none
ISA Server 2006 EE outbound PPTP connections DENIED RRS feed

  • Вопрос

  •  

    Добрый день.

     

    Создал разрешающее правило руководствуясь статьей http://support.microsoft.com/kb/838245/en-us?spid=2108&sid=global, но дело в том что оно не работает.

     

    Посмотрев логи увидел, что подходящее правило находится, но в PPTP VPN соединении отказано

    WSA_RWS_ERROR_ACCESS_DENIED, затем запустил telnet external_vpn_pptp_server 1723, соединение установилось (ERROR_SUCCESS) согласно созданному правилу.

    Т.е. соединение неуспешно при попытке подключения через соединение созданное в "Network and Dialup Connections", но tcp сессию удается установить через telnet. Может быть я где-то что-то забыл ?

     

    Окружение:

    Windows Server 2003 Standard Edition R2

    ISA Server 2006 EE + Supportability update.

    Microsoft firewall client for ISA Server version 4.0

     

     

    27 сентября 2007 г. 10:28

Ответы

Все ответы

  •  

    К сожалению статья опускает важный момент: клиент должен быть SecureNAT. (Посмотрите разъяснение тут http://support.microsoft.com/kb/923836)
    27 сентября 2007 г. 10:56
    Модератор
  •  

    В ISA Server 2000 все работало нормально, а в ISA Server 2006 нет.

    Очень обидно

     

    27 сентября 2007 г. 12:15
  •  

    BTW, пункт 10 статьи 838245 в явном виде описывает доступ для объектов типа "User"

     

    To permit only certain users to access the remote VPN server:

    a. Click All Users, and then click Remove.
    b. Click Add, and then click New.
    c. Follow the steps in the New User Set Wizard to create a user set that contains the users who you want to permit access to the VPN server.
    d. In the Add Users dialog box, click the user set that you want to permit access to the VPN server, click Add, click Close, and then click Next.

    27 сентября 2007 г. 12:22
  • И что? К чему вы привели эту цитату?

    28 сентября 2007 г. 10:28
    Модератор
  • Присоединяюсь к вопросу.
    Проблема в том, что несмотря на то что на клиенте стоит файрвол клиент (самой последней версии) трафик PPTP идет не авторизованный с пустыми Client Agent и Client Username. По этой причине, разумеется, не пропускается в инет, так как неавторизованный трафик запрещен.
    Приведенная статья проблему не решает. ИМХО, так, как написано, не работает и главное, работать не должно. Выпускать неавторизовывая не хочется (даже и с фильтром по IP и т.п. пританцовками с бубном).
    Я так понимаю что проблема в процессе, который инициирует соединение. То есть для него ИСА файрвол клиент применяет настройку Disable=1
    TCPView от Sysinternals показывает, что VPN-соединение при использование стандартного PPTP клиента в WinXP (в Сетевых подключениях и т.п.) инициируется процессом System.
    Лично я решения проблемы вижу только в неавторизованном выпуске PPTP наружу (то есть указание All users).
    22 ноября 2007 г. 8:58
  •  

    Почему не должно? Должно работать. Пропуск трафика обеспечивает PPTP Fiter. Он включен? В правиле стоит?
    23 ноября 2007 г. 3:31
    Модератор
  • Да написано же в статье, что клиент ISA работает только с TCP и UDP трафиком. А PPTP использует GRE, поэтому и не передается информация о пользователе. Отсюда и проблема с правилом. Вы статью, на которую вам sie ссылку дал, прочитали? А то изобретаете велосипед. Нехорошо Sad

     

    23 ноября 2007 г. 5:59
  • Возникло взаимонепонимание Smile

    Я несколько не точно выразился и надо признать не внимательно прочитал статью. Хотя суть от этого не меняется:

     

    Из статьи и из моего опыта вытекает неутешительный вывод ISA не может авторизовывать исходящий PPTP трафик, то есть в логах не будет информации какой пользователь его (трафик PPTP) утилизировал.

    Разумеется, по этому нельзя регламентировать использование PPTP на основании логинов.

    Плохо Sad

     

    6 декабря 2007 г. 0:51
  •  

    Думаю такую информацию можно получить используя средства третих фирм, например Internet Access Monitor или GFI Monitor.
    6 декабря 2007 г. 4:03
  •  Kirill Vereschagin написано:

    Возникло взаимонепонимание

    Я несколько не точно выразился и надо признать не внимательно прочитал статью. Хотя суть от этого не меняется:

     

    Из статьи и из моего опыта вытекает неутешительный вывод ISA не может авторизовывать исходящий PPTP трафик, то есть в логах не будет информации какой пользователь его (трафик PPTP) утилизировал.

    Разумеется, по этому нельзя регламентировать использование PPTP на основании логинов.

    Плохо

     

     

     

    Возможно вы смотрите не те строки в логе.

    Цитата: PPTP client must use TCP (IP protocol 17) on port 1723 and the GRE (IP protocol 47) protocol

     

    Это означает, что для пакетов на порт 1723 должна работать аутентификация.

     

    Есть статья по этому вопросу http://support.microsoft.com/kb/838245 (см. п. 10)

     

    6 декабря 2007 г. 4:55
    Модератор
  •  

    на самом деле то что написано в статье не сработает в случае fwc. все равно gre придется разрешать анонимно

     

    а если подумать то иса может аутенфицировать любой трафик, вопрос просто выбора клиента и у каждого клиента есть свои ограничения. например через vpn клиента можно аутенфицировать и ip level и icmp ...

    6 декабря 2007 г. 11:34
    Отвечающий
  •  Dmitriy Nikitin написано:

     

    на самом деле то что написано в статье не сработает в случае fwc. все равно gre придется разрешать анонимно

     

     

    Вторичные соединения разрешает application filter, в данном случае PPTP фильтр, а не отдельные правила.

    7 декабря 2007 г. 7:29
    Модератор