none
Доступ в Internet через VPN+Isa2004 для клиентов локальной сети RRS feed

  • Вопрос

  • Доброго времени суток.....
    Вопрос в чем...есть организация с доступом в Интернет через VPN(подключение к VPN есть уже, настроено и работает), назрел вопрос организации нормального доступа в инет ....решил поставить Isa 2004.
    Поднял все с нуля(пока ничего не подключал, только предварительная настройка...все буду делать в выходные)...выбрал из шаблонов Edge Firewall и из предлагаемых правило по умолчанию для организации ограниченного доступа в инет(HTTP,HTTPS,FTP), (домена нет) создал в исе компьютеры(ComputerSet) и кому можно ходить в инет добавил в правило доступа...
    На вкладке Network rules стоит Local Host Access - Nat, Internet Access - Nat. Согласно книге Шиндлера "Isa server 2004" создал правило для доступа c LocalHost'а к VPN серверу провайдера по протоколу PPTP и поставил его первым, но там сказано, что надо еще правила создавать(... "нужно еще создавать правила доступа, которые разрешат входящий и исходящий доступ к/из защищенных сетей брандмауэра ISA. см. главу 7...стр.342 книги..."...). Подскажите пожалуйста, на какие грабли еще наступлю....Заранее спасибо.
    24 ноября 2006 г. 6:19

Ответы

  • При применении шаблона Edge Firewall Вы выбрали правило для организации ограниченного доступа в инет (НТТР, НТТРS, FTP). Это как раз и есть "правило доступа, которое разрешает исходящий доступ из защищённых сетей брандмауера ISA. см.главу 7 ...стр.342 книги..". Правило, которое разрешает входящий доступ создавать надо в том случае, если Вы собираетесь организовать доступ внешних пользователей к серверам защищаемой ISA сети.
    24 ноября 2006 г. 7:48
  • Клиенты внутренней сети используют частные (private) IP адреса, поэтому при обращении во внешнюю сеть их адреса (клиентов) должны транслироваться в доступные извне адреса (public addresses). ПО Firewall client может устанавливаться на ОС, начиная с Win98, поэтому отключать поддержку Web Proxy клиентов во внутренней сети не надо и останавливать службу - тем более. Служба WebProxy Service в ISA 2004 отсутствует, есть только служба Firewall Service, при её остановке ISA перейдёт в режим lockdown и перестанет пускать клиентов в Интернет. Правило доступа, которое Вы создали разрешает доступ в Web ресурсам Интернет, поэтому, настроив все клиентские компьютеры в качестве Web proxy клиентов (т.е. указав в свойствах IE адрес прокси-сервера), Вы сможете обеспечить требуемый уровень доступа.
    24 ноября 2006 г. 9:59
  • Если внутренняя сеть состоит из одного сегмента (нет внутренних маршрутизаторов), то достаточно будет на клиентских компьютера просто установить ПО Firewall клиента и настроить его на использование ISA. Для Web proxy клиентов тоже достаточно настроить Web browser на использование ISA. Шлюз по умолчанию на клиентах нужно указывать в том случае, если они будут, например, самостоятельно разрешать имена компьютеров в Интернете, обращаясь к DNS серверу провайдера.
    24 ноября 2006 г. 12:55
  • По первому пункту: да, в правилах системной политики (System Policy Rules) нужно изменить правило №8, добавив IP адрес DHCP сервера интернет-провайдера в список адресов серверов, от которых ISA сервер может получать DHCP-ответы на свои DHCP-запросы.

    По второму пункту: у ISA сервера в Toolbox в сетевых объектах есть предопределённый набор доменных имён (Domain Name Sets), называется он System Policy Allowed Sites. Включая в этот набор доменное имя сайта (например производителя антивирусного ПО), Вы тем самым разрешаете доступ к этому ресурсу самому ISA серверу. Для доступа к сайту Microsoft Update после установки SP2 для ISA в наборы доменных имён добавляется ещё один - Microsoft Update Domain Name Set - для создания правила кэширования содержимого, получаемого с этого сайта.

