none
Маршрутизация в isa 2006 (несколько подсетей). RRS feed

  • Общие обсуждения

  • читал форумы. ничего похожего на мою проблему с виду не нашел.

    итак имеем isa 2006 с кучей сетевых адаптеров смотрящих в разные подсети.

    имеем , допустим, 5 подсетей 192.168.1.x - 192.168.5.x

    собственно что надо сделать - необходима маршрутизация между данными подсетями по средствам isa.

    ибо она из под сетей является , опять же - допустим, сетью со всеми серверами и т.д. все остальные между собой так же должны общаться.

    вопрос - КАК?

    если ставим шлюзом isa и пытаемся стукнуться в соседнюю подсеть то получаем в isa log -

     

    Отклоненное соединение ISA 1/11/2008 8:30:36 PM
    Тип журнала: Служба межсетевого экрана
    Состояние:
    Правило:
    Источник: Внутренняя (192.168.1.104:1399)
    Назначение: Внутренняя (pdc.domain.local 192.168.2.15:445)
    Протокол: Microsoft CIFS (TCP)
    Пользователь:
    Дополнительные сведения
    • Передано байтов: 0 Получено байтов: 0
    • Время обработки: 0ms Исходный IP-адрес клиента: 192.168.1.104
    • Агент клиента:

    естественно это только один из запретов.

    попробовал правилами прописывать разрешения между подсетями , указывая в протоколах - весь исходящий трафик - не помогает. ткните носом в мануал какой нить чтоли по этому поводу. а то как то ничего не понимаю..

    в подсетях - естественно прописаны все сети как положено. и правило , с виду , тоже нормальное и адекватное.
    17 января 2008 г. 7:36

Все ответы

  • Конфигурация-Сети-Сетевые правила. Там должна быть разрешена маршрутизация между сетями.

    P.S. Если в логе файервола не указано по какому правилу он блокирует, то обычно что то не так с маршрутизацией.

    17 января 2008 г. 11:55
  • это естественно сделано.

    с виду все правильно. так как данные правила ( по описанию - двухсторонние) то и правило одно ( для теста)  между двумя подсетями - не пашет.

    насчет того что если в логах пусто то правила не отрабатывают я в курсе. я даже пытался сделать правила спецем для определенных протоколов. правило показывается но при этом все равно - неудача.

    17 января 2008 г. 12:56
  •  

    "насчет того что если в логах пусто то правила не отрабатывают я в курсе". Я другое имел в виду. В логах, которые показывают, что трафик между сетями запрещается, указано по какому правилу это происходит? Если в этом поле пусто, то ошибка скорее всего именно в маршрутизации
    17 января 2008 г. 13:30
  • Не очень понятно зачем так много сетей. Выделение серверов в отдельную подсеть и подключение к отдельному адаптеру это понятно (см. шаблоны DMZ, perimeter network...). А вот остальные сети на разные адаптеры сажать? Почему не L2-L3 сегментация на сетевом оборудовании? ведь правила в ISA можно по группам компьютеров создать...
    Для вашей ситуации нужно проверить (все пункты должны быть в порядке):
    1. Корректность сетей определенных в ISA (вы добавили дополнительные сетевые карты после установки ISA?) - все сети должны быть корректно определены и представлены соответствующими объектами.
    2. Настройка сетевых правил (NAT или Routing взависимости от потребностей и адресации в ваших сетях)
    3. Настройка правил доступа (для пробы разрешите все и всем).
    4. Корректная настройка клиентских машин в качестве ISA клиентов.
    Статья по данной теме для ISA 2004 (применима к 2006) - http://www.microsoft.com/technet/isa/2004/plan/internalclientaccess.mspx

    По идее все должно в итоге работать. Хотя если вы говорите что у вас точно все правильно и везде настроено...
    17 января 2008 г. 13:32
  • Коичество подсетей определяется географическим расположением групп компьютеров ( разные здания, помещения,города). проще определить все именно так.

