hardhearted
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
давно я уже тут ничего не спрашивал и не искал решения проблемы, но вот ...
предыстория. у меня несколько офисов, соединены меж собой по впн, но не через иса а через внешние роутеры, то есть для исы каждого офиса, все остальные офисы находятся в external. на всех исах все остальные офисы вписаны как subnet (чтобы рулить доступами между офисами) и на каждой исе есть правило разрешающее все протоколы между офисами всем юзерам, ну и конечно же несмотря на то что между internal и external стоит NAT, есть отдельное правило между internal и сабнетами других офисов Route. короче обычная схема когда впн поднят не на исе. все работало кроме http между офисами. в то время была еще isa 2004 sp1, немного покопавшись я нашел причину проблем с http: исы других офисов не пускали трафик с внешних ип, даже если этот внешний ип принадлежал другой исе, а иса посылала http запрос в другие офисы от своего внешнего ип, то есть проксировала, а проксировала из-за трех фич:
1. браузер слал трафик на прокси, то есть в браузеры надо было вписать правильные исключения
2. если стоит fwc то от него http трафик иса опять же проксировала
3. собственно по умолчанию иса любой трафик проксировала, в этом повинен web proxy filter висящий на http протоколе.
решение было простым
1. чтобы не вписывать все сайты в исключения я просто напросто настраивал браузеры через скрипт автоконфига (который генерит по настройкам сама иса), куда просто вписал все сетки офисов. это сработало даже если юзер набирал имя, полное имя(fqdn) или ип (кстати если руками вписать в браузер сетки без имен сайтов то по имени исключение не сработало бы). Можно было скриптом вписать весь домен, но у нас есть внешние сайты с нашим доменным именем и тогда проблемы бы начались с ними.
2. тем у кого стоит fwc тупо вписал в locallat.txt те же сетки офисов, чтобы fwc в эти сетки не хватал трафик
3. создал протокол transparent http (думаю все знают что это такое, а те кто до сих пор не в курсе, это обычный http только без web filter), и исключил обычный http из правила трафика между офисами.
и все стало нормально, http между офисами тупо шел напрямую без проксирования и какой либо подмены адресов
что же я обнаружил недавно, поставив ису 2006 (это же чуть позже нашел в другом офисе где установили sp2 на 2004 ису) и сделав абсолютно те же настройки
пишу в браузере полное имя (fqdn) внутреннего сайта (то есть вообще в своем офисе), например site1.domain.ru и получаю ответ 502 от исы, хотя этот трафик на ису попадать не должен был, то есть почему то исключения в браузере по адресам перестали работать (как это связано с исой я так и не понял, видимо тот скрипт автоконфига который она теперь генерит уже другой), по неполному имени, то есть http://site1, работает, попадает под галку в настройках про локальные адреса (браузер считает локальными адреса без суффиксов, то есть неполные), это я исправил включив в скрипт весь домен с поддоменами, причем в отличие от 2004 sp1 проблем с внешними сайтами не появилось.
но наткнулся на другую проблему, между офисами http перестал ходить напрочь. и по ип, и по неполному имени и по полному, все как и раньше по логам идет по transparent http, но потом почему то иса начинает стучаться опять от своего внешнего ип, заведомо видно что браузер посылает не на прокси а напрямую, и отвечает не иса прокси (ее страничку с ошибкой всегда узнаешь по специфичной раскраске) а отвечает именно файрвол и отвечает просто таймаут, что понятно, если она лезет от внешнего ип то ее просто не пустят туда. вот что стало в логах (клиент 192.168.0.15, иса внутренний 192.168.0.1, внешний 10.0.0.2, веб сервер в другом офисе 192.168.1.7)
Original Client IP Service Transport HTTP Status Code Error Information Log Time Destination IP Destination Port Protocol Action Rule Client IP Client Username Source Network Destination Network URL
192.168.0.15 TCP 0x0 15.06.2007 18:06 192.168.1.7 80 Transparent HTTP Initiated Connection Between Offices 192.168.0.15 Internal External -
10.0.0.2 TCP 0x0 15.06.2007 18:06 192.168.1.7 80 Transparent HTTP Initiated Connection 10.0.0.2 Local Host External -
10.0.0.2 TCP 0x0 15.06.2007 18:06 192.168.1.7 80 Transparent HTTP Closed Connection 10.0.0.2 Local Host External -
10.0.0.2 TCP 0x0 15.06.2007 18:06 192.168.1.7 80 Transparent HTTP Initiated Connection 10.0.0.2 Local Host External -
10.0.0.2 TCP 0x0 15.06.2007 18:07 192.168.1.7 80 Transparent HTTP Closed Connection 10.0.0.2 Local Host External -
10.0.0.2 TCP 0x0 15.06.2007 18:07 192.168.1.7 80 Transparent HTTP Initiated Connection 10.0.0.2 Local Host External -
0.0.0.0 Proxy TCP 10060 0x40 15.06.2007 18:07 192.168.1.7 80 http Failed Connection Attempt Common Web 192.168.0.15 anonymous Internal External http://192.168.1.7/
10.0.0.2 TCP 0x0 15.06.2007 18:07 192.168.1.7 80 Transparent HTTP Closed Connection 10.0.0.2 Local Host External -
10.0.0.2 TCP 0x0 15.06.2007 18:07 192.168.1.7 80 Transparent HTTP Initiated Connection 10.0.0.2 Local Host External -
10.0.0.2 TCP 0x0 15.06.2007 18:07 192.168.1.7 80 Transparent HTTP Closed Connection 10.0.0.2 Local Host External -
10.0.0.2 TCP 0x0 15.06.2007 18:07 192.168.1.7 80 Transparent HTTP Initiated Connection 10.0.0.2 Local Host External -
10.0.0.2 TCP 0x0 15.06.2007 18:08 192.168.1.7 80 Transparent HTTP Closed Connection 10.0.0.2 Local Host External -
10.0.0.2 TCP 0x0 15.06.2007 18:08 192.168.1.7 80 Transparent HTTP Initiated Connection 10.0.0.2 Local Host External -
0.0.0.0 Proxy TCP 10060 0xc0 15.06.2007 18:08 192.168.1.7 80 http Failed Connection Attempt Common Web 192.168.0.15 anonymous Internal External http://192.168.1.7/favicon.ico
10.0.0.2 TCP 0x0 15.06.2007 18:08 192.168.1.7 80 Transparent HTTP Closed Connection 10.0.0.2 Local Host External -
192.168.0.15 TCP 0x0 15.06.2007 18:08 192.168.1.7 80 Transparent HTTP Closed Connection Between Offices 192.168.0.15 Internal External -
тут уже все видно, при нормальном обращении, то есть как было раньше до sp2, всего кроме первой и последней строки быть не должно, то есть должны быть нормальные коннекты с 0.15 на 1.7 по правилу Between Offices, и никаких коннектов с localhost.
щас ищу на офсайте и блогах шиндлера что нить вразумительное. сдается мне что мелкомягкие что то подправили в своей transparent proxy и она теперь проксирует независимо от web фильтра, и такое ее поведение меня как то не радует.
|
