» Isa server 2006 и клиенты SecureNat

Доброго времени суток!

Вводная:
Свежепоставленный Isa Server 2006 на win2003. Работают клиенты WEBProxy, FWC. SecureNAT ни в какую.

Задача: пустить в инет некоторых пользователей как SecureNat.

Отсюда вопрос: какие настройки или правила надо прописать. Пробовал весь исходящий из локалки во внешнюю для всех пользователей. Не работает. Шлюз по умолчанию прописан, внутренний интерфейс "исы". Возникает мысль, что дело в настройках "исы".

Вам сюда
http://forum.ru-board.com/topic.cgi?forum=8&topic=27989#1
Что не работает то?
Приведите ошибки, ipconfig /all c сервера и с клиента
Вывод trcaert и ping ya.ru с клиента и с сервера

Не работает всё ping tracert и т.д. да любое соединение с внешней сетью, например:

ping 81.19.70.3



Это клиент:

Настройка протокола IP для Windows



Имя компьютера . . . . . . . . . : BACKUP

Основной DNS-суффикс . . . . . . : domain.ru

Тип узла. . . . . . . . . . . . . : неизвестный

IP-маршрутизация включена . . . . : нет

WINS-прокси включен . . . . . . . : да

Порядок просмотра суффиксов DNS . : domain.ru



Подключение по локальной сети - Ethernet адаптер:

DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : NVIDIA nForce Networking Controller

Физический адрес. . . . . . . . . : 00-0F-EA-50-96-4A

DHCP включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 192.168.11.222

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз . . . . . . . . . . : 192.168.11.215

DNS-серверы . . . . . . . . . . . : 192.168.11.14



Это сервер:

Настройка протокола IP для Windows



Имя компьютера . . . . . . . . . : mail2

Основной DNS-суффикс . . . . . . : domain.ru

Тип узла. . . . . . . . . . . . . : неизвестный

IP-маршрутизация включена . . . . : да

WINS-прокси включен . . . . . . . : нет

Порядок просмотра суффиксов DNS . : domain.ru



Локалка - Ethernet адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : NVIDIA nForce Networking Controller

Физический адрес. . . . . . . . . : 00-15-F2-05-1F-02

DHCP включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 192.168.11.215

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз . . . . . . . . . . :

DNS-серверы . . . . . . . . . . . : 192.168.11.14



Интернет - Ethernet адаптер:



DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethernet NIC

Физический адрес. . . . . . . . . : 00-E0-4D-05-04-C0

DHCP включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 212.*.*.*

Маска подсети . . . . . . . . . . : 255.255.255.192

Основной шлюз . . . . . . . . . . : 212.*.*.*

NetBIOS через TCP/IP. . . . . . . : отключен

1. Установите SP1 для ISA и SP2 для Windows + последние обновления
2. Создайте единственное правило доступа Разрешить - весь исходящий трафик - внутрненняя - внешняя - все пользователи
Сделайте его самым верхним, щелкните по нему правой кнопкой мыши, отключите требовать строгого RPC и FTP READ
3.Создайте правило разрешить- весь исходящий трафик - внутрення+локальный компьютер - внутренняя + локальный компьютер - Все пользователи (в нем также отрубите контроль RPC)
4. Создайте правило сетей по необходимости - NAT - внутренняя - внешняя + выберите правильный сетевой шаблон (например, пограничный межсетевой экран)
Создайте сетевое правило отношение - маршрут - локальный компьютер - все сети и локальный компьютер
Далее читайте логи доступа + системные сообщения на сервере и на клиенте
P.s. если стоит перенаправление DNS на DNS провайдера - настройки верны

1. Есть
2. Есть, кроме RPC и FTP READ (скоро попробую).
3. Есть, опять кроме RPC.
4. Есть.
Особенно "пугает" то, что в логах доступа ничего нет, относящегося к этому клиенту.
P.s. перенаправление DNS есть.

Добавлено:
RPC и FTP READ - не помогло. Пакеты не то, чтобы не разрешаются каким-то правилом, они не проходят через "ису" вообще.