    1.все сети прописаны. установка isa происходжила на уже настроенный сервер ( со всеми подсетями). далее , все естественно проверялось и правилось (в случае некоретных данных)

    2.в качестве теста использовались только две подсети ( одна пользовательская и вторая dmz с серверами) в сетевом правиле указано - routing ( nat там не к чему - это внутренние сети)

    3.в политиках межсетевого экрана создано правило - весьисходящий трафик из одной подсети в другую. всем пользователям.

    4.на серверах , естественно, клиента isa не стоит. на клиентских машинах стоит клиент межсетевого экрана с корректными настройками ( ну по крайней мере онсоединен и ходит наружу только через isa сервер)

    P.S. статью сейчас почитаю - спасибо.

    P.P.S вот по какой то причне не работает. Sad
    17 января 2008 г. 13:50
  • Я тут заметил, что  в приведенном примере ISA пытается передать пакет из сетит "Внутренняя" в сеть "Внутренняя". Т.е. в ту же самую. А должна бы во "внутреннюю2" например. Может сетям неправильные диапозоны адресов присвоены? Алертов нет?

    17 января 2008 г. 14:09
  • alert-ов нет. не возникает. но по идее - сеть внутрення включает в себя все подсети. ( в том числе и dmz с серверами )

    17 января 2008 г. 14:33
  • Не очень ясно как у тебя сделано, но должно быть так. Для каждой сетевой карты должна быть создана своя сеть. Например одна "Внутренняя", другая "DMZ".  В каждой из этих сетей должен быть прописан уникальный диапозон адресов. IP присвоенный соответствующему интерфейсу должен принадлежать этому диапозону. Между этими сетями включается роутинг. Если все правильно, то в логах будет писаться, что пакет проходит из сети "Внутренняя" в сеть "DMZ" или наоборот.

     

    17 января 2008 г. 14:41
  • И в терминологии ISA есть сети, которые логически объединяются в наборы сетей. Деление на подсети используется в правилах файрволла, но в данном случае это не то.
    17 января 2008 г. 14:45
  •  

    приблизительно понял. я как то предполагал что есть сети, а есть подсети. ну что же.. значит в идеологии ISA все есть сети. Smile сейчас попробовал пересоздать сети - рубанулся нет у всех пользователей. не гут. не смотря на то что все вроде прописнао корректно было. пришлось откатиться.. попробую утром - когда никого не будет пересоздать все совсем с нуля.
    17 января 2008 г. 14:56
  •  

    с точки зрения исы сеть (а на человеческом языке network) это множество адресов которые могут общатья между собой без участия исы, или другими словами это множество адресов на которые иса попадает через 1 интерфейс, то есть 1 интерфейс - 1 network. поэтому если у тебя 5 интерфейсов то должно быть 5 сетей.

    а то что подсеть (subnet) это в обычном понимании, то есть адрес/маска, используется в правилах файрвола.

    17 января 2008 г. 19:57
    Отвечающий
  • ну собственно - не помогло.

    все сети пересоздал.

    не помогло. маршрутизация между подсетями не работает ( зато инет стал летать как положено Smile ).

    опять же - все теже отклоненные соединения.

    тоесть на клиентской машине я ставлю гейтом isa сервер и - в другую сеть он не пускает.

    проверки связи проходят ( ping обыкновеннй) а как только к сеанс netbios и всяким Microsoft CIFS - так получаем отказ.

    еще раз повторю - маршрутизация разрешена ( Конфигурация-Общие-Определите настройку защиты IP - Маршрутизация IP - галочка стоит.)

    правило маршрутизации имеется:

    Конфигурации - Сети-Сетевые правила

    есть правило vlan1-vlan2 ( тип - Маршрутизация)

    даже ради прикола написал правило в Политика межсетевого экрана.

    где указал что из vlan1 в vlan2 весь исходящий трафик разрешить. в пользователях указал - "ВСЕ пользователи".

    где еще порыть?

    все в том же настройке параметров защиты IP

    Фильтрация IP - отключена.

    Фрагменты IP - отключены.

