none
ISA-сервер блокирует HTTPS-траффик для SecureNat клиентов RRS feed

  • Общие обсуждения

  • Есть два сервера ISA, оба настроены идеентично и имеют общее хранилище настроек. В каждом имеется правило, разрешающее весь исходящий трафик во вне определённому комьютеру внутреней сети без авторизации по SecureNat. На одной ИСЕ всё прекрасно работает. На второй ИСЕ затык - не проходит HTTPS траффик. Весь остальной траафик ходит, как и положено, в штатном режиме. В логах на проблемной ИСЕ возникает следующее сообщение:

    FWX_E_TCP_NO_SERVER_REPLY

    В чём может быть проблема?
    26 ноября 2009 г. 14:26

Все ответы

  • Добрый день.
    Можно побольше информации.
    Мне кажется, что проблемы в настройке сетевых подключений проблемного ISA сервера.
    26 ноября 2009 г. 14:37
    Модератор
  • Эта исключение вызывается в случае, если от удаленного хоста вовремя не было получено ACK или SYN сообщение.

    Как у Вас определены правила? Что за маршрутизатор находится перед внешним интерфейсом ISA?

    26 ноября 2009 г. 14:48
    Отвечающий
  • Что касается маршрутизатора. Перед внешним интерфесом ИСА-сервера стоит обыкновенный АДСЛ-роутер zyxel, один из дешёвых, модель сейчас точно не скажу. Если комп из внутренней сети подрубить напряму к роутеру, то https трафик идёт нормально. Если проблемную ИСУ подключить на роутер, на котором висит исправная ИСА, то наблюдается та же самая проблема. Т.е. проблема 100% не в роутере, а в ИСА-сервере. Да, добавлю так же, что обе ИСЫ работают из под MS Virtual Server и  распологаются на одной хост машине.


    Насчёт сетевых интерфесов. Всё настроено правильно, ибо, как я уже говорил, весь остальной траффик ползёт нормально в штатном режиме через это же правило.. Т.е. грубо говоря есть правило, которое допустим разрешает http и https, так вот, просто сайты открываются, а через https - нет. Если бы с настройкой сетевух был бы косяк, наверняка это б отразилось и на обыном http.
    Да, если интересуют подробности, то я уже создавал тему на другом ресурсе с кучей скриншотов, но там мне не помогли, решил спросить здесь, чтобы не повторяться, вот ссыль:
    http://sysadmins.ru/topic249148.html?sid=5833286bf245cfb8a5b9ef5a000072a2

    26 ноября 2009 г. 16:49
  • Попробуйте разделить правило на два: одно для HTTP, другое - для HTTPS трафика.

    Помню из чтения "known issues" о подобном решении некоторых проблем.
    26 ноября 2009 г. 18:44
    Отвечающий
  • Сделал отдельное правило для https - результат отрицательный. Делал так же правило, которое разрешает вообще весь траффик - тоже не помогает.. (((

    26 ноября 2009 г. 19:11
  • Т.е., проблема наблюдается исключительно с установлением исходящего SSL-соединения на порт 443, так?..
    И при этом, только на одном из серверов ISA, имеющих идентичную конфигурацию, так?..

    По идее, можно попробовать увеличить лимит времени ожидания на установление соединения ("timeout"), но я не знаю, как это сделать.

    Надо бы логи подробные посмотреть, что происходит при попытке соединения клиента с сервером.

    26 ноября 2009 г. 19:24
    Отвечающий
  • Да, Вы всё правильнно поняли.. Вот более подробные логи:
    http://sysadmins.ru/download.php?id=9459

    Вот скриншот правила, для которого создан данный лог:
    http://sysadmins.ru/files/test_https_161.jpg

    27 ноября 2009 г. 10:04
  • В аналогичной ситуации решил проблему созданием тунеля c помощью маленькой программки ISA TPRE

    она редактирует настройки где то на низком уровне в ISA, после чего нужно просто перезагрузить сервер.

    2 декабря 2009 г. 16:25
  • В аналогичной ситуации решил проблему созданием тунеля c помощью маленькой программки ISA TPRE

    она редактирует настройки где то на низком уровне в ISA, после чего нужно просто перезагрузить сервер.


    это совсем про другое, эта утилитка (коих несколько, а еще это же делают скриптом) используется для настройки ssl тунеля для портов отличных от 443 и 563, а в теме порт стандартный и ошибка совершенно другая
    3 декабря 2009 г. 8:07
    Отвечающий
  • Добрый день!

    Проблема решилась?

    19 марта 2010 г. 15:24
    Модератор