none
ISA 2006: PPPoE Dial-up & SecureNAT session type RRS feed

  • Вопрос

  • ISA 2006

     

    Наблюдал за активностью PPPoE-подключения к ISP.

     

    И вот в папке Monitoring, Sessions tab, заметил странную вещь - интерфейс PPPoE Dial-up проходит в списке сессий как SecureNAT client.

     

    Это что за ***? Отголоски багофичи ISA 2000* ?

     

    ____

    * KB 313433 VPN Dial-up Connections Are Not Filtered by ISA Server

     

    11 апреля 2007 г. 11:52

Все ответы

  • Та фича заключалась в том, что для Dialup-соединения не работали правила фильтрации, т.к. подразумевалось, что соединение выполняется к защищенному сегменту корпоративной сети. Но реально такое соединение применялось и для подключения к провайдеру и выхода а Интернет! И при этом правила фильтрации так же не работали - что уже было проблемой.

     

    То, что сессия отмечена как SecureNAT не означает, что к трафику не применяются правила фильтрации. Поставьте "запрет на все" при выходе на сеть External для всех пользователей и посмотрите остался выход в Интернет или нет.

    11 апреля 2007 г. 13:47
    Модератор
  • То, что правила фильтрации применяются - дело понятное. Непонятно, какое отношение вообще имеет SecureNAT к Dial-UP?
    12 апреля 2007 г. 13:56
  • А что вас смущает? Какая-то служба - клиент - лезет в Интернет через ISA. Естественно ISA должен как-то ее идентифицировать либо  как Proxy, либо как Firewall , либо как SecureNAT клиент - последнее вы и видите.
    13 апреля 2007 г. 4:35
    Модератор
  • Еще бы не смущало - адрес PPPoE-интерфейса лежит в области действия External. И вот вдруг этот адрес появляется там, где положено быть только non-External адресам.

     

    13 апреля 2007 г. 10:38
  • Ну почему только non-External адресам? Если есть сессия, то она появится в списке сессий. Если эту сессию инициировал компьютер  ISA, то его адрес будет указан в этой сессии. Выглядит несколько провокационно, я согласен, но какой еще там адрес может быть? Другой адрес вообще вызовет   - вот именно такое состояние

     

    В отображению сессий я вообще-то тоже отношусь недоверчиво после сравнения результатов вывода графической оболочки и скприта, который выводит сессии ISA  - списки разные!

    13 апреля 2007 г. 15:03
    Модератор
  • Вопрос вполне чайниковский - как Вам удалось заставить ISA подключаться по VPN к ISP?

    Я воюю с ним уже вторые сутки, и никак не могу добиться желаеемого.

    VPN-соединение просто не подключается, висит табличка "Connecting to vpn.*********.***", и никакого движения дальше...

    24 апреля 2007 г. 12:10
  • Какое отношение ваш вопрос имеет к этой теме? Может вам завести новую тему? И более подробно опишите вашу конфигурацию. Чего надо получить и какими средствами?
    24 апреля 2007 г. 12:54
    Модератор
  • Конфигурация точно та же: ISA 2006, снаружи сеть провайдера, для доступа к Интернету используется VPN (для биллинга и контроля доступа). Внутри - локаль, с внутреней адресацией (имеет свой отдельный канал на другие офисы).

    Задача - пльзователей из локали пускать наружу через ISA.

    Два сетевых интерфейса, статический маршрут (чтобы не сбивался) на VPN-сервер провайдера.

    В той же конфигурации на отдельной рабочей станции всё работает. На сервере с поднятой ISA - при попытке подключиться все прекращается на стадии "Connecting to vpn.*********.***" (VPN-сервер провайдера).

    PPPoE трафик с localhost на External разрешен.

     

    24 апреля 2007 г. 16:04
  • Вообще конечно лучше бы новую ветку открыть. И причем здесь PPPoE то? Вам ведь просто нужно allow pptp from localhost to vpn сервер провайдера. У вас telnet vpnserver 1723 с ISA работает? Если нет, то на 99 процентов проблема в настройках фаервола на ISA
    24 апреля 2007 г. 19:05