     

    Параметры предотвращения Flood атаки

    Предотвращение flood атаки - отключено

     

    Обнаружение вторжений и DNS атак - отключено.

     

    естественно - отключено в целях заставить работаь хоть как то и потом уже включать по одному.

     

    18 января 2008 г. 7:46
  •  

    "есть правило vlan1-vlan2 ( тип - Маршрутизация)" А в маршрутизации vlan2-vlan1 разрешено? Не уверен, что это обязательно, но у меня в обе стороны разрешения сделаны.

    18 января 2008 г. 9:01
  • И можно увидеть лог, когда пинг проходит и когда какой-нибудь CIFS нет

     

    18 января 2008 г. 9:02
  • ну вообще то при создании маршрута , при условии - "маршрутизация" там же написано - что :

    Маршрутизация.

    Isa сервер маршрутизирует трафик между источниками и естами назначения ( преобразования сетевых адресов не используется) Отношения маршрутизации являются двунаправленными.

    что по моему означает что достаточно создать один маршрут.

    сейчас попробую создать второй.

    в отношении посыла ping - так там только "проверка связи идет" и она , естественно разрешена и работает на ура.

    мало того - даже в случае одного маршрута. отклонение пакета - происходит в момент посыла пакета, а не в момент его передачи назад. ну собственно эту теорию сейчас проверю.

     

     

    создал правило. проверил - не работает опять точно так же.

    тоесть в соседнюю сеть не попасть.

    мало того - ранее можно было по rdp сходить на сервера в соседнюю сеть ( когда все "сети" были в одной). теперь не пускает. тоесть уже живые коннекты держаться и работают - новые - нет.

     

    18 января 2008 г. 9:43
  • Покажи два лога как я просил Smile

    18 января 2008 г. 10:31
  •  Vladimir Novikov написано:

    Конфигурации - Сети-Сетевые правила

    есть правило vlan1-vlan2 ( тип - Маршрутизация)

    даже ради прикола написал правило в Политика межсетевого экрана.

    где указал что из vlan1 в vlan2 весь исходящий трафик разрешить. в пользователях указал - "ВСЕ пользователи".

    где еще порыть?

     

    Ради прикола написали правила? Я так понимаю, вы решили методом тыка изучить ISA?

     

     

    1. Для каждой сетевой карты надо создать Network и перечислить все сети (адреса), которые ходят через эту карту.
    2. Создать Network Rule для связи сетей между собой. (Так как у вас все сети должны быть связаны, то вам нужно только одно такое правило)
    3. Создать правила доступа: как прямое, так и обратное! (У вас трафик пропускается только в одну сторону!)
    18 января 2008 г. 10:55
    Модератор
  • Итак. тот вариант все же пошел прахом. в определенный моент сервер свернулся в трубочку и упал. ладно все переставили - все работает в старинном варианте.

    теперь приступим к новым тестам.

    итак -

    на данный момент есть Сеть - внутренняя ( для честности там 4-е влана в ней но пусть будет один.)

    собственно сервера находятся в 10-ой подсети. (192.168.10.x) данная сеть включена в сеть "Внутренняя "

    сервер isa имеет адрес 192.168.10.12

    так же была создана тестовая подсеть  - 192.168.140.x

    на isa сервере была добавлена сетевая карта с прописанным адресом - 192.168.140.12

    в данную подсеть была подключена единственная клиентская машина с адресом 192.168.140.52

    на isa сервере создана сеть - с наименованием "140" ( в визарде добавлял сетевую карту).

    в сетевых правилах - сделано два правила.

    1 сетевое правило : 140-nat - Отношение сетей - NAT , Сети источника - 140, Сети назначение - Внешняя.

    2 сетевое правило: 140-all - Отношение сетей - Маршрутизация, Сети источника - 140, Внутренняя, Сети назначение - 140, Внутренняя.

    в политиках межсетевого экрана было создано 2 правила.

    1.140-all Действие - Разрешить, Протоколы - Весь исходящий, Откуда -140,Внутренняя,Локальный компьютер  Куда 140,Внутренняя,Локальный компьютер . Условие - Все пользователи.