    По третьему пункту: в консоли ISA Server Management в узле Configuration (Настройка) выбираем узел General (Общие), далее щёлкаем ссылку Specify Dial-up Preferences. Затем установить переключатель в положение Allow automatic dialing to this network (Разрешить автоматический набор номера для соединения с этой сетью) и в раскрывающемся списке выбрать сеть External. Эта настройка позволяет ISA автоматически устанавливать соединение в ответ на запросы клиентов, получаемые из защищаемой ISA сети. При этом, при использовании VPN соединений (с аналоговыми модемными соединениями проблем нет), могут наблюдаться проблемы с автоматическим набором. В таком случае нужно вручную установить VPN-соединение и настроить его на автоматический повторный вызов.

    26 ноября 2006 г. 23:36

Все ответы

  • Делай как написано.

    А когда наступишь - тогда и напишешь.

    24 ноября 2006 г. 6:25
    Модератор
  • При применении шаблона Edge Firewall Вы выбрали правило для организации ограниченного доступа в инет (НТТР, НТТРS, FTP). Это как раз и есть "правило доступа, которое разрешает исходящий доступ из защищённых сетей брандмауера ISA. см.главу 7 ...стр.342 книги..". Правило, которое разрешает входящий доступ создавать надо в том случае, если Вы собираетесь организовать доступ внешних пользователей к серверам защищаемой ISA сети.
    24 ноября 2006 г. 7:48
  • Спасибо, буду пробовать....
    24 ноября 2006 г. 9:19
  • Тогда еще один вопрос...если позволите, как я понимаю, сейчас все будут ходить в инет через НАТ т.е. я могу на вкладке Neworks у Internal отключить в свойствах Enable Web Proxy clients и остановить службу, доступ в инет будет , но есть небольшая проблема...некоторые компьютеры в организации работают еще под 95 виндами...есть еще Me и 98...., боюсь что Firewall client не сможет туда встать....или оставить обе возможности, все что может пустить через клиента, а остальных черех web proxy...?
    24 ноября 2006 г. 9:41
  • На ISA сервере

    To allow connections from clients running previous versions of Firewall Client

    1. In the console tree of ISA Server Management, click General.
    2. In the details pane, click Define Firewall Client Settings.
    3. On the Connection tab, click Allow non-encrypted Firewall client connections.

    А для старых клиентов скачать совместимый с ними клиент

    24 ноября 2006 г. 9:54
    Модератор
  • Клиенты внутренней сети используют частные (private) IP адреса, поэтому при обращении во внешнюю сеть их адреса (клиентов) должны транслироваться в доступные извне адреса (public addresses). ПО Firewall client может устанавливаться на ОС, начиная с Win98, поэтому отключать поддержку Web Proxy клиентов во внутренней сети не надо и останавливать службу - тем более. Служба WebProxy Service в ISA 2004 отсутствует, есть только служба Firewall Service, при её остановке ISA перейдёт в режим lockdown и перестанет пускать клиентов в Интернет. Правило доступа, которое Вы создали разрешает доступ в Web ресурсам Интернет, поэтому, настроив все клиентские компьютеры в качестве Web proxy клиентов (т.е. указав в свойствах IE адрес прокси-сервера), Вы сможете обеспечить требуемый уровень доступа.
    24 ноября 2006 г. 9:59
  • Т.е. если я Вас правильно понял, для клиентов, на которые можно установить FWC, ставим и указываем у них шлюз на внутренний интерфейс ИСЫ и они используют FWC клиента, остальные ходят через прокси..., только надо-ли у них тоже прописывать шлюз в свойствах сети..., это конечно ничего не изменит...
    24 ноября 2006 г. 12:08
  • Если внутренняя сеть состоит из одного сегмента (нет внутренних маршрутизаторов), то достаточно будет на клиентских компьютера просто установить ПО Firewall клиента и настроить его на использование ISA. Для Web proxy клиентов тоже достаточно настроить Web browser на использование ISA. Шлюз по умолчанию на клиентах нужно указывать в том случае, если они будут, например, самостоятельно разрешать имена компьютеров в Интернете, обращаясь к DNS серверу провайдера.
    24 ноября 2006 г. 12:55
  • Спасибо..все понял...буду пробовать...
    24 ноября 2006 г. 13:57
  • Успехов! Я буду, в принципе, в конференции на выходных.
    24 ноября 2006 г. 15:33
  • Пока не буду ничего говорить, но в принципе заработало...только были небольшие грабли...1. Надо добавить DHCP сервер прова в System Policy...точно сейчас не помню...нет ИСЫ под рукой (там что-то связанное с DHCP), иначе не будет подключения...(клиент не получит IP адрес от DHCP прова...)2. Надо создавать отдельное правило...для того-чтобы сама ИСА ходила в инет...это если надо обновлять антивирусный сервер, или если на ней стоит WSUS, правило типа localhost-External не работает..хитро получается, localhost(это похоже IP внутр.сети), есть еще IP который присваивается, когда ИСА получает ИП от прова, и еще один, который появляется после поднятия VPN соеденения, вот с него и надо выход исы в инет...Пришлось повоевать, мож это и немного туповать(если подскажите как это переделать, то переделаю, сам пока не знаю...), я просто до этого ниразу не поднимал ИСУ с VPN.. И еще последний вопрос...как заставить эту самую ИСУ саму поднимать соединение VPN, там все для этого есть, только оно не работает?..., т.е. она пытается выполнить соединение, но не выходит, если смотреть на ярлык соединения, то видно, что через опр.время(заданное для перезванивания) ярлык меняется(типа пытается что-то сделать), но бестолку, а если самому поднять, то все нормально...или использовать внешние звонилки?, или если добавить скрипт в локальную групповую политику(Конфигурация компьютера\Конфигурация Windows\Сценарии\Автозагрузка), он будет выполняться ДО входа пользователя в систему....
    26 ноября 2006 г. 18:12
  • По первому пункту: да, в правилах системной политики (System Policy Rules) нужно изменить правило №8, добавив IP адрес DHCP сервера интернет-провайдера в список адресов серверов, от которых ISA сервер может получать DHCP-ответы на свои DHCP-запросы.

