все ходят на провайдера 000,000,000,000
были прописаны правила, через какого провайдера ходить по VPN-у


????? знаю, что я тут какую-то мелочь упустил ... хоть и перепроверил всё 100 раз уже ...

оО всё заработало само...

Доброго дня! Не ставиться TMG
win 2008r2 + Forefront_TMG_Standard_2010_64Bit_Russian

выдает ошибку
программе установки не удалось установить манифест трассировки событий Windows

Люди помогите настроить раздачу торрента через ису.
Стоит железо на нем win2003 и isa2006, поствил себе торрент клиент что бы делать раздачи bitcomet, сделал в нем раздачу, стартанул ее, полез потом настривать ису.
1.Добавил порты BitTorrent_input TCP Входящий 49155 и дополнительное соединение TCP Исходящий 49155
2.Добавил порты BitTorrent_output UDP Отправить Получить 49155 и дополнительное соединение UDP Получить Отправить 49155
3. Создал правило разрешающее BitTorrent_input с Внешняя на Локальный компьютер
4. Создал правило разрешающее BitTorrent_output с Локальный компьютер на Внешняя
5. Так как сижу да DSL модемом в нем пробросил порт 49155 на машину на которой и ISA и сам клиент 192.168.1.2
6.В настройках bitcomet указал ему слушать порт 49155

Но после всех этих действий торрент все равно не качается((((

В bitcomet есть прикол для проверки порта так вот он показывает ***.***.***.***:49155 что разрешения резрешены, но потом можно через 10 минут проверить он будет показывать что порт закрыт

kot488

Цитата:

1.Добавил порты BitTorrent_input TCP Входящий 49155 и дополнительное соединение TCP Исходящий 49155

У меня открыт диапозон портов с 64000 до 64100

Цитата:

4. Создал правило разрешающее BitTorrent_output с Локальный компьютер на Внешняя

Вместо "Локальный компьютер" укажи IP адрес компа, который будет работать с торрентом.

Цитата:

5. Так как сижу да DSL модемом в нем пробросил порт 49155 на машину на которой и ISA и сам клиент 192.168.1.2

А это уже лишнее.

Цитата:

поствил себе торрент клиент что бы делать раздачи bitcomet

Проблемная программа, замени на BitTorrent

Клиент ISA на рабочей станции установил? Настроил?

Ping!

Подскажите пжл по след. вопросу.
Есть Win2003,ISA 2006. На сервере PPPOE соединение со статическим внешним IP. Сессия рвётся провайдером 1 раз каждые 3 дня. На ISA есть правило, дающее RDP по этому внешнему IP компьютеру в сети. Проблема - после каждого разрыва сессии это правило перестаёт работать. Никаких ошибок не возникает. Если сделать Stop/Start службы Microsoft Firewall - всё опять работает. Конечно можно сделать bat'ник для перезапуска службы - но всё же в чём может быть проблема?

Подскажите, что за ошибка вылазит при попытке обновления tmg2010, до sp2


Как корректно настроить ису для работы с торррентами?
При запуске торрент клиента иса просто перестает откликаться на пинги, перезапуск службы не проходит, служба не перезапускается, помогает только перезагрузка сервера

Student1


Цитата:

Подскажите, что за ошибка вылазит при попытке обновления tmg2010, до sp2

Вы скачали обновление для другой языковой группы


Цитата:

Как корректно настроить ису для работы с торррентами?

Вопрос двоякий. Вам только на скачку (тогда тупо развешаем такому то PC/User`у доступ туда-то по такому то порту) или на раздачу тоже?

anton04
Раздача неинтересна, больше интересует почему торрент валит ису наглухо при запуске

Цитата:

Вы скачали обновление для другой языковой группы

Обновление скачано для tmg 2010 enterprise rus
http://www.microsoft.com/en-us/download/details.aspx?id=27603
брал по этой ссылке, выбрало для русской версии, при попытке запустить английскую, точно такая же ошибка.

Student1


Цитата:

больше интересует почему торрент валит ису наглухо при запуске

Потому как торрент открывает большое количество соединений сразу, а в TMG (в прочем как и в исе) есть определённые настройки ограничивающие одновременное количество TCP соединений. И tmg не валится наглухо, а угодит в режим блокировки со всеми протекающими прелестями.

Отсюда вывод или настраивайте должным образом TMG, либо нефиг в корпоративной среде маятся фигнёй и ставьте банально проксю, а не фаер. Т.е. вы пытаетесь использовать программный продукт не по назначению...

