none
SSTP klient a proxy autentifikace

    Dotaz

  • Ahoj, předně se omlouvám za ne zcela přesné umístění dotazu, ale jinde (Bezpečnost? Windows 7?) to nebude lepší. A nyní k dotazu.

    V doméně AAA jsem nainstaloval server RRAS s protokolem SSTP, bez problémů se do sítě dostanu. Problém ale vzniká při připojení z jedné konkrétní sítě, která je za ISA Serverem vyžadujícím autentifikaci. A aby to nebylo málo složité, počítače a účty, kterými se potřebujeme připojovat, jsou v doméně BBB. Dále existuje doména CCC, ve které jsou stejné účty, jako v BBB. A právě účty z domény CCC se ověřujeme na proxy  (bbb\user1 se overuje jako ccc\user1, bbb\user2 se overuje jako ccc\user2).

    Zde na TechNetu (http://technet.microsoft.com/en-us/library/dd349022(WS.10).aspx) jsem našel, že SSTP nepodporuje ověření na proxy ("The initial Secure Socket Tunneling Protocol request could not be successfully sent to the server. This can be due to the presence of a web proxy between the client and the server requiring authentication. Proxy authentication is not supported by this version of SSTP."). Přesto, než definitivně řeknu, že to nejde, bych se chtěl zeptat, jestli nemáte někdo nějaký tip, jak to zprovoznit.

    Předem dík za případné reakce.

    Z.K.

    pondělí 12. července 2010 7:38

Odpovědi

  • Konkretni proxy neporadim (vets. pouzivam squid ale to je kanon na vrabce). Asi bych zacal Fiddlerem, ten IMHO umi upstream proxy a to snad vc. autentikace ....  a dalsi veci a hlavne je urcen k ladeni coz je to co potrebujes.

    MP

    pondělí 12. července 2010 8:20
    Vlastník

Všechny reakce

  • Nebylo by nejjednodussi vytvorit na ISA serveru vyjimku?

    MP

    • Označen jako odpověď Kodrla Zdenek pondělí 12. července 2010 7:50
    • Zrušeno označení jako odpověď Kodrla Zdenek pondělí 12. července 2010 7:50
    pondělí 12. července 2010 7:43
    Vlastník
  • Bylo, bohužel, jsme dceřinka a matka se k nám chová trochu macešsky. ISA je jejich, takže to neprojde (mám v čerstvé paměti půlroční diskuse o publikování Exchange serveru, ale tam chtěl synchronizaci mailů i generákní ředitel, tak to nakonec prošlo).

    Sorry za označení, byl to úklep. Ne, že bych ti ji nepřál, ale... :)

    pondělí 12. července 2010 7:54
  • :)
    Takze misto standardniho 5minutoveho reseni je treba pul roku bombardovat it z matky nebo hledat workaround .... treba lokalni proxy ktere za tebe udela autentikaci, jiny typo VPN (projde ti PPTP nebo L2TP)....?

    MP

     

    pondělí 12. července 2010 7:57
    Vlastník
  • Přesně tak. Co by normálně nebyl problém, my musíme pracně vybojovat. SSTP jsem volil právě z toho důvodu, že na FW je téměř vše blokované a "běžné" VPN neprojdou. O nemožnosti autentifikace jsem při plánování bohužel nevěděl.

    Dotazem jsem doufal např. v nějakou aktualizaci, novou verzi atp. Na lokální proxy se zkusím podívat, dobrý nápad. Když už otravuju, nemáš tip na nějakou konkrétní?

    • Upravený Kodrla Zdenek pondělí 12. července 2010 8:11 gramatika
    pondělí 12. července 2010 8:10
  • Konkretni proxy neporadim (vets. pouzivam squid ale to je kanon na vrabce). Asi bych zacal Fiddlerem, ten IMHO umi upstream proxy a to snad vc. autentikace ....  a dalsi veci a hlavne je urcen k ladeni coz je to co potrebujes.

    MP

    pondělí 12. července 2010 8:20
    Vlastník
  • Díky za tip, budu zkoušet a snad se nějak chytnu. Snad nezapomenu oznámit výsledek.
    pondělí 12. července 2010 8:36