    По второму пункту: у ISA сервера в Toolbox в сетевых объектах есть предопределённый набор доменных имён (Domain Name Sets), называется он System Policy Allowed Sites. Включая в этот набор доменное имя сайта (например производителя антивирусного ПО), Вы тем самым разрешаете доступ к этому ресурсу самому ISA серверу. Для доступа к сайту Microsoft Update после установки SP2 для ISA в наборы доменных имён добавляется ещё один - Microsoft Update Domain Name Set - для создания правила кэширования содержимого, получаемого с этого сайта.

    По третьему пункту: в консоли ISA Server Management в узле Configuration (Настройка) выбираем узел General (Общие), далее щёлкаем ссылку Specify Dial-up Preferences. Затем установить переключатель в положение Allow automatic dialing to this network (Разрешить автоматический набор номера для соединения с этой сетью) и в раскрывающемся списке выбрать сеть External. Эта настройка позволяет ISA автоматически устанавливать соединение в ответ на запросы клиентов, получаемые из защищаемой ISA сети. При этом, при использовании VPN соединений (с аналоговыми модемными соединениями проблем нет), могут наблюдаться проблемы с автоматическим набором. В таком случае нужно вручную установить VPN-соединение и настроить его на автоматический повторный вызов.

    26 ноября 2006 г. 23:36
  •  Alexander Elkin - MCT написано:

    По третьему пункту:   

    При этом, при использовании VPN соединений (с аналоговыми модемными соединениями проблем нет), могут наблюдаться проблемы с автоматическим набором. В таком случае нужно вручную установить VPN-соединение и настроить его на автоматический повторный вызов.

     

    в 2 из 2 isa2004 и 1 из 1 isa2006 "При этом, при использовании VPN соединений могут наблюдаться проблемы с автоматическим набором" - проблемы есть, причем isa ругается на rras, якобы у него там что-то не получается !!!

    вопрос : такое поведение "by design" или все же у кого-то работает автодозвон VPN ??? Как заставить isa ??? честно говоря сильно удивился когда первый раз встретился с данной проблемой - такой серьезный брандмауэр и не может самостоятельно inet подключить - приходится извращаться..... если учесть что серваки удаленные и с той стороны некому подойти и поднять vpn в случае чего ручками - просто материться хочется !!!

    18 декабря 2006 г. 9:22