» Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Ребят помогите пожалуйста. Имею внутреннюю сеть 192.168.1.1, имею сайт корпоративный на 10.10.1.1, и имею канал интернета. Настройки адаптеров:
Внутренняя
ИП 192.168.1.1
Маска 255.255.255.0
Интернет
ИП *.*.1.10
Маска 255.255.255.0
Шлюз *.*.1.1
Днс 8.8.8.8
Адаптер который смотрит на корпоратив
ИП 10.10.1.10
Маска 255.255.255.0
Шлюз 10.10.1.3 (свич от основного предприятия с таким диапазоном для нас)
Сделал правило всех выпускать в сеть внешнюю, интернет раздает нормально.
Создал сеть с диапазоном 10.10.1.1-10.10.1.254, доступ к корпоративу с внутренней сделал через нат. Пробую трассировку 8.8.8.8 а он идёт через сетевую которая смотрит в корпоратив. Отключаю интернет трассировка идёт правильно. Но при попытке зайти на корпоративный сайт пишет 12206 ошибку. Прописать через какой адаптер ходить можно же через route add? Может я что то упустил или пропустил?

kot488
https://support.microsoft.com/en-us/kb/296202

Serra

Вот здесь поднять локальную сеть в верх?

kot488
Вроде так..

Serra

Было DMZ сеть, потом локал, а потом интернет, поднял локалку в верх, инет вторая по очереди, инет последняя, все равно 12206. и как только включаю сеть DMZ падает конект к интернету, отключил зону dmz совсем, пробую просто сервер выпустить в инет, ошибка такая же. По трасеровке путь правильно идет

kot488
Тут наверно проще будет свой днс поднять с форвардом на гугловский, и в свойствах интерфейсов его указать

Serra

Пробовал, тоже не оно. Стоял нод32 с своим фаерволом, нод выключал все равно не работало. Снес нод в инет начал выпускать. но в третью сеть не пускает. Я вот вычитал что ISA не умеет работь с двумя сетевыми платами на которых основные шлюзы прописаны, а у меня две платы имеют свою шлюз. Это как то обойти можно? Если отключена внутрення сеть которая смотрит в dmz то и локалка и инет работает, только включаю dmz сразу все ломаться на нее, и пытаются через нее в интернет выйти

kot488

Цитата:

ISA не умеет работь с двумя сетевыми платами на которых основные шлюзы прописаны,

Шлюз должен быть один,для второго интерфейса прописать маршруты до нужной подсети

Vby

с помощью route add?
Если да то прописал, что в сеть 10.10.2.0 ходим через шлюз 10.10.1.3, или нужно вместо 10.10.1.3 прописать адрес платы, 10.10.1.10?

Убрал на одной сети шлюз и пошло все как по маслу, кого нужно выпускает кого не надо не выпускает, всем спасибо за помощь. Есть ещё один вопрос, можно как то сделать что бы при входе на сервер 10.10.2.1 показывались адреса клиентов с подменой ip. Например у пользователя 192.168.1.12 а на порте сервера он был виден как 10.10.1.12. Сейчас всех видно на ip сервера 10.10.1.10.

Привет, подскажите куда смотреть в браузере сайт не открывается ругается на ошибку 10060 - Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера.
сайт пингуется резолвится, nslookup все возвращает правильно. что может быть?

Кто поможет проблему найти?

telet fqdn 80
Прокси включен?
С компов, не загороженных ISA или TMG он открывается?

Добавлено:
Вообще, кроме стандартного сообщения об ошибке и того, что хост в сети - ничего нет. В чьих интересах решить проблему-то?

Цитата:

telet fqdn 80
Прокси включен?
С компов, не загороженных ISA или TMG он открывается?

по телнету не удалось подключится с сервера TMG. Прокси отключил, был включен.
предистория:
Есть 2921 циска к ней подключен TMG одним интерфейсом айпишник 192.170.1.2 вторым интерфейсом подключена локалка 10.2.10.15. С циски 2921 если подключить комп интернет есть все бегает проблем нет. С TMG проблема в следующем в любом браузере сайты не открываются, но если пропинговать с сервера пинги бегают ровно как по имени так по айпи. Поотключал прокси проверки шттп и т.д. добавил правила к веб-доступу все протоколы источник все сети назначение все сети - не открываются. Тестирую в TMG сайт пишет

Время, зафиксированное службой межсетевого экрана Microsoft Forefront TMG: 63,006 сек.
Тестирование http://mail.ru:80
Категория: Ошибка подключения
Сведения об ошибке: 10060 - Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера.
Действие: Перейти к http://go.microsoft.com/fwlink/?LinkId=115965

Правило созданное автоматом TMG по умолчанию источник внут. назначение внеш. отношение NAT адреса NAT по умолчанию

В кладке наблюдение выявил ошибку
Описание: Фильтр веб-прокси не смог связать свой сокет с 10.2.10.15 порт 80. Это может быть вызвано другой службой, которая уже использует тот же порт, или сетевой платой, которая не работает. Для устранения неполадки перезапустите службу межсетевого экрана Microsoft. Код ошибки, указанный в области данных свойств события, обозначает причину ошибки.
Сбой произошел из-за ошибки: Сделана попытка доступа к сокету методом, запрещенным правами доступа.