Добавлено:
Student1


Цитата:

Обновление скачано для tmg 2010 enterprise rus
http://www.microsoft.com/en-us/download/details.aspx?id=27603
брал по этой ссылке, выбрало для русской версии, при попытке запустить английскую, точно такая же ошибка.

Может вы случайно скачали TMG-KB2555840-amd64-RUS.exe!? Или же (предположение), если вы пользовались конструктором из варезной ветки, то такое поведение это нормально, ставьте нормальный релиз не затронутой конструктором (т.к. в конструкторе не учтена языковая группа и всё идёт наперкосяк при попытке обновления).

У меня стоит TMG, есть сервер находящийся в локалке и есть удаленный пользователь у которого есть постоянный внешний IP, нужно чтобы он мог удаленно подключаться к серверу по RDP. Возникает вопрос, у сервера IP 192.168.1.15, мой внешний IP 1.1.1.1 (выход для всех в инет), 1.1.1.2, 1.1.1.3 (свободные) у пользователя IP 2.2.2.2. Вопрос как можно это сделать через TMG?
Мое видение такое, удаленный пользователь пытается подключится к моему внешнему IP 1.1.1.2, TMG проверяет удаленный IP, если он равен 2.2.2.2, то перенаправляет его на 192.168.1.15.
Правильно ли я думаю? Если правильно то где нужно это делать на TMG? Если нет то подскажите как нужно.

Заранее спасибо!

Leon1978
У меня ISA, но разница вряд ли есть.
Создать правило-правило доступа- протокол RDP- откуда и прослушиватель- куда- условие....
подробнее здесь
http://www.isadocs.ru/articles/detail.php?ID=1379&phrase_id=802890 (она же в оригинале http://isaserver.org/articles/2004pubts.html )

или можно еще так - http://www.isadocs.ru/articles/Publishing-Remote-Desktop-Web-Connection-Sites-ISA-Firewall-Part1.html

все отлично получилось, единственно думалось можно ли сделать чтобы напрямую без портов по RDP подключаться? То есть на 1 внешний IP один внутренний IP можно повесить?

В смысле присвоить несколько адресов внешнему интерфейсу ИСы. А кто Вам мешает, если они у вас есть.

то что на один интерфейс можно вешать несколько IP адресов я уже знаю, я имел ввиду на примере
внутренний IP адрес 192.168.1.5 и внешний IP адрес 5.5.5.5 чтобы при обращении на внешний адрес он переходил сразу в внутренний. Как это можно реализовать на TMG?

Leon1978
Вожможно изменить на машине порт rdp на нестандартный и прописать правило в исе, коннект будет вида
Цитата:

внешний IP адрес 5.5.5.5

:порт rdp

Leon1978 Здесь HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber указывается порт, на которм машина ждет соединения по RDP, назначайте любой. Только по IP не будет. Либо на стандартном порту. либо на выбранном вами.
Если при запуске клиента удаленного рабочего стола Вы не указываете порт, это еще не значит, что его нет. И равен он 3389.
Но можете его явно задать так 123.456.78.9:3388 например. (ну набирая http://ya.ru вы 80 порт тоже не пишете, но можете - проверьте http://ya.ru:80 ).
Каждому терминальному серверу в сети можете задать преобразование (поищите по словам порт форвардинг , транслейт или мапинг) портов на ISA .

Вот например - http://blogs.technet.com/b/securitydewds/archive/2010/01/22/3307496.aspx

Вопрос как проверить загруженность ширины канала на tmg? (желательно в реальном времени по ip addresam)
Есть встроенное или нужно отдельно что то устанавливать?
GFI WebMonitor, Bandwidth Splitter, TrafficFilter, но я так понял что рабочих версий для TMG нету, поэтому кто как решает эту проблему? Может есть какие альтернативы? Fastvue кто нибудь использовал?
SurfControl Web Filter насколько я понял, не работает под TMG?

Leon1978


Цитата:

Вопрос как проверить загруженность ширины канала на tmg? (желательно в реальном времени по ip addresam)

Если вопрос ставить так то можно воспользоваться Tmeter.

anton04

разве у TMeter есть интеграция с ТМГ? Мне нужно проверить в реальном временени, кто куда лезет, кто качает и т.д.
Неужели никому это не надо было?

Добрый день всем.