    2.140 - inet Действие - Разрешить Протоколы - Весь Исходящий трафик, Откуда - 140, Куда - внешняя.

    На момент тестирования было создано еще одно правило - 140-local Действие - Разрешить, Протоколы - Весь исходящий, Откуда -140,Локальный компьютер  Куда 140,Локальный компьютер . Условие - Все пользователи.

    в последующем данное правило будет удалено.

     

    DHCP сервер имеет адрес 192.168.140.10 ( помимо адресов во всех остальных подсетях) и был настроен на этот scope с параметрами -

    Gateway - 192.168.140.12

    DNS - 192.168.140.10

    Так же DCHP сервер является, по совместительству, - Вторичным домен контроллером ( SDC)

     

    Сервер AD находиться в 10-ой подсети и имеет адрес - 192.168.10.15 и имеет FQDN наименование - pdc.domain.local

     

    при загрузке компа журнале записи:

    Начато соединение ISA 22.01.2008 11:18:34
    Тип журнала: Служба межсетевого экрана
    Состояние:
    Правило: 140-local
    Источник: 140 (192.168.140.52:1053)
    Назначение: Локальный компьютер (192.168.10.12:1745)
    Протокол: Клиент межсетевого экрана Microsoft (TCP)
    Пользователь:
    Дополнительные сведения

    Закрытое соединение ISA 22.01.2008 11:18:34
    Тип журнала: Служба межсетевого экрана
    Состояние:
    Правило: 140-local
    Источник: 140 (192.168.140.52:1053)
    Назначение: Локальный компьютер (192.168.10.12:1745)
    Протокол: Клиент межсетевого экрана Microsoft (TCP)
    Пользователь:
    Дополнительные сведения

    Отклоненное соединение ISA 22.01.2008 11:18:34
    Тип журнала: Служба межсетевого экрана
    Состояние:
    Правило:
    Источник: 140 (192.168.140.52:1053)
    Назначение: Локальный компьютер (192.168.10.12:1745)
    Протокол: Клиент межсетевого экрана Microsoft (TCP)
    Пользователь:
    Дополнительные сведения

    Отклоненное соединение ISA 22.01.2008 11:19:02
    Тип журнала: Служба межсетевого экрана
    Состояние:
    Правило:
    Источник: 140 (192.168.140.52:1087)
    Назначение: Внутренняя (pdc.domain.local 192.168.10.15:139)
    Протокол: Сеанс NetBios
    Пользователь:
    Дополнительные сведения
    • Передано байтов: 0 Получено байтов: 0
    • Время обработки: 0ms Исходный IP-адрес клиента: 192.168.140.52
    • Агент клиента:

    Отклоненное соединение ISA 22.01.2008 11:19:43
    Тип журнала: Служба межсетевого экрана
    Состояние:
    Правило:
    Источник: 140 (192.168.140.52:1130)
    Назначение: Внутренняя (pdc.domain.local 192.168.10.15:135)
    Протокол: RPC (все интерфейсы)
    Пользователь:
    Дополнительные сведения
    • Передано байтов: 0 Получено байтов: 0
    • Время обработки: 0ms Исходный IP-адрес клиента: 192.168.140.52
    • Агент клиента:

    Неудачная попытка соединения ISA 22.01.2008 11:19:53
    Тип журнала: Служба межсетевого экрана
    Состояние:
    Правило: 140-all
    Источник: 140 (192.168.140.52:1130)
    Назначение: Внутренняя (pdc.domain.local 192.168.10.15:135)
    Протокол: RPC (все интерфейсы)
    Пользователь:
    Дополнительные сведения
    • Передано байтов: 0 Получено байтов: 0
    • Время обработки: 20984ms Исходный IP-адрес клиента: 192.168.140.52
    • Агент клиента:

    Начато соединение ISA 22.01.2008 11:31:55
    Тип журнала: Служба межсетевого экрана
    Состояние:
    Правило: 140-all
    Источник: 140 (192.168.140.52:1170)
    Назначение: Внутренняя (pdc.domain.local 192.168.10.15:389)
    Протокол: LDAP (UDP)
    Пользователь:
    Дополнительные сведения
    • Передано байтов: 0 Получено байтов: 0
    • Время обработки: 0ms Исходный IP-адрес клиента: 192.168.140.52
    • Агент клиента:
     

    при посылке команды пинг с клиентской машины ( 192.168.140.52) на сервер pdc.domain.local - 192.168.10.15

     

    Начато соединение ISA 22.01.2008 11:27:09
    Тип журнала: Служба межсетевого экрана
    Состояние:
    Правило: 140-all
    Источник: 140 (192.168.140.52:8)
    Назначение: Внутренняя (pdc.domain.local 192.168.10.15)
    Протокол: Проверка связи
    Пользователь:
    Дополнительные сведения
    • Передано байтов: 0 Получено байтов: 0
    • Время обработки: 0ms Исходный IP-адрес клиента: 192.168.140.52
    • Агент клиента:

     

     

    Таким образом - клиент межсетевого экрана не подключается к серверу isa ( тоетсь там крестик - и при нажатии на кнопочку "проверить" в настройках клиента вылетает надпись - "Сбой операции из-за ошибки сети".

     

     

    Вопрос - что не так?

    22 января 2008 г. 9:43
  • У вас в логе:

    Отклоненное соединение ISA 22.01.2008 11:18:34
    Тип журнала: Служба межсетевого экрана
    Состояние:
    Правило:
    Источник: 140 (192.168.140.52:1053)
    Назначение: Локальный компьютер (192.168.10.12:1745)
    Протокол: Клиент межсетевого экрана Microsoft (TCP)
    Пользователь:
    Дополнительные сведения

     

    т.е. подключение FWC отфильтровывается каким-то правилом. Раз имени правила нет, то оно системное.

     

    Выполните команду netstat -na и проверьте, что есть привязка к порту 1745 для локального адреса, например:

     

    TCP    172.16.1.8:1745       0.0.0.0:0              LISTENING

     

    Это будет означать, что сети Internal включена поддержка FWC. Проверьте, что это действительно так.

    22 января 2008 г. 12:38
    Модератор
  • конечно же есть..

      TCP    192.168.140.12:1745    0.0.0.0:0              LISTENING

    с этим проблем вроде как нет.

     

    мало того. существуют отдельные записи -

    Начато соединение ISA 23.01.2008 9:58:34
    Тип журнала: Служба межсетевого экрана
    Состояние:
    Правило: 140-all
    Источник: 140 (192.168.140.52:1133)
    Назначение: Локальный компьютер (192.168.10.12:1745)
    Протокол: Клиент межсетевого экрана Microsoft (TCP)
    Пользователь:
    Дополнительные сведения
    • Передано байтов: 0 Получено байтов: 0
    • Время обработки: 0ms Исходный IP-адрес клиента: 192.168.140.52
    • Агент клиента:
    Закрытое соединение ISA 23.01.2008 9:58:34
    Тип журнала: Служба межсетевого экрана
    Состояние:
    Правило: 140-all
    Источник: 140 (192.168.140.52:1133)
    Назначение: Локальный компьютер (192.168.10.12:1745)
    Протокол: Клиент межсетевого экрана Microsoft (TCP)
    Пользователь:
    Дополнительные сведения
    • Передано байтов: 169 Получено байтов: 128
    • Время обработки: 0ms Исходный IP-адрес клиента: 192.168.140.52
    • Агент клиента:

     

    что я так понимаю означает что попытки то есть.. только они почему то безполезны.

