none
Сервис фаервола падает раз в 2 дня. RRS feed

  • Вопрос

  • Windows 2003 SP1 Std Rus / ISA 2004 SP2 Std --> На железе HP DL360, два процессора Xeon 3,6; 2Гб памяти. Стоит в домене Win2003 SP1, режим домена - 2003.

    Вышел из отпуска, и обнаружил, что кто-то наворотил что-то с ISA'й :-( (скорее всего банкомат в офис пытались ставить). Никто не признается.

    Основные вещи вернул на круги своя (например убрал второй локальный IP с локальной сетевухи и т.д.), но вот эту ошибку не могу победить.

    Err: 14147

    ISA Server detected routes through adapter VDSL that do not correlate with the network element to which this adapter belongs. For best practice, the address range of an ISA Server network should match the address ranges routable through the associated network adapter as defined in the routing table. Otherwise valid packets may be dropped as spoofed. (This alert may occur momentarily when you create a remote site network. You may safely ignore this message if it does not reoccur.)  The address ranges in conflict are: 10.0.0.0-10.0.255.255;10.3.0.0-10.3.0.255;10.3.2.0-10.3.255.255;10.5.0.0-10.255.255.255;.

    Как результат этой ошибки - раз в 2 дня падает сервис фаервола - сервер блокируется и приходится его запускать руками (физически идти к серверу). Удаленные сайты я не подключаю - обычные VPN-клиенты - не более.

    Вот IPConfig /all:

    Настройка протокола IP для Windows

       Имя компьютера  . . . . . . . . . : gate-server
       Основной DNS-суффикс  . . . . . . : top.ms
       Тип узла. . . . . . . . . . . . . : неизвестный
       IP-маршрутизация включена . . . . : да
       WINS-прокси включен . . . . . . . : да
       Порядок просмотра суффиксов DNS . : top.ms

    Интерфейс RAS-сервера - PPP адаптер:

       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
       Физический адрес. . . . . . . . . : 00-53-45-00-00-00
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 10.3.1.0
       Маска подсети . . . . . . . . . . : 255.255.255.255
       Основной шлюз . . . . . . . . . . :

    VDSL - Ethernet адаптер:

       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : HP NC7782 Gigabit Server Adapter #3
       Физический адрес. . . . . . . . . : 00-17-A4-8D-EB-D9
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 83.221.12.146
       Маска подсети . . . . . . . . . . : 255.255.255.240
       Основной шлюз . . . . . . . . . . : 83.221.12.145
       DNS-серверы . . . . . . . . . . . : 83.221.1.36
                                           10.1.1.4
                                           10.1.2.4
       NetBIOS через TCP/IP. . . . . . . : отключен

    LOCAL - Ethernet адаптер:

       DNS-суффикс этого подключения . . :
       Описание  . . . . . . . . . . . . : HP NC7782 Gigabit Server Adapter #4
       Физический адрес. . . . . . . . . : 00-17-A4-8D-EB-DA
       DHCP включен. . . . . . . . . . . : нет
       IP-адрес  . . . . . . . . . . . . : 10.1.1.19
       Маска подсети . . . . . . . . . . : 255.0.0.0
       Основной шлюз . . . . . . . . . . :
       DNS-серверы . . . . . . . . . . . : 10.1.1.4
                                           10.1.2.4

    У кого какие идеи как лечить? Заранее благодарен :-)

    16 октября 2006 г. 8:53

Ответы

  • Всё дело в том, что при настройке VPN доступа на ISA вы определили, что IP адреса VPN клиентам назначаются из пула адресов, заданных на сервере VPN. Для удобства маршрутизации эти адреса обычно являются частью внутреннего диапазона адресов. В результате чего возникает конфликт - получается, что маршрут в сеть VPN Clients идёт через интерфейс, принадлежищий к сети Internal. Выход из сложившейся ситуации можно найти в назначении IP адресов VPN клиентам от сервера DHCP. В этом случае IPадреса, назначаемые VPN-клиентам, автоматически будут исключаться из диапазона адресов внутренней сети и конфликта не будет. Если нужно назначать IP адреса клиентам VPN из пула адресов сервера VPN, то пул адресов должен содержать IP адреса, не входящие ни в один из диапазонов адресов сетей, определённых на ISA сервере.
    16 октября 2006 г. 11:22

Все ответы

  • Хай.

