Архив форумов ЦИТФорума

[4e6]

Господа, спасайте, пока у меня крыша не съехала. Есть сетка головного офиса. В ней фунициклирует такая замечательная прога, как Vypress Chat 2.0. Есть 3 удалённых офиса. В которых тоже стоит этот чат. До недавнего времени, когда удалённые клиенты цеплялись по впн организованный штатными средствами вин2003сервер было всё ок: сообщения и файлы туда-сюда летали. Сейчас удалённые клиенты коннектятся с серваком на котором стоит иса2004ентерпрайс, с его встроенной функцией впн-сервера.
Проблема в том, что не работают теперь удалённые чаты. Судя по логам - не пропускает фаервол. Я уже этот фаервол и так и эдак делал - не пускает.
Короче, мне элементарно, не хватает понимания архитектуры иса.
Буду очень признателен тому, кто расскажет мне последовательность действий, которая приведёт к тому, что всё заработает.
Доп. данные: сообщения передаются мультикастом. Мультикаст группа 227.0.0.2. Кол-во проходимых сегментов сети - 7.
_________________

[San_dok]

[Dragner]

[San_dok]

Попробую понять вас без логов
Вначале вам надо правильно активировать VPN
1.Открываете консоль раздела Microsoft Internet Security and Acceleration Server 2004.
-имя сервера-Virtual Private Networks (VPN)
2.Раздел Tasks в верхней части раздела. Активируйте Enable VPN Client Access; - Apply
3.OK в окне Apply New Configuration
4.Клик на Configure VPN Client Access
В разделе General меняете значение Maximum number of VPN clients allowed (типа скока их)
В разделе Groups доб. Groups (кнопкой Add)
В подразделе Select Groups - Locations - вводите имя - OK
В подразделе Select Group - Domain Users в окошке Enter the object names to select.
Проверяем наж. Check Names. Раб. группа должна быть прописана в Active Directory. Как только будут настроены учетные записи пользователей, ISA автоматически пропишет правила доступа для удаленных VPN клиентов - OK.
5.раздел Protocols-галка Enable L2TP/IPSec.ежели надо сертификацию по ISA 2004 firewall/VPN Server,то - L2TP/IPSec.
6.Раздел User Mapping. галки Enable User Mapping и около When username does not contain a domain, use this domain.Туда имя Domain Name. Надо уточнить, что эти настройки применяются только при использовании аутентификации типа RADIUS. Эти настройки будут игнорироваться при использовании Windows authentication.- Apply-OK.В консольном менеджере Microsoft Internet Security and Acceleration Server 2004 должна быть инфа о перезагрузе-OK
7.Раздел Tasks - Select Access Networks
В новом окне Virtual Private Networks (VPN) Properties-Access Networks.Пометка External активирована!!! То бишь внешний интерфейс прослушивает входящие VPN соединения!!! Вот тута и играйте хоть с вашим extranet,хоть c DMZ, раз надо обеспечить VPN-сервисы и для доверенных узлов и сетей;
8.Раздел Address Assignment.В меню Use the following network to obtain DHCP, DNS and WINS services-Internal.Но эта настройка критична, определяется сеть, в которой настраивается доступ с помощью DHCP (если вы идёте по DHCP-server для внутренних интерфейсов). Функции DHCP server не будут распространяться на VPN клиентов до тех пор, пока вы не установите DHCP Relay Agent на компьютер с ISA/VPN Server.Можно ещё установить статический пул адресов VPN клиентов (если пользуете static address pool, не надо применять опцию DHCP для хостов
Ну и чуть о доступе для VPN клиентов
ISA04 может быть настроен после, для обработки входящих VPN соединений после перегрузки. Однако VPN пользователи не смогут иметь доступ на внутренние ресурсы сети,поскольку не были настроены списки доступов! Прежде надо составить списки доступов для удаленных VPN клиентов, чтобы они имели необходимый доступ до ресурсов во внутренней сетке.
1.Управляющую консоль Microsoft Internet Security and Acceleration Server 2004-имя сервера-клик Firewall Policy. Правым кликом на Firewall Policy выбираем New и кликаем на Access Rule-окошко Welcome to the New Access Rule Wizard - имя списка доступа в Access Rule name -Next
На странице Rule Action-Allow-Next
На странице Protocols-All outbound protocols в This rule applies to-Next
Окно Access Rule Sources-Add. Дальше в Add Network Entities клик на папку Networks и дважды на VPN Clients-Close
Next в окошке Access Rule Sources;
окно Access Rule Destinations-Add.В окне Add Network Entities клик на папку Networks и дважды на Internal-Close
окно User Sets - стандартные All Users-Next
Finish в окне Completing the New Access Rule Wizard
Apply для сохранения всего энтово в firewall policy;
OK в Apply New Configuration.
Теперь список правил для VPN клиентов будет рассматривать списки доступа в Access Policy list.
Пользуйте

[4e6]

[quote="San_dok
Скажите пож. А на что он в логах ругается?[/quote]
Тупо не указывая правила (видимо, последнее дефолтное, которое всё запрещает) говорил, что закрыто фаерволом. По шагам выполнил вторую часть совета ниже (по настройке доступа). Строка о запрете фаерволом этого порта в логах больше не появляется. Пока, по крайней мере. Возможно, теперь мне понадобится помощь по настройке ентерпрайс политик Буду дальше разбираться. А то намудрили - политики предприятия, политики фаервола. Вот и туплю.
_________________

[4e6]

[San_dok]

[4e6]

Хорошо. Если я всё правильно понял, при помощи созданного правила фаервола мы позволили впн клиентам делать всё, что не запрещает ентерпрайс-политика.
Теперь можно на примере - как добавить ентерпрайс политику, разрешающую, возьмём из нашего случая: порт 8167 TCP/UDP в обоих направлениях; но чтобы эта политика не затрагивала остальные порты/протоколы?
_________________

[Dragner]

[quote="4e6] Да нет никакой оптики. Тупо - ДСЛ. Просто кол-во сегментов - такое стоит дефолтное в вайпресе, и я точно знаю, что оно у меня с таким значением работало. [/quote]
Пля, ничего не понимаю, работал с сетью из 6 сегментов, так она падала каждый день, пока до ума не довели, и не спроэктировали новую сеть (старую делали "спецы" самой организации)

[San_dok]

Для политики надобно настроить фильтры. Фильтры создаются в ветке Access Poliсy-IP Packet Filters.
Закладка General - задать имя фильтра и признак дествительности (включен/выключен)
Закладка Filter Type предназначена для определения конкретного протокола, порта и т.д.
1.Custom Признак ручного описание фильтра
2.IP protocol Указываем конкретный протокол
3.Protocol number Номер протокола. Доступен в случае, если IP protocol other
4.Direction Указывает на тип связи (входящий запрос, исходящий запрос, двунаправленый запрос)
5.Local port Тип клиентского порта (все порты, динамический порт, фиксированый порт)
6.Local port number Номер клиентского порта - активный только в случае, если Local port - Fixed port
7.Remote port Тип порта на удаленной машине (все порты, динамический порт, фиксированый порт)
8.Remote port number Номер порта на удаленной машине
Закладка Local Computer позволяет выбрать, на что именно будет применен этот фильтр(для локальных компьютеров) : На любые локальные адреса, талько на указаный адрес, на указаный компьютер из локальной сети, на диапазон компьютеров локальной сети.
Закладка Remote Computers определяет, с какими внешними компьютерами будет работать фильтр: Все удаленные компьютеры, определенный, или из диапазона.
А для настройки правил потом захОдите в ветку Access Poliсy-Protocol Rules
и играетесь тама. Всего тама просто жуть Но сложностей надеюсь после правильной настройки фильтров не станет.
Пользуйте

[4e6]

[San_dok]

У вас выходит "доминант" 2-й протокол. Для протокола TCP направление трафика задает направление первоначальной передачи, а для протокола UDP — направление потока данных. если вы делаете правило протоколов, разрешающее внутренним клиентам инициировать передачу данных по протоколу TCP через порт *, и указали направление Outbound, тогда сервер, с которым взаимодействует клиент, сможет ответить на запрос клиента, но не в состоянии инициировать передачу данных.
Есть отличный англицкий хелп. Ежели хотите, кидайте в личку мыло.