none
Доступ к опубликованному HTTPS серверу через ISA2006 из локальной сети. RRS feed

  • Вопрос

  • Никак не удается реализовать сабж. Причем из инета доступ есть, сайт опубликован просто, как сервер с протоколом HTTPS server, без фильтрации заголовков.

    Клиент использует FWC, и стабильно возвращается 502-я ошибка. Просмотр https страниц в инете проходит без проблем.

    По логам видно только подключение по порту 8080

    где рыть?

     

     

    14 декабря 2006 г. 9:58

Все ответы

  • Как я понимаю, сервер опубликован при помощи правила publish server (не secure web server). Я правильно понимаю?

    Так как видны соединения на порт 8080, то соединение порисходит не через FWClient, а через WebProxy.

    Что будет если клиентам сказать обращаться к серверу напрямую?

    14 декабря 2006 г. 10:12
    Модератор
  • publish server (не secure web server). Я правильно понимаю

    Да

    Что будет если клиентам сказать обращаться к серверу напрямую?

    в инет соединение устанавливается без проблем, к опубликованному даже 502=я не вылазит, мгновенно выскакивает "невозможно отобразить страницу", в логах секунда в секунду открывается соединение и тут же закрывается.

    такое впечатление, что в адресе источника остается внутренняя сеть, и иса закрывает соединение.

    Как нату сказать, чтоб полностью выпихивал пакет, с адресом истоника от внешнего интерфейса исы?

    14 декабря 2006 г. 11:03
  • Давайте тогда по порядку:

    1) по какой схеме включен ISA? Three-legged, Edge?

    2) в какой сети соответственно находится публикуемый сервер: Internal, Perimeter?

     

    14 декабря 2006 г. 11:25
    Модератор
  • 1) по какой схеме включен ISA? Three-legged, Edge?

    самый первый шаблон, по-умолчанию, внутренняя сеть - интернет, никаких дмз, периметров...

    клиент и сервер с адресами 192,168,0,х/24, проще некуда

     

     

    14 декабря 2006 г. 11:43
  • Ну так а зачем тогда Ваши клиенты ломятся на внутренний сервер через ISA? Пусть идут напрямую.
    14 декабря 2006 г. 11:57
    Модератор
  • равносильно написанию вместо напрямую - нах...

    есть филиалы, ихочется иметь монописуальность конфигурации в головном офисе, особенно если имеем веб-приложение в котором есть ссылочка на такой https ресурс

    14 декабря 2006 г. 12:12
  • Теперь по-русски пожалуйста. Я Ваших морских терминов не разумею.

    Я, кстати, про филиалы должен был догадаться? Так телепаты в отпуске. Обрисуйте полностью схему и задачу. До этого рассчитывать на нормальный ответ глупо.

    14 декабря 2006 г. 12:20
    Модератор
  • схема: локалка - иса - интернет

    задача: получить доступ к опубликованному в иса локальному серверу https://server.local через урл https://my.domain.ru

    внешний урл работает, но только из инета, локальные компы ходят по https в инет без проблем, при обращении же к https://my.domain.ru локаньные компы получают 502-ю ошибку

    В иса не отсылается пакет через наружный интерфейс, в свойствах локальной сети убираю галки "напрямую обращаться..."  - безрезультатно

     

    14 декабря 2006 г. 13:01
  • ISA это firewall, т.е. его задача отделить внутреннюю сеть от внешней, а так как внешняя сеть это еще и Интернет, то работает NAT!

    Проще говоря работать не будет как вы хотите.

    У вас неправильный метод решения поставленной задачи. И задача поставлена несколько некорректно. Какой унификации в настройках клиентов вы хотите добиться? Просто чтобы они кликали на одноименные ссылки? Для этого достаточно в локальной сети сделать домен одноименным с внешним (так кстати рекомендует Microsoft), но со своей внутренней адресацией - все будет прозрачно и просто.

    Если внутренний домен имеет отличное от внешнего имя и нет возможности-желания его переименовать, то можно в локальной сети на DNS-серверах поднять в ручную зону DNS одноименную с внешней и руками там поставить внутренние адреса серверов - соответственно на клиентах надо будет прописать, что этот домен локальный и не надо на него ходить через прокси-сервер.

    14 декабря 2006 г. 15:25
    Модератор
  • Можно и не клиентах, а на самой ISA прописать.
    14 декабря 2006 г. 15:51
  • Ну, аргументы понятны, за исключением того факта, что до установки 2006 была 2000. Все работало.

    Что, Микрософт поменял концепцию при выпуске нового продукта следуя Вашим правильным методам?

    Ситуаций, когда это должно работать - море. Пусть есть у фирмы сайт в инете - ее гордость. и шеф, пригласив к себе клиентов, демонстрирует сайт по внутренней ссылке. кого он разводит как лохов? Мож ему подумать о замене админа?

    15 декабря 2006 г. 6:50
  • Во первых MS много чего поменял от 2000 до 2006. Во вторых, методы правильные не наши, а компании-разработчика. И если эта компания рекомендует сделать так, а не иначе, значит есть у нее такой резон.

    А еще, если админ не знает, как сделать так, чтобы ДНС внутри показывал в качестве server.domain.ru адрес 192.168.0.1, а снаружи x.x.x.x, то действительно, его можно и поменять.

    Это чтокасаемо Вашей тирады. Теперь по существу вопроса: я, к сожалению, не имею чейчас возможности смоделировать Вашу ситуацию. Единственная идея, которая возникла: не сделать ли Вам bridging на ISA? То есть SSL сертификат будет на ISA и она же будет все шифровать. Возможно, что-то и изменится.

    15 декабря 2006 г. 13:36
    Модератор
  • Сейчас поблема перешла из разряда срочной в вяло-текущий, я уехал от клиента.

    Относительно бриджинга - приложение использует свои сертификаты, они были просрочены, иса выдает 500-ю ошибку, сейчас сертификаты обновлены, на в 500-й сообщение сменилось на отсутствие доверия СА. Этот вариант придется реализовать для возможности изпользовать один листенер для 443-го порта и через преобразование заголовков работать с несколькими сайтами (тот же Exchange). тут рядом тема схожая пробегала

    А свою траблу добью, сообщу.

    15 декабря 2006 г. 14:29