    Ну, во-первых на внешнем интерфейсе исы не надо прописывать днс серверы, и во-вторых проверь таблицу маршрутизации route print. Лишние подсети надо удалить.

    16 октября 2006 г. 9:36
  • route print:

    IPv4 таблица маршрута
    ===========================================================================
    Список интерфейсов
    0x1 ........................... MS TCP Loopback interface
    0x10002 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
    0x10003 ...00 17 a4 8d eb d9 ...... HP NC7782 Gigabit Server Adapter #3
    0x10004 ...00 17 a4 8d eb da ...... HP NC7782 Gigabit Server Adapter #4
    ===========================================================================
    ===========================================================================
    Активные маршруты:
    Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
              0.0.0.0          0.0.0.0    83.221.12.145    83.221.12.146     10
             10.0.0.0        255.0.0.0        10.1.1.19        10.1.1.19     10
            10.1.1.16  255.255.255.255         10.3.1.0         10.3.1.0      1
            10.1.1.19  255.255.255.255        127.0.0.1        127.0.0.1     10
             10.3.1.0  255.255.255.255        127.0.0.1        127.0.0.1     50
             10.3.1.1  255.255.255.255         10.3.1.0         10.3.1.0      1
             10.3.1.9  255.255.255.255         10.3.1.0         10.3.1.0      1
       10.255.255.255  255.255.255.255        10.1.1.19        10.1.1.19     10
        62.183.32.165  255.255.255.255    83.221.12.145    83.221.12.146     10
         81.26.133.86  255.255.255.255    83.221.12.145    83.221.12.146     10
        83.221.12.144  255.255.255.240    83.221.12.146    83.221.12.146     10
        83.221.12.146  255.255.255.255        127.0.0.1        127.0.0.1     10
       83.255.255.255  255.255.255.255    83.221.12.146    83.221.12.146     10
            127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
       212.152.33.198  255.255.255.255    83.221.12.145    83.221.12.146     10
            224.0.0.0        240.0.0.0        10.1.1.19        10.1.1.19     10
            224.0.0.0        240.0.0.0    83.221.12.146    83.221.12.146     10
      255.255.255.255  255.255.255.255        10.1.1.19        10.1.1.19      1
      255.255.255.255  255.255.255.255    83.221.12.146    83.221.12.146      1
    Основной шлюз:       83.221.12.145
    ===========================================================================
    Постоянные маршруты:
      Отсутствует

    =============

    DNS-ы не указывать какие именно? Внешние?

    16 октября 2006 г. 10:39
  • Забыл указать:

    Моя подсеть офиса (локальная): 10.*.*.* / 255.0.0.0

    Внутренний IP ИСЫ (gate-server) - 10.1.1.19

    16 октября 2006 г. 10:43
  • DNS-сервера вообще не нужно указывать в настройках внешнего подключения. Никакие.

    Проверьте ещё, нет ли лишних сетей в Configuration -> Networks, и соответственно лишних правил там же на закладке «Network Rules». И нет ли лишних подсетей в свойствах сети Internal.

    16 октября 2006 г. 10:51
    Модератор
  • Да, действительно - подсети (в internal) какого-то черта были укаказы так: 10.1.1.1 - 10.2.255.255 и тут же еще: 10.4.1.1-10.4.255.255 - может ее из-за этого так клинило.

    Сейчас исправил - посмотрим, как она себя вести начнет.

    На счет DNS-ов: как это не указывать внешних ДСН-ов, если это единственный гейт? Юзера тогда ни на один сайт имхо не мыйдут? Или я что-то не так понимаю?

