Спрашивающий
ISA 2006: PPPoE Dial-up & SecureNAT session type

Вопрос
-
ISA 2006
Наблюдал за активностью PPPoE-подключения к ISP.
И вот в папке Monitoring, Sessions tab, заметил странную вещь - интерфейс PPPoE Dial-up проходит в списке сессий как SecureNAT client.
Это что за ***? Отголоски багофичи ISA 2000* ?
____
* KB 313433 VPN Dial-up Connections Are Not Filtered by ISA Server
11 апреля 2007 г. 11:52
Все ответы
-
Та фича заключалась в том, что для Dialup-соединения не работали правила фильтрации, т.к. подразумевалось, что соединение выполняется к защищенному сегменту корпоративной сети. Но реально такое соединение применялось и для подключения к провайдеру и выхода а Интернет! И при этом правила фильтрации так же не работали - что уже было проблемой.
То, что сессия отмечена как SecureNAT не означает, что к трафику не применяются правила фильтрации. Поставьте "запрет на все" при выходе на сеть External для всех пользователей и посмотрите остался выход в Интернет или нет.
11 апреля 2007 г. 13:47Модератор -
То, что правила фильтрации применяются - дело понятное. Непонятно, какое отношение вообще имеет SecureNAT к Dial-UP?12 апреля 2007 г. 13:56
-
А что вас смущает? Какая-то служба - клиент - лезет в Интернет через ISA. Естественно ISA должен как-то ее идентифицировать либо как Proxy, либо как Firewall , либо как SecureNAT клиент - последнее вы и видите.13 апреля 2007 г. 4:35Модератор
-
Еще бы не смущало - адрес PPPoE-интерфейса лежит в области действия External. И вот вдруг этот адрес появляется там, где положено быть только non-External адресам.
13 апреля 2007 г. 10:38 -
Ну почему только non-External адресам? Если есть сессия, то она появится в списке сессий. Если эту сессию инициировал компьютер ISA, то его адрес будет указан в этой сессии. Выглядит несколько провокационно, я согласен, но какой еще там адрес может быть? Другой адрес вообще вызовет
- вот именно такое состояние
В отображению сессий я вообще-то тоже отношусь недоверчиво после сравнения результатов вывода графической оболочки и скприта, который выводит сессии ISA - списки разные!
13 апреля 2007 г. 15:03Модератор -
Вопрос вполне чайниковский - как Вам удалось заставить ISA подключаться по VPN к ISP?
Я воюю с ним уже вторые сутки, и никак не могу добиться желаеемого.
VPN-соединение просто не подключается, висит табличка "Connecting to vpn.*********.***", и никакого движения дальше...
24 апреля 2007 г. 12:10 -
Какое отношение ваш вопрос имеет к этой теме? Может вам завести новую тему? И более подробно опишите вашу конфигурацию. Чего надо получить и какими средствами?24 апреля 2007 г. 12:54Модератор
-
Конфигурация точно та же: ISA 2006, снаружи сеть провайдера, для доступа к Интернету используется VPN (для биллинга и контроля доступа). Внутри - локаль, с внутреней адресацией (имеет свой отдельный канал на другие офисы).
Задача - пльзователей из локали пускать наружу через ISA.
Два сетевых интерфейса, статический маршрут (чтобы не сбивался) на VPN-сервер провайдера.
В той же конфигурации на отдельной рабочей станции всё работает. На сервере с поднятой ISA - при попытке подключиться все прекращается на стадии "Connecting to vpn.*********.***" (VPN-сервер провайдера).
PPPoE трафик с localhost на External разрешен.
24 апреля 2007 г. 16:04 -
Вообще конечно лучше бы новую ветку открыть. И причем здесь PPPoE то? Вам ведь просто нужно allow pptp from localhost to vpn сервер провайдера. У вас telnet vpnserver 1723 с ISA работает? Если нет, то на 99 процентов проблема в настройках фаервола на ISA24 апреля 2007 г. 19:05