Добавлено:
Правило добавил 111 все всем, то есть бегают все кто куда но также сайты не открываются. =(

Вы не ответили на третий вопрос, но... Киска нарисовалась, значит вопрос мб потерял актуальность.
Телепатирую, что сайт открывается отовсюду кроме здесь, у вас.
Киска, она не всегда дружит с чем бы-то ни было, и хавали mail guard её на Exchange...
Киску кто настраивает? You mast answer
Надо, в идеале конечно, что бы она просто анонсировала белые IP на соответствующий интерфейс. А ТМГ их бы просто имел на своих NIC.
Но это идеал. Договориться с цисковиком, каr пуд соли съесть. За скобки его.
Об остальном подумаю и вы подумайте. Если уж взяли ТМГ, то нечего перед ним еще одни препоны стаить, это как два антивируса на одной машине. Всё безопасно, но только не работает. Тупой роутинг требуется и всё. А у вас NAT. При чем Revers. И есть ли там маскарадинг, нет ли его, чисто фантазии.

Конфиги киски, чесслов, не ко мне.
Надо либо тупой роутинг без чтения заголовков пакета IP, кроме как дестинейшн и сорс, либо анонсирование подсети (белой) на интерфейс.
Хватит с неё.

Тут скорее не связано с железякой, она открыта уже.
Вы вообще прокси разрешили?
По 80-му идёте, а может логичнее типа 8080 поставить?

Цитата:

Тут скорее не связано с железякой, она открыта уже.
Вы вообще прокси разрешили?
По 80-му идёте, а может логичнее типа 8080 поставить?

конечно, я и так и сяк долго бьюсь над этой проблемой, пинги проходят по имени и по айпи на внешние адреса по 80 не хотят,

Все нашел в чем проблема, оказывается в влане на циске 2921 забыл прописать две команды для разрешения достапа НАТ к данному Влану который идет к TMG. После этого все забегало и заработало!!! Спасибо всем, за помощь. Проблема была не в TMG!!!

А теперь вопрос прозрачный прокси реализуется на TMG? Или сугобо так:
Ставится клиент TMG у пользователей домена. В груп. политиках указывается прокси и раздается всем пользователям домена.
погуглил наблюдаются проблемы с Оперой
Кто что скажет?

Еще один вопрос: если включаю проверку HTTPS не открывает сайты. если отключаю все норм это что может быть?

cRYSMAS
Забудьте про пинги, и всё. Еще лучше погуглите, как аббревиатура ICMP расшифровывается.
Я задал вам вопросы, вы на них наплевали. Вы же лучше знаете, да?
Так вот, прошу не обижаться, что не помог в вашем вопросе.

PS "Где я не ответил?" гневое, меня не интересует. Вы не ответили, а проблема далеко, очень далеко, не моя.

Может у кого-нибудь завалялся TMG SP2 Rollup 5 (KB2954173).
На Microsoft - недоступен - http://support.microsoft.com/kb/2870877

DaDe
тут

bahtey
Хм......... а вчера не работало. Не ожидал от них, думал закрыли, раз поддержка закончилась.

Вчера весь инет перерыл, ни где не было.
Спасибо.

DaDe
оно и вчера работало. просто это для "all language", и чтобы с иных языковых пакетов (отличных от english) скачать - многие вещи не выкладывают.

bahtey
Спасибо, буду знать.

Добрый вечер!

не запускается служба TMG Firewall статус starting
все другие службы TMG started

выдает ошибку

windows could not stop the microsoft forefront TMG Storage service on local computer

error 1053: the service did not respond to the start or control request in a timely fashion

Делал изменения сменил имя сервера!

Где копать?

artclub

Цитата:

при помощи TMG ни как не могу закрыть доступ teamviewerа
Может кто встречался, кто как сделал поделитесь!

Я создал набор доменных имен и включил в него:
*.dyngate.com
dyngate.com
*.teamviewer.com
teamviewer.com

Потом запрещающее правило для всего трафика на этот набор доменных имен.
Все работает отлично.

P.S. Если надо с каких то компов открыть доступ, раньше размещаем разрешающее правило доступа с компа к данному набору.

Ну и разумеется не забываем, что правила применяются от 1 к большим. Значить правила для teamviewer должны быть раньше того, где вы разрешаете HTTP

artclub

Цитата:

при помощи TMG ни как не могу закрыть доступ teamviewerа
Может кто встречался, кто как сделал поделитесь!

посмотрите на HTTP Signatures (ссылки 1 , 2, 3)
создайте в правиле по которому пользователи получают доступ в интернет следующую сигнатуру