emx Moderator Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Предыдущие части этой темы: 1 + 2 + 3 Microsoft Internet Security & Acceleration Server - сайт производителя - необходимо посетить, начиная работу с ISA Server IsaDocs.Ru - переведенные статьи с IsaServer.Ru - форумы, статьи, решения ISA на iXBT - Хобот, наш конкурент Коллекция ссылок на статьи   Варез Miсrosoft Forefront TMG (ISA)   Назначение и применение сабжа.. Продолжение шапки.. НАСТОЯТЕЛЬНАЯ ПРОСЬБА ВСЕМ КТО ПОСТИТ В ЭТОМ ТОПИКЕ - ЕСЛИ ВЫ РЕШИЛИ ПРОБЛЕМУ САМИ ИЛИ С ПОМОЩЬЮ, УБЕДИТЕЛЬНО ПРОСИМ ВАС ПОДЕЛИТСЯ РЕШЕНИЕМ ВАШЕЙ ПРОБЛЕМЫ - ЖЕЛАТЕЛЬНО РАЗВЁРНУТО И С ОБЬЯСНЕНИЯМИ, В ДАЛЬНЕЙШЕМ ЭТО ПОМОЖЕТ ДРУГИМ ЛЮДЯМ, СТОЛКНУВШИМСЯ С ТЕМИ ЖЕ ПРОБЛЕМАМИ. // текущий бэкап шапки.. Всего записей: 11826 | Зарегистр. 05-06-2002 | Отправлено: 10:54 13-07-2008 | Исправлено: Paromshick, 11:25 30-01-2016

ArgonOL Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору На vpn клиентах (сеть 107) должны быть маршруты в сеть 106, из сети 106 должны быть маршруты в сеть 107 через TMG. Всего записей: 414 | Зарегистр. 16-02-2004 | Отправлено: 02:13 17-12-2010

StarLancer Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Я правильно понял: 1. на TGM надо прописать: route add 192.168.107.0 MASK 255.255.255.0 192.168.106.1 2. на VPN-клиенте прописать: route add 192.168.106.0 MASK 255.255.255.0 192.168.107.1 Всего записей: 245 | Зарегистр. 29-11-2006 | Отправлено: 20:40 17-12-2010

raizo Junior Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору StarLancer в роуты на ТМГ лезть просто глупо, они прописываются автомат в зависимости от настроек, а вот от ручной правки наоборот косяков больше можно отхватить смотри логи на ТМГ по трафику от vpn-клиентов и крути правила доступа между подсетями   Цитата: Если выдавать ардеса из внутренней сетки, то более менее работает DSN.   пул адресов для ВПН-клиентов не может перекрывать адреса, входящие во внутреннюю подсеть!! Всего записей: 117 | Зарегистр. 09-03-2006 | Отправлено: 16:09 18-12-2010 | Исправлено: raizo, 16:17 18-12-2010

StarLancer Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: пул адресов для ВПН-клиентов не может перекрывать адреса, входящие во внутреннюю подсеть!!   Про это я в вкурсе, просто пока другим способом заставить правильно ДНС и доступ к внутреним ресурсам сети не получается.   Если выносить в отдельную сеть (что как сказано по определнию правильно), то не работает маршрутизация и ДНС. Что я делаю: 1. На ТГМ два сетевых интерфейса WAN и LAN (192.168.106.1-192.168.106.255) 2. Указываю для ВПН-клиентов выдачу адресов из статического диапозона 192.168.107.1-192.168.107.255), протокол L2TP (впринцие пофигу должен быть какой протокол, хоть PPTP)   Указываю правило в котором ВПН-клиента по всем протоколам разрешен доступ во внутренную сеть. В ТГМ по умолчанию стоит маршрутизация между ВПН и внутренней сети (что тоже правильно)   3. Подлкючаюсь по ВПН к серверу, предварительно в настройка ВПН-клинета указав следующее:  - Снял галочку использовать удаленный шлюз (обязательное требование при подлкючении по ВПН)  - Прописал ДНС-суфикс   4. ВПН-клинет получает следующие настройки:  - Адрес 192.168.107.6 -  Маска 255.255.255.255 <- меня смущает, так и должно быть?????  - шлюз отсутсвует  - ДНС-суфик прописан  - ДНС 192.168.106.6 <- внутренний сети   6. Добавляю маршрут в ручную  - route add 192.168.106.0 MASK 255.255.255.0 192.168.107.1     ДНС начинает разрешать по ИП-адресу, но не по имени. (В чем косяк?)   Пинги проходят не на все компы, т.е. один нормально пигуются, а другие вообще нет.   При подключении, к компу в логах такая хрень   Failed Connection Attempt SRV-GEOPROXY 12/18/2010 10:42:33 PM   Log type: Firewall service   Status: A socket operation was attempted to an unreachable network.   Rule: VPN-to-LAN(1)   Source: VPN Clients (192.168.107.6:1472)   Destination: Internal (192.168.106.9:445)   Protocol: Microsoft CIFS (TCP)   Всего записей: 245 | Зарегистр. 29-11-2006 | Отправлено: 22:46 18-12-2010