    16 октября 2006 г. 11:10
  • Всё дело в том, что при настройке VPN доступа на ISA вы определили, что IP адреса VPN клиентам назначаются из пула адресов, заданных на сервере VPN. Для удобства маршрутизации эти адреса обычно являются частью внутреннего диапазона адресов. В результате чего возникает конфликт - получается, что маршрут в сеть VPN Clients идёт через интерфейс, принадлежищий к сети Internal. Выход из сложившейся ситуации можно найти в назначении IP адресов VPN клиентам от сервера DHCP. В этом случае IPадреса, назначаемые VPN-клиентам, автоматически будут исключаться из диапазона адресов внутренней сети и конфликта не будет. Если нужно назначать IP адреса клиентам VPN из пула адресов сервера VPN, то пул адресов должен содержать IP адреса, не входящие ни в один из диапазонов адресов сетей, определённых на ISA сервере.
    16 октября 2006 г. 11:22
  • У вас же внутренние DNS-сервера разрешают запросы имён в Интернете от пользователей внутри сети? Грубо говоря, у клиентов внутри сети какие настройки DNS установлены? По идее, все внутренние машины должны обращаться ко внутренним DNS-серверам. А если эти сервера на могут разрешить имена (так как эти имена находятся в Интернете), то они уже запрашивают информацию у DNS-серверов провайдера. В этом отношении машина с ISA Server ничем не отличается от всех остальных. Она обращается ко внутреннему DNS-серверу, а тот уже находит нужную информацию либо в своём кеше, либо отправляет запрос к DNS-серверу провайдера.
    16 октября 2006 г. 11:26
    Модератор
  • здраствуйте!

    Ваша проблема заключается в том, что Вы определили свою внутреннюю сеть как  10.0.0.0/8, соответственно весь диапозон адресов (в том числе и 10.3.0.0-10.3.0.255;10.3.2.0-10.3.255.255;10.5.0.0-10.255.255.255) должны принадлежать к внутренней сети и на ИСА сервере, однако из изложенной Вами конфигурации видно, что часть этих адресов Вы не хотите использовать во внутреннем пространстве. Мое решение такое:

    используйте для LOCAL - Ethernet адаптер маску подсети 255.255.0.0 а для взаимодействия с подсетями 10.2.0.0/16, 10.3.0.0/16, 10.4.0.0/16 добавьте путь к ним в таблицу маршрутизации через локальный интерфейс (пример команды  "route add -p 10.2.0.0 mask 255.255.0.0 10.1.1.19"), IP адрес Интерфейс RAS-сервера - PPP адаптер: измените на любой из оставшихся незадействованных подсетей (например 10.5.1.0).

    16 октября 2006 г. 18:36
  • Дело в том, что внутренний DNS-сервер запрашивает внешние ДНС-ы через ИСУ. Поэтому приходится на ИСЕ прописывать внешние ДНС-ы.
    17 октября 2006 г. 8:43
  • не понимаю. Внутренний DNS-сервер обращается к кому? Должен — к DNS провайдера. Для этого на внутреннем DNS должен быть указан шлюзом по умолчанию сервер c ISA (как вариант — прописать статический маршрут, но это особо параноидальное решение). Так вот, ISA уже сам маршрутизирует этот DNS-запрос, как и любой другой TCP- или UDP-пакет. Для этого ISA-серверу совершенно не нужны внешние DNS-сервера в настройках подключения.
    17 октября 2006 г. 9:31
    Модератор
  • Согласен. Да, я об этом не подумал, спасибо :-)
    17 октября 2006 г. 10:02
  • Спасибо, хороший и понятный ответ - сейчас пробую именно его, думаю, что все получится.
    17 октября 2006 г. 10:04
  • И вам отдельное спасибо - по пунктам все расписано - возможно, и ваш вариант сделаю впоследствие.
    17 октября 2006 г. 10:05