Есть сеть: 192.168.0.0/28 без домена, просто рабочая группа.
Есть сервер: 192.168.0.1, является шлюзом в сети (WinServer2003R2 SE x86). В нем 2 сетевые, 1 смотрит во внешку (ADSL, настроен вручную 192.168.1.2) и 2 во внутрь сети.
На сервере из ролей DHCP и файл сервер только. Установил на сервер ISA 2006SP1 SE.

Необходимо чтобы пользователи могли получать почту с внешних сервисов (mail.ru,rambler.ru) через почтовый клиент (Outlook express и просто Outlook в моем случае).

Что сделал я:
1. Создал правило на ISA:

действие: разрешить
протоколы: pop3,smtp
откуда: внутренняя
куда: внешняя
условия: все пользователи

2. Пробовал в Конфигурация-Общие-Параметры клиента межсетевого экрана в параметрах приложения менять
outlook disable 0 на 1, и даже просто удалял эту строчку

3. Пробовал отключать фильтр POP

Все равно, не получается получить почту почтовым клиентов, пишется ошибка 0x800CCC0D в outlook'е. Telnet pop3.mail.ru 110 не дает результатов тоже =(

Единственная настройка при которой почта получается, это когда "весь исходящий трафик разрешен" во внешнюю, но разумеется это не правильно.

P.S. На клиентских машинах не установлен firewall client от ISA, т.к. с ним не сможет работать другая программа.


Добавлено:
UPDATE (решил проблему):

Покопался в англоязычных сайтах,нашел скрин в котором был еще протокол DNS в mail правиле использован,добавил и все заработало.

Leon1978


Цитата:

разве у TMeter есть интеграция с ТМГ?

Нет нету, ну что Вам мешает использовать оба продукта на одном сервере!?


Цитата:

Мне нужно проверить в реальном временени, кто куда лезет, кто качает и т.д.
Неужели никому это не надо было?

Почему не надо, надо, но все остальные проги такого плана платные. Например я пользую Bandwidth Splitter и очень им доволен.

Добрый день.
Есть сеть: 192.168.0.0/28 без домена, просто рабочая группа.
Есть сервер: 192.168.0.1 (WinServer2003R2 SE x86). В нем 2 сетевые, 1 смотрит во внешку (ADSL, настроен вручную 192.168.1.2) и 2 во внутрь сети.
На сервере из ролей DHCP и файл сервер только. Установил на сервер ISA 2006SP1 SE.

Тут начались танцы с бубном. Нашел в теме инструкцию к ISA от пользователя NightAngel. Все сделал как в инструкции NightAngel, даже в пункте "устранение неполадок" все показывало правильно как по инструкции. Но почему то VipNet client по прежнему не видит сервер координатора. Единственное кого он видит, это 2 VipNet client на соседнем компьютере.

Вот скрины настроек: http://imgur.com/WeRP2 http://imgur.com/a/8bSos

Цитата:

Тут начались танцы с бубном. Нашел в теме инструкцию к ISA от пользователя NightAngel. Все сделал как в инструкции NightAngel, даже в пункте "устранение неполадок" все показывало правильно как по инструкции. Но почему то VipNet client по прежнему не видит сервер координатора.

firewall client от ISA на машине с VipNet client установлен?
в настройках VipNet client указано что координатор за фаерволом?

Цитата:

firewall client от ISA на машине с VipNet client установлен?
в настройках VipNet client указано что координатор за фаерволом?

Пробовал и с fw client и без него. В настройках VipNet стоит галочка: "использовать межсетевой экран", тип: "с динамической трансляцией адресов" (попробовал даже "со статической трансляцией адресов"). Но серым окном отображает внутренний адрес машины,а не внешний как пишут в инструкции

Цитата:

попробовал даже "со статической трансляцией адресов"). Но серым окном отображает внутренний адрес машины,а не внешний как пишут в инструкции

как раз со статической и нужно, а что бы окно не было серым нужно поставить галку "зафиксировать внешний Ip-адрес доступа"

Цитата:

как раз со статической и нужно, а что бы окно не было серым нужно поставить галку "зафиксировать внешний Ip-адрес доступа"

В инструкциях как раз наоборот пишут. Но не суть,я ведь пробовал оба варианта. Тут скорее в ISA нужно еще что-то добавить из правил.

Цитата:

Тут скорее в ISA нужно еще что-то добавить из правил.

да слона то я и не заметил нужно еще правило публикации наружу этого клиента, причем если таких клиентов несколько то нужно на каждом задавать свой порт UDP и делать отдельное входящее правило.