    еще смущают две записи в логе:

    Отклоненное соединение ISA 23.01.2008 10:07:28
    Тип журнала: Служба межсетевого экрана
    Состояние:
    Правило:
    Источник: 140 (192.168.140.52:1040)
    Назначение: Внутренняя (pdc.domain.local 192.168.10.15:135)
    Протокол: RPC (все интерфейсы)
    Пользователь:
    Дополнительные сведения
    • Передано байтов: 0 Получено байтов: 0
    • Время обработки: 0ms Исходный IP-адрес клиента: 192.168.140.52
    • Агент клиента: 

    и так же

    Неудачная попытка соединения ISA 23.01.2008 10:07:35
    Тип журнала: Служба межсетевого экрана
    Состояние:
    Правило: 140-all
    Источник: 140 (192.168.140.52:1040)
    Назначение: Внутренняя (pdc.domain.local 192.168.10.15:135)
    Протокол: RPC (все интерфейсы)
    Пользователь:
    Дополнительные сведения
    • Передано байтов: 0 Получено байтов: 0
    • Время обработки: 21000ms Исходный IP-адрес клиента: 192.168.140.52
    • Агент клиента:

    галочки  на 22 правиле о "требовать стогого соответствия rpc" снял.

    на правилах 140-all в настройках RPC так же снял эту галку.. пробовал принудительно открывать 135 порт. все равно эти сообщения проскакивают. причем только в момент загрузки клиентской станции. клиент isa так и не подключается.

    23 января 2008 г. 7:06
  • У вас заведено несколько правил, которые режут трафик на порт 1745 ISA сервера.

    Не понятно зачем они вам вообще для доступа к ISA серверу - это регулируется систеной политикой.

    Выключите эти правила и клиент заработает.

     

    23 января 2008 г. 14:50
    Модератор
  • извиняюсь за непонятливость - какие именно правила?!

     

    Клиента я таки подключил - правда это не решило проблему.

    собственно что сделал:

    прописал в файлике - \windows\system32\drivers\etc\hosts ip адрес isa.

    то есть запись типа - 192.168.140.12 - isa.domain.local

    при запросы к днс, как вы понимаете, днс сервер возвращает первую запись из списка подходящих. так как иса сервер имеет интерфейсы во всех сетях то и в днс сервере он имеет несколько записей. таким образом при запросе из любой подсети ( хорошо - пусть будет сети) , в момем случае из 192.168.140.x я получаю адрес - 192.168.10.12. далее клиент пытается присоедениться к данному серверу isa по данному ip адресую А вот сервер isa, по какой то причине, не хочет его пускать через эту подсеть(хорошо пусть будет сеть).

    Далее - подключение клиента не решило проблемs^

    1. с вылетающими сообщениями о отклоненных соединениях с домен контроллером по RPC протоколу.

    2. изредка получаем сообщения в логе о том что попытка соединения с домен контроллером по RPC окончилась неудачей.

    при этом с виду все работает как надо. пользователи логиняться в систему. вроде даже ТЕДЬ аутентификация в последующем работает. и вроде все не плохо.. но вот какие то тормоза при входе в систему. тормоза при аутентификации к ресурсам серверов и т.д.

     

    где еще порыть?

     

    24 января 2008 г. 7:23
  • У меня проблема таже но суть немного другая. Есть класика DMZ  - Internal - External
    Соеденены практически как по книжке.  Правила прописаны.

    На данный момент разрешено все, потому как не работает.

    Проблема в маршрутизации. Работает все, кроме маршрутов между DMZ - Internal. Пинги проходят, RDP проходит. Tracert другая сеть показывает маршрут ISA - Нужный клиент..

    Днс репкликуется, AD - нет, пишут что сервер недоступен...

    Есть у кого то идеи где искать?
    4 сентября 2009 г. 12:44
  • Создайте отдельную тему. Опишите конфигурацию сети, отношения, правила. Предоставьте IP-конфигурацию с ISA, хоста DMZ и другой сети.
    4 сентября 2009 г. 15:23
    Отвечающий
  • Приветствую. Ну что как решил проблему? У меня такая же ситуация один в один, пытаюсь решить уже 2 недели и ни как
    15 апреля 2010 г. 15:54
  • Добрый день, создайте, пожалуйста, новую тему и опишите свою проблему подробненько.
    16 апреля 2010 г. 13:06
    Модератор