ArgonOL Full Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору raizo Цитата: пул адресов для ВПН-клиентов не может перекрывать адреса, входящие во внутреннюю подсеть!! Почему не может? И чем это плохо? Вполне стандартное и поддерживаемое поведение для винды. Всего записей: 414 | Зарегистр. 16-02-2004 | Отправлено: 13:41 19-12-2010

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору StarLancer Цитата: 4. ВПН-клинет получает следующие настройки:    - Адрес 192.168.107.6   -  Маска 255.255.255.255 <- меня смущает, так и должно быть?????   все верно, по впн клиенты именно такой адрес и маску получают.   тут нет ничего необычного, когда клиент получает адрес не из внутренней сети то он банально не знает как попасть во внутреннюю сеть, ему нужен маршрут, причем более правильно писать маршрут через полученный ип (то есть шлюзом указывать 192.168.107.6) а не через tmg, потому что маска у впн интерфейса 32я. к сожалению rras не умеет выдавать статических маршрутов клиентам, поэтому либо выдавать впн клиентам адреса из внутренней сети (пул действительно не может перекрываться, но никто не мешает исключать пул впнклиентов из интернал), либо каким то образом писать маршрут на клиенте(руками, скриптами, через cmak) на tmg роутинг не надо трогать - он то все маршруты нужные знает Цитата: ДНС начинает разрешать по ИП-адресу, но не по имени это фразы я вообще не понял Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 21:20 21-12-2010

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору RomaVologda а теперь неплохо было бы написать тоже самое только попонятнее Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 16:29 23-12-2010

StarLancer Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Цитата:ДНС начинает разрешать по ИП-адресу, но не по имени     это фразы я вообще не понял   Иммел ввиду, что запускаю nslookup ввожу ИП-адрес из внутренней сети, имя разрешается, а обратно по имени нет.. Потом решил указать полное доменное имся в месте с суффиксом, он успешно разрешилось.   В настройках ВПН-клиента, днс-суфикс указан, но судя повсему его не подхватил Всего записей: 245 | Зарегистр. 29-11-2006 | Отправлено: 16:40 23-12-2010

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору StarLancer Цитата: В настройках ВПН-клиента, днс-суфикс указан, но судя повсему его не подхватил суффикс подключения? а в настройках указано использовать примари и суффикс подключения? а то бывает стоит радио батон на использовании конкретного списка суффиксов. Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 11:17 24-12-2010

AQAQ Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору C Новым Годом всех, друзья! помогите с задачкой- надо асю подзапретить правило налепил по аналогии с блеклистом нехороших сайтов- а оно не воркает. Шо ему не так? http://s2.ipicture.ru/uploads/20110104/5a6T2ig7.jpg   Добавлено: покурил http://www.isaserver.org/tutorials/How_to_Block_Dangerous_Instant_Messengers_Using_ISA_Server.html но у меня 2006 иса, без клиентов файерволла.   Добавлено: Сам с собой разговариваю покурил еще тут http://support.microsoft.com/kb/925120/en-us сделал по первому методу, написал названия в заголовках  qip icq aol magent Посмотрим, поможет ли? Буржуйскими MSN ами наши бабушки не пользуюца Всего записей: 790 | Зарегистр. 16-01-2005 | Отправлено: 19:06 07-01-2011 | Исправлено: AQAQ, 20:41 07-01-2011

SergeyMark Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору AQAQ Цитата: надо асю подзапретить   правило налепил по аналогии с блеклистом нехороших сайтов- а оно не воркает.   Шо ему не так?   http://s2.ipicture.ru/uploads/20110104/5a6T2ig7.jpg Так вроде если "асю" не разрешить, то она и не будет работать, и правило на запрет не понадобится? Всего записей: 1336 | Зарегистр. 29-09-2004 | Отправлено: 08:08 10-01-2011

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору SergeyMark если разрешен весь или почти весь инет по http/https то ася может запросто через 443 работать   AQAQ Цитата: Шо ему не так?   http://s2.ipicture.ru/uploads/20110104/5a6T2ig7.jpg   если аська проходит то смотри логи по какому правилу, у тебя там правило аж 22м значит выше есть другие. универсальных методов нет. можно закрыть все аол диапазоны, и обычные клиенты у бестолковых юзерей работать перестанут, но более продвинутые начнут ходить через левые серваки, которые тоже можно закрыть. еще можно усложнить жизнь заставив пользователей аутенфицироваться, если нет fwc то они вынуждены будут настраивать аську на прокси - не всякий клиент умеет интегрированную аутенфикацию на прокси, и даже если умеет то он светит юзер агента которого можно запретить по сигнатурам. правда в некоторых клиентах юзерагента тоже можно подменить Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 19:30 10-01-2011

DmitryV Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Подскажите как реализовать: Есть сервер терминальный и с постоянным внешний IP шлюз на ISA 2006 с опубликованным терминалом наружу. необходимо запретить всем к нему доступ кроме необходимых компьютеров, проблема в том что у клиентов динамически назначаемый IP, подскажите как лучше реализовать безопасность в данном случае, спасибо. Всего записей: 1254 | Зарегистр. 12-01-2003 | Отправлено: 15:40 11-01-2011 | Исправлено: DmitryV, 20:22 11-01-2011

123Maximus123 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору DmitryV зарегать клиентов с динамическими ip на dyndns.com или тому подобных сервисов (поставить им клиентов) на иса сервере создать правило публикации в котором указать список хостов которым разрешено подключение. Всего записей: 247 | Зарегистр. 21-03-2006 | Отправлено: 19:06 11-01-2011

DmitryV Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору 123Maximus123 Спасибо, но хотелось бы без динамической регистрации. домена нет. Вопрос возможно ли поднять VPN при раскладе 1 фиксированный IP (сервер) и динамика клиенты на фиксированном ISA на динамике возможен роутер с поддержкой VPN/? спасибо за консультацию если не сложно подробнее. Всего записей: 1254 | Зарегистр. 12-01-2003 | Отправлено: 20:19 11-01-2011 | Исправлено: DmitryV, 20:22 11-01-2011

123Maximus123 Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору DmitryV Цитата: Спасибо, но хотелось бы без динамической регистрации. домена нет без сервисов подобных dyndns как бы сложновато и это самый простой способ, про  домен я правильно понел что сам сервер isa находиться вне домена active directory. да это и не существенно (как бы). про VPN да безусловно дело пары минут, статей и пошаговых инструкций по гугли Настройка VPN сервера в ISA Server 2004 Включение доступа для удаленных VPN-клиентов Настройка удаленного VPN-доступа в ISA Server 2006   От себя добавлю не секъюрно это все с vpn,  пускать в сеть левых клиентов (Вы им доверяете? а мож они рассадники троянцев и прочей нечести). Да конечно много всяких "НО" и сделать можно правильно как в книжках пишут секъюрно. В вашем случае смотрите в сторону терминалов так проще.... тем более сейчас 2008 позволяет сделать RDP over HTTPS, и головняки пропадают сами собой что гдето там в Урюпинске в местном хотеле Вашему Биг Боссу оставили  только два протокола http и https. Всего записей: 247 | Зарегистр. 21-03-2006 | Отправлено: 21:58 11-01-2011

hardhearted Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору DmitryV 123Maximus123 Цитата: без сервисов подобных dyndns как бы сложновато и это самый простой способ с dyndns ничего не выйдет, когда речь идет об адресе источника там нельзя указывать dns имена Цитата: не секъюрно это все с vpn как раз впн гораздо секьюрнее чем публикация rdp голышом. а рассадники легко отрезаются - впн клиентам трафик надо ограничивать также как и остальным - оставить например только dns и rdp и все. использовать rdg (tsg) тоже можно, но для этого сервер терминалов должен быть минимум 2008, в настройке это сложнее, могут возникнуть проблемы с сертификатами или с секуритипровайдерами у старых клиентов а для чего вообще так ограничивать то?   Добавлено: mordmord телепаты вымерли как динозавры - что такое "правило http"? Всего записей: 1272 | Зарегистр. 23-10-2004 | Отправлено: 12:38 12-01-2011

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Microsoft ISA Server 2006/2004/2000 & TMG/UAG (Часть 4)

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование