none
NAT клиенты и FW клиенты RRS feed

  • Вопрос

  • Помогите понять логику работы клиентов ISA. Если мы ставим FW клиента, могут ли работать при этом нестандартные протоколы, т.е. DG у нас не прописан на ISA. Пример

    Стоит клиент FW

    10.2.5.17

    255.255.255.0

    DNS 10.2.5.5

    Адрес ISA 10.2.5.1 При такой схеме и разрешающий правилах будет работать только WEB протоколы. Т.к. включен Proxy. Хотя есть правило разрешить ВСЕ протоколы.  Можно ли заставить работать без NAT, т.е. без указания в качестве шлюза ISA например софт работающий по порту 44567. Будет ли FW клиент пересылать трафик, или он только занимается аутентификацией.

    Второй вопрос по VPN  клиентам

    Поднят VPN сервер на ISA 2006, отношение между сетями NAT, если клиет подцепляется по схеме просто имя пользователя, то подключает к ISA серверу, но для доступа к ресурсам сети нужно еще раз вводить это же имя и пароль. Если же он подключается по схеме ИМЯДОМЕНА\имя пользователя то тогда доступ к ресурсам проходит нормально и сквозная аутентификация прокатывает. Вопрос, где в ISA настроить чтобы даже при подключении без указания домена , автоматически подставлялся домен, и работала сквозная аутентификация.

    23 декабря 2008 г. 10:22

Ответы

Все ответы

  • Да, подобный сценарий реализовать можно. Вам необходимо в настройках внутренней сети включить поддержку Firewall Clients (ISA Server Managemnet Console - Configuration - Network - Internal Network Properties - Firewall Clients). После чего на клиенские станции установить ПО Firewall Client. Затем создать разрешающее правило для Вашего протокола (порт 44567) в политике брандмауэра ISA Server.

    Более подробно изучить работу всех типов клиентов ISA Server  поможет эта статься библиотеки Technet:

    Internal Client Concepts in ISA Server 2006

     

    23 декабря 2008 г. 10:31
  • Разве правило РАЗРЕШИТЬ ВСЕ ПРОТОКОЛЫ не подразумевает 44567 ?

    23 декабря 2008 г. 10:39
  • Подразумевает, конечно. Но я привёл более общую инструкцию, применимую даже к пустой политике брандмауэра. В Вашем случае дополнительной конфигурации правил доступа не требуется.

    НО. Настоятельно рекомендую воздержаться от создания правил на "весь исходящий трафик"!

    23 декабря 2008 г. 10:48
  • В том и дело что такая схема не работает, вот настройки с компьютера на котором стоит FWCL

    Подключение по локальной сети - Ethernet адаптер:

     

            DNS-суффикс этого подключения . . :

            Описание  . . . . . . . . . . . . : Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller

            Физический адрес. . . . . . . . . : 00-17-31-87-AE-CC

            Dhcp включен. . . . . . . . . . . : нет

    IP-адрес  . . . . . . . . . . . . :10.20.41.77

            Маска подсети . . . . . . . . . . : 255.255.255.0

            Основной шлюз . . . . . . . . . . :

            DNS-серверы . . . . . . . . . . . : 10.20.41.5

    Если попробуем установить с этого компьютера например PPPTP (1723 - стандартное ) соединение то будет сразу отключение, т.к. компьюетр недоступен. Не меняем ничего(т.е. не добавляем правила на ISA) кроме того что ставим шлюз (на ISA, что автоматически делает нас NAT клиентами), и все работает. Получается что FWCL не перенаправляет пакеты, и не инкапсулирует их внутрь своих. Вопрос, как уйти от NAT клиентов которые не поддерживают аутентификацию, и остаться только с FWCL.

     

    Пример с работающим PPPTP соединением

     

    DNS-суффикс этого подключения . . :

            Описание  . . . . . . . . . . . . : Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller

            Физический адрес. . . . . . . . . : 00-17-31-87-AE-CC

            Dhcp включен. . . . . . . . . . . : нет

    IP-адрес  . . . . . . . . . . . . :10.20.41.77

            Маска подсети . . . . . . . . . . : 255.255.255.0

            Основной шлюз . . . . . . . . . . : 10.20.41.2

            DNS-серверы . . . . . . . . . . . : 10.20.41.5

    23 декабря 2008 г. 11:02
  • Firewall Client представляет собой лишь Winsock Provider. А на уровне Winsock нельзя перехватить трафик PPTP. Для работы по PPTP-протоколу Вам нужно настраивать клиентские станции в качестве SecureNAT. Без вариантов. Более подробная информация приведена в этой статье базы знаний:

    When you use the ISA Server 2006 or ISA Server 2004 Firewall Client program, you cannot make a PPTP-based VPN connection

    23 декабря 2008 г. 11:13
  • Получается ситуация, при которой если необходимо использовать приложение работающие как PPTP , приходится отключать FWCL. Есть выход чтобы не отключать его ?

    23 декабря 2008 г. 11:38
  • Статью базы знаний прочитали?..

    Не отключать FWC, а использовать SecureNAT вместо оного.

     

    Если на машине нужно использовать FWC и PPTP-клиента, то можно на этой машине явно указать маршрут до VPN-шлюза через ISA:

     

    route add [vpn-gate ip] mask 255.255.255.255  [isa internal ip]

     

    Должно сработать. Попробуете - обязательно отпишитесь.

    23 декабря 2008 г. 23:29
    Отвечающий
  • Статью читал. Разберем ситуацию - есть домен, и ISA в котором доступ сделан по группам и пользователям из АД. Т.к. работает много разного софта ставим клиентам FWCL который будет отвечать за аутентификацию пользователей, если у клиента стоит и FWCL и NAT клиент (шлюз по умолчанию) то при включенном клиенте, весь трафик перенаправляется на ISA и ладно РРТР , в сети еще работает ряд приложений которые работают ТОЛЬКО под NAT - например VIPNET. Оставить таких клиентов по SNAT это лишиться возможности контроля их трафика, от кого он идет и.т.д. А так делает невозможным наведение статистики, т.к. будет от пользователя anonymouse, не говоря уже о том что усложняет настройку клиентских мест (гораздо проще организовать правила по группам, чем ограничивать по IP). Получается что клиента нужно отключать только при работе с вышеуказанными приложениями что неудобно. Проблем чтобы все заработало нет, это скорее попытка создать нормальную схему с авторизацией и аутентификацией. Интересно кто как разрешил такую ситуацию. Да. и почему то на мой вопрос про VPN никто не ответил. То ли не дочитали , то ли не приходит ничего в голову.

    24 декабря 2008 г. 16:21
  • Использование FWC исключает использование SecureNAT для трафика, направленного во "внешние" сети. Т.е. вы не должны иметь на клиентской машине ip-конфигурацию со шлюзом, ведущим к ISA, куда направляется весь трафик, не имеющий точных маршрутов, иначе учитываться такой трафик "по пользователям", даже при наличии подключенного к ISA FWC, не будет. Следуйте моему совету: в IP-конфигурации клиента шлюз по умолчанию не указывайте, внесите в таблицу маршрутизации маршрут до vpn-сервера, указывающий на шлюз ISA во внутренней сети.

     

    P.S. Удивительно, что Вы в свой среде не наблюдаете "анонимный трафик" через ISA. Скорее всего, Вы его просто не замечаете, ввиду того, что дотсуп к веб-ресурсам клиенты ISA Вашей сети осуществляют в качестве клиентов Web Proxy.

    24 декабря 2008 г. 21:56
    Отвечающий
  •  RuForce написано:

    Использование FWC исключает использование SecureNAT для трафика, направленного во "внешние" сети.

    вот это полнейший бред и ересь, за такое надо на костер святой инквизиции Smile

    одна клиентская машина может быть и webproxy и firewall и securenat клиентом. любой трафик который не схватит fwc (например icmp или ip) пойдет по securenat(естественно без аутенфикации), главное правилами пропустить его анонимно и правильно (золотой принцип: анонимные правила всегда выше неанонимных). если какие то приложения работают с fwc некорректно то их можно сунуть в исключения в настройках fwc

    если под зарез надо аутенфицировать абсолютно любой трафик (ну или почти любой) то есть впн клиент, в впн инкапсулируется почти все.

    24 декабря 2008 г. 22:26
    Отвечающий
  •  RuForce написано:

    P.S. Удивительно, что Вы в свой среде не наблюдаете "анонимный трафик" через ISA.

    Я этого не говорил, большинство web трафика после первичной аутентификации будет в логах от анонимного пользователя.НО при этом будет учитываться всякими программами отвечающими за статитстику. Насчет маршрута.. надо подумать, бегать у каждого добавлять.. не выход. Скриптик на logon который определяет членство в группе и в зависимости от этого запускает route add сделать разве что.

     Dmitriy Nikitin написано:

    вот это полнейший бред и ересь, за такое надо на костер святой инквизиции

    А вот хамить не надо. RuForce прав.. попробуйте запустить РРТР соединение при включенном FWCL и все поймете.

    25 декабря 2008 г. 4:46
  • запускаю pptp при включенном fwc, все отлично запускается и подключается, что я делаю не так? Smile

    25 декабря 2008 г. 7:44
    Отвечающий
  • Присоединяюсь к мнению коллеги Дмитрия. ОЧень внимательно отнеситесь к конфигурированию правил досутпа для FWC и SecureNAT-клиентов Вашего ISA Server.

    25 декабря 2008 г. 8:42
  • Не надо меня сжигать. Я не утверждал, что SecureNAT клиент не будет работать совместно с FWC, иначе зачем бы я посоветовал использовать маршрут до vpn-шлюза через ISA? Я лишь указал на то, что SecureNAT клиент не может быть аутентифицирован даже при наличии соединения FWC c ISA, а так же посоветовал использовать не указание шлюза по-умолчанию на ISA, а указывать точные маршруты до внешних сервисов.

    25 декабря 2008 г. 16:41
    Отвечающий
  • ну тогда пиши по-русски, ибо следующее предложение было тяжело понять по другому

    >Использование FWC исключает использование SecureNAT для трафика, направленного во "внешние" сети

     

    ps и чем вам всем шлюз по умолчанию не угодил, весь мир с ними работает

    25 декабря 2008 г. 17:34
    Отвечающий
  • Коллеги, всем спасибо за ответы. Ответы на вопросы я получил, поэтому думаю дальнейшие споры не столь продуктивны.

    25 декабря 2008 г. 17:57