Discussion :

[foxer98]

Bonjour,

Je viens d'installer sur un serveur win2k3 sp1 un isa 2006 afin de m'en servir dans le mode EDGE.
J'ai utiliser ce tuto très bien fait je trouve pour le mettre en place ici.
Mais je pense que je ne vais pas tarder à me pendre, car rien ne fonctionne et je ne suis toujours pas couché .
Voici une image de ma topologie quand je la mets en fonctionnement plus rien ne fonctionne. Je souhaite surtout l'utiliser pour bloquer messenger, et filter le web.

Voici mes règles de base:
Rule Action = Allow

Protocole Interface interne Interface externe User
DNS INTERNAL IP RANGE 2 ISP DNS ALL USER
HTTP& HTTPS INTERNAL EXTERNAL ALL USER


Mes clients sont configurés comme cela:
IP: DHCP = 192.168.0.X
Netmask 255.255.255.0
Gateway: 192.168.0.3 (Mon ISA serveur)
DNS1:192.168.0.2 (Mon contrôleur de domaine, DNS, DHCP)
DNS2: L'adresse DNS1 de mon ISP
DNS3: L'adresse DNS2 de mon ISP


Dans le navigateur je met proxy : 192.168.0.3 et port 8080, j'ai aussi essayé le client ISA de microsoft.


Voilà pour la config.

Dès lors que la configuration est active plus rien ne fonctionne, cependant si par exemple je remplace l'adresse du routeur par 192.168.0.1(au lieux 192.168.100.1, voir topo) et que je mets comme gateway l'adresse du routeur, je retrouve internet met ça ne filtre plus et le navigateur web me renvoie que des erreurs 502(j'ai mis un patch Microsoft pour ça d'ailleurs) ou autres.


Je ne comprends vraiment pas pourquoi, ça ne fonctionne pas j'ai testé des touts se que je trouver sur la main internet, mais rien à faire. Donc si quelqu'un avait vraiment la gentillesse de me donner un coup de main j'en serais le plus heureux. Je vous en remercie par avance.

Xavier

[Michaël]

salut,
as-tu essayé d'accéder à internet sans utiliser de dns ? essaie d'accéder à http://74.125.77.104 (google.fr). étant donnée ta topologie, ton isa doit fonctionner en mode routage et pas en mode nat (à contrôler) vu que ton routeur fait le nat (ça sert à rien de faire du double-nat ici)
ta règle sur le dns est pas claire du tout. c'est quoi "internal ip range 2" ? pourquoi utiliser les zones Internal et External pour http+https alors que pour le dns, c'est d'autres zones ?

à mon avis, tu as un problème sur les zones et donc les règles essaie de créer une règle passoire (t'autorise tout vers tout)

autre chose, je te conseille de passer le sp1 d'isa 2006, ça aide pas mal

[foxer98]

salut,
as-tu essayé d'accéder à internet sans utiliser de dns ? essaie d'accéder à http://74.125.77.104 (google.fr). étant donnée ta topologie, ton isa doit fonctionner en mode routage et pas en mode nat (à contrôler) vu que ton routeur fait le nat (ça sert à rien de faire du double-nat ici)
ta règle sur le dns est pas claire du tout. c'est quoi "internal ip range 2" ? pourquoi utiliser les zones Internal et External pour http+https alors que pour le dns, c'est d'autres zones ?

à mon avis, tu as un problème sur les zones et donc les règles essaie de créer une règle passoire (t'autorise tout vers tout)

autre chose, je te conseille de passer le sp1 d'isa 2006, ça aide pas mal

Merci pour ta réponse, l'ip range dans le dns sont les deux ip du dns de mon fournisseur, quand j'essaye de me connecter avec l'ip de google j'ai une erreur quand même. J'ai l'impression qu'il bloque tout même avec les règles.J'ai bien installé ISA SP1.


Par contre, j'ai pas très bien compris, comment je fais pour que mon ISA soit en mode routage et pas NAT. je sais pas si tu parle de ça mais je viens de trouver le kb 837453 ma configuration est presque pareil.

Merci de ton aide franchement, j'avais peur de ne pas avoir de réponse et je suis pommé la

Xavier

PS: pour l'instant je ne peux pas essayer ma boite est en production donc je bosse sur ISA à partir de 18h afin de pas pénaliser les employés. Par contre, je recherche tout se que je peux en avance. Connais tu un site ou quelque chose qui pourrais me donner les règles de base à mettre en place dans un ISA. Car j'ai vu dans les log plein d'erreurs netbios. Merci

[Michaël]

alors pour les erreurs netbios dans les logs, il ne faut pas en tenir compte : c'est isa qui interdit que les requêtes netbios se baladent sur internet donc rien d'inquiétant

personnellement, quand je modifie les règles et que ça ne marche pas, j'essaie de faire par étape pour essayer de comprendre là où ça coince. je créé donc une règle passoire (qui passe outre la règle d'interdiction de tout) pour m'assurer que mon réseau marche bien (avec le proxy dans ton cas) et ensuite je supprime cette règle passoire pour créer une règle qui autorise http(s) vers l'interface externe puis une autre pour autoriser dns vers l'interface externe. je parle bien d'interface externe : cela veut dire que je ne limite pas à quelques ip de destination

si ça continue de marcher, je peux vraiment restreindre les accès si ça bloque entre temps, un coup d'oeil dans le monitoring pour savoir pourquoi isa bloque tout.
j'ai déjà eu le cas où ftmg (le successeur d'isa) bloquait tout un réseau parce qu'il n'était pas correctement déclaré dans l'interface interne (plusieurs vlan et j'avais oublié d'inclure le réseau du vlan dans l'interface interne donc bloquage avec un message à la noix)

je te dit ça parce qu'il est possible que ton interface interne (dans la config d'isa, pas la carte réseau côté interne) ne soit pas correctement configurée et donc isa te jette. ce que tu peux faire, c'est essayer d'accéder au net à partir d'un poste dont tu as l'ip et regarder dans le monitoring (c'est filtrable) pourquoi l'ip de ce poste se fait jeter

[foxer98]

alors pour les erreurs netbios dans les logs, il ne faut pas en tenir compte : c'est isa qui interdit que les requêtes netbios se baladent sur internet donc rien d'inquiétant

personnellement, quand je modifie les règles et que ça ne marche pas, j'essaie de faire par étape pour essayer de comprendre là où ça coince. je créé donc une règle passoire (qui passe outre la règle d'interdiction de tout) pour m'assurer que mon réseau marche bien (avec le proxy dans ton cas) et ensuite je supprime cette règle passoire pour créer une règle qui autorise http(s) vers l'interface externe puis une autre pour autoriser dns vers l'interface externe. je parle bien d'interface externe : cela veut dire que je ne limite pas à quelques ip de destination

si ça continue de marcher, je peux vraiment restreindre les accès si ça bloque entre temps, un coup d'oeil dans le monitoring pour savoir pourquoi isa bloque tout.
j'ai déjà eu le cas où ftmg (le successeur d'isa) bloquait tout un réseau parce qu'il n'était pas correctement déclaré dans l'interface interne (plusieurs vlan et j'avais oublié d'inclure le réseau du vlan dans l'interface interne donc bloquage avec un message à la noix)

je te dit ça parce qu'il est possible que ton interface interne (dans la config d'isa, pas la carte réseau côté interne) ne soit pas correctement configurée et donc isa te jette. ce que tu peux faire, c'est essayer d'accéder au net à partir d'un poste dont tu as l'ip et regarder dans le monitoring (c'est filtrable) pourquoi l'ip de ce poste se fait jeter

OK je vais faire ça, une règle qui ouvre tout comme ça je pourrais voir si tout passe, par contre j'ai pas compris :s l'histoire du vlan dans mon réseau il n'y a pas de vlan il est tout simple , j'ai aussi un doute sur le routage de ISA, se que tu m'as dit tout à l'heure concernant le NAT et Routage me chiffonne, je fais des recherches actuellement, car je ne connais pas du tout ISA en faite (3 jours maintenant que nous sympathisons et il est pas très sympa avec moi .