Ну неужели не в логах ни одного сообщения?
В одном странном случае мнепросто помогло удаление ISA сервера и установка после перезагрузки вновь (но в том случае было неверно указано внутренний и внешний диапозон ip адресов), попробуйте
Какой еще стоит софт на этом сервере?
Фаерволл клиент стоит на клиенте(версии 4,0)?
ping ipisaserver проходит?
зайти на \\isaserver можно? при этом никаких сообщений в логах не появляется?
telnet isaserver 8080 проходит? В настройках ISa включено использование firewall client?
http://www.youtube.com/watch?v=TZ3l6gIOuSA
http://www.youtube.com/watch?v=DYinWI6bDSY&feature=related
Служба Routing and Remoute Acces вырублена?
Тестируйте лучше IE

Из софта больше ничего нет. win2003 и isa.
FWC не стоит. Как раз нужно чтобы без него все работало .
Ping ipisaserver проходит и в этом случае записи в журнале "исы" есть.
Зайти на \\isaserver можно, сообщения есть - протоколы ping и сеанс netbios
telnet isaserver 3128 проходит, использование FWC включено
Служба Routing and Remoute Acces вырублена.
IE не может отобразить страницу. Но надо чтобы работал ping.
Может дело в смене порта 8080 на 3128?

Тогда создайте верхнее правило secure nat clients:
разрешить - весь исходящий трафик - (здесь создаете объекты компьютеры и указывайте их) - внешняя - все пользователи

Есть такое правило, самое первое. Такое ощущение, что nat не работает. А можно ли его каким-то образом отключить? Может его надо включать после установки "исы"?

Сетевые правила созданы, как я писал? (не правила доступа)

ADMINDM

Цитата:

4. Создайте правило сетей по необходимости - NAT - внутренняя - внешняя + выберите правильный сетевой шаблон (например, пограничный межсетевой экран)
Создайте сетевое правило отношение - маршрут - локальный компьютер - все сети и локальный компьютер

Если эти, то созданы.

Может быть на клиентах какое по стоит, препятствующее прохождению трафику. типа антивируса с фаерволом?
tracert 81.19.70.3 где затухает?
Попробуйте еще это
http://support.microsoft.com/kb/948496/
http://www.itcommunity.ru/blogs/sie/archive/2007/10/10/2358.aspx
To enable SecureNAT, in ISA server console expand Server-> Configuration ->
Networks. under Networks tab double click Internal to bring up the Internal Properties, navigate to Web Proxy tab click Authentication under Configure allowed authentication methods, click to check unmark Require all users to authenticate check box & close all windows

стоит касперский антивирус. ping внутри локалки не блокирует.
tracert 81.19.70.3 затухает сразу

Добавлено:

Цитата:

To enable SecureNAT, in ISA server console expand Server-> Configuration ->
Networks. under Networks tab double click Internal to bring up the Internal Properties, navigate to Web Proxy tab click Authentication under Configure allowed authentication methods, click to check unmark Require all users to authenticate check box & close all windows

Нет там "галочки". Видимо и небыло

сложно сказать ... может быть вы случайно не те ип рабоих станций в правило добавляете?
С масками подсетей не напутали?
По ссылке на microsoft пробовали решение?

ну уж нет , не настолько я "тупой". да и не первый год работаю.

Вот что нашел. Интересно...
Получается, либо всем куда угодно, либо без SecureNat. Я правильно понимаю?


Цитата:

Клиенты SecureNAT и аутентификация
Запросы клиентов SecureNAT - это все не связанные с Web запросы в Интернет, поступающие с компьютеров, на которых не установлен клиент брандмауэра. Например, почтовые запросы и запросы новостей считаются сеансами SecureNAT, если на соответствующих клиентских компьютерах нет активного клиента брандмауэра.
Выполняя запрос, клиенты SecureNAT не сообщают ISA-серверу имя пользователя или компьютера. Поэтому при наличии правила политики доступа, предусматривающего аутентификацию, ISA-сервер отвергает все запросы по SecureNAT.
Допустим, политика доступа состоит из правил протоколов и правил узлов и содержимого, разрешающих доступ в любое время ко всем узлам по всем протоколам членам группы Domain Users (Пользователи домена). В этом случае все почтовые запросы пользователя John, выполненные с клиента SecureNAT, блокируются, даже если он является членом группы Domain Users. Причина в том, что клиенты SecureNAT не поддерживают аутентификацию, которую требуют правила политики доступа. Чтобы получить доступ в Интернет по протоколам, отличным от протоколов Web, пользователю John следует установить на своем компьютере клиент брандмауэра.

Цитата:

Создайте единственное правило доступа Разрешить - весь исходящий трафик - внутрненняя - внешняя - все пользователи

Это второйже мой пост, поглядели бы внимательно
Да, securenat не поддерживает аутентификацию, именно поэтому такое правило

ADMINDM

Да, невнимательно прочитал, не обратил внимание на слова единственное правило.