Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   ISA Server / Microsoft Forefront TMG (http://forum.oszone.net/forumdisplay.php?f=98)
-   -   Доступ к интернету с машин, находящихся не в домене (http://forum.oszone.net/showthread.php?t=163556)

YDen 15-01-2010 08:18 1320707
Доступ к интернету с машин, находящихся не в домене
 
Здравствуйте!
Подскажите пожалуйста как сделать следующее. Есть сеть с контроллером на Вин 2003, ИСА 2006, АД, ДНС, ГПО. Естественно все рабочие станции в домене. Для доступа к интернету на рабочих станциях стоит FWC. Как можно дать интернет для машин не принадлежащих домену. Т.е пришел человек с ноутом, подключился к сети и доступ есть. Естественно, это для определенного круга лиц.
Где то натыкался на то как это сделать, но найти не могу.

СПАСИБО

Anton04 15-01-2010 10:55 1320828
YDen,

Иса и AD на разных машинах?
Аутентификация нужна для этих групп пользователей?

Если не нужна делаем так:
1. Создаём правило разрешающее с определённых IP всем пользователям выход в инет. Это правило помещаем почти в самый низ.
2. В других нужных правилах добавляем исключения этих IP адресов.

Если нужна делаем так:
1. Разрешаем базовую аутентификацию (т.е. открытым текстом по логину и паролю).
2. Создаём учётку(и) на исе.
3. Создаём правило разрешающее выход в инет для созданных ранее учёток.

Telepuzik 15-01-2010 11:03 1320832
YDen
Варианты:
1. Создать доменного пользователя, прописать в настройках браузера адрес прокси сервера и сказать пользователям логин и пароль для доступа в интернет.
2. Если есть DHCP сделать привязку ip по MAC адресу для определенных компьютеров. На ISA создать правило разрешающие доступ для определенных ip без авторизации.

YDen 02-02-2010 16:13 1337020
Сделал, но еще больше в непонятках. Появились вопросы. Если не трудно, поясните пожалуйста, что я сделал неверно.

Ноут, не принадлежащий ЛВС, в свойствах сетевого интерфейса стоит IP 192.168.0.75, маска, шлюз - адрес сервера с ИСОЙ, днс - тот же адрес что и ИСА. В Свойствах подключения обозревателя http прокси поставил имя сервера ИСЫ, порт 80.

1.
Опишу по шагам:
Исходные данные: сервер на Вин 2003, на нем ИСА 2006, АД, ДНС. На ИСЕ в свойствах внутренней сети:
-диапазон адресов: 192.168.0.0-192.168.0.255 (все машины ЛВС лежат в этом диапазоне),
-доменные имена: *.firma.local
-напрямую обращаться к след.серверам и доменам - *.firma.local
-автообнаружение отключено (на всех машинах стоит FWC, вручную внесен имя сервера ИСЫ
-включена поддержка FWC, стоит галка Использовать сервер вэб-прокси
-включено подключение клиентов вэб-прокси для данной сети, HTTP 80
-проверка подлинности - встроенная.

НА ИСЕ создал разрешающее правило: ноут (внес в ису ip ноута)-внешняя, HTTP, Все пользователи.

При запросе вэб-страниц все открывает. Норма. Но хочется немного подстраховаться. Если в указанном выше правиле ставлю определенного пользователя, то интернет на ноуте не идет, запроса пароля нет.
Хотелось бы, чтобы пользователь подключившись к сети, мог "ходить" по сети (локальной) только введя имя пользователя и пароль. Так же при подключении к интернету происходила авторизация. Это нужно для безопасности и контроля трафика. А то любой может прийти со своей техникой, вбить настройки и работать в интернете.

2. Клиенты ЛВС ходят в инет только с использованием FWC - какие настройки во внешней сети поставить в закладках FWC и Вэб-прокси. Что сейчас стоит я описал выше.

3. Для клиентов гостей, вроде описанного выше случая с ноутом, создаю еще одну внутреннюю сеть, прописываю диапазон 192.168.0.70-192.168.0.80, остальные настройки идентичны первой Внутренней сети. Но интернет в этом случае не работает на ноуте - госте. Более того в Наблюдении-Ведении журнала я не вижу запросов с 192.168.0.75. Хочу чтобы настроки для клиентов домена были одни, а клиентов-гостей - другие.

4. Создано правило для системных протоколов (типа 53 порта) - стоит Все пользователи. Если ставлю Все прошедшие проверку пользователи - сеть становится недоступной. Для чего нужен Все прошедшие проверку пользователи?

Для пользователей домена в ИСЕ созданы персональные правила для выхода в инет, и правило для работы сети (типа 53 порта) для Все пользователи.

Подскажите, пожадуйста, где я ошибся и как нужно правильно.

Спасибо что уделили внимание проблеме.

Anton04 03-02-2010 11:12 1337694
YDen,

Плохо читал мой пост, перечитай ещё раз, глядишь вопросов поубавится.

YDen 04-02-2010 12:22 1338713
Сегодня сделал:

- установил способ авторизации заместо Встроенная поставил Обычная. На ноуте при запросе вэб-страниц стало появляться окно авторизации, но машины в сети перестали видеть сеть и сервер соответственно - убрал обратно на Встроенная

- опять попробовал создать дополнительную Внутреннюю сеть для диапазона 192.168.0.70\79. Создал сетевое правило Внутренняя сеть-Внутренняя сеть гостей, тип Маршрутизация, установил его после внутренней сети. Сетевые правила установлены на основе шаблона Пограничный экран. Итог - ноут не видит сеть, в Ведении журнала нет запросов от 192.168.0.75. Дополнительную внутреннюю сеть создавал, чтобы для клиентов-гостей поставить авторизацию Обычная.

Anton04 08-02-2010 12:40 1341996
YDen,

Цитата:
Цитата YDen
опять попробовал создать дополнительную Внутреннюю сеть для диапазона 192.168.0.70\79. »
Ошибка, т.к. у тебя во внутреннюю сеть входит и этот диапазон, ничего не выйдет. Или назначай другой диапазон или выделяй всё в отдельную сетевуху.

YDen 09-02-2010 14:49 1343038
Цитата:
Цитата Anton04
Ошибка, т.к. у тебя во внутреннюю сеть входит и этот диапазон, ничего не выйдет. Или назначай другой диапазон или выделяй всё в отдельную сетевуху. »

Во Внутренней сети1 исключил этот диапазон.

Shera_Best 22-02-2010 07:34 1353080
что такое FWC?
где его искать у клиентов?

Delirium 24-02-2010 01:05 1354367
Цитата:
Цитата Shera_Best
что такое FWC? »
это Firewall Client. Входит в дистриб ISA, после установки создается общая папка mspclnt, в ней лежат файлы установки.
Цитата:
Цитата Shera_Best
где его искать у клиентов? »
В трее возле часов.

YDen 24-02-2010 11:16 1354640
Цитата:
Цитата Delirium
это Firewall Client. Входит в дистриб ISA, после установки создается общая папка mspclnt, в ней лежат файлы установки. »
Это в ИСЕ 2000. В 2006 нет готовой расшаренной папки. Нужно ручками из дистрибутива вытаскивать и расшаривать.

Цитата:
Цитата Delirium
В трее возле часов. »
Не факт. Админ может настроить чтобы не отображался.
В панели управления или напрямую в Программ файлес, что то типа Майкрософт Файлволл.

Чтобы не плодить темы, тут спрошу.
На сервере 2 сетевых-одна смотрит во внутреннюю сеть - 192.168.0.1 и одна во внешнюю. Соединение с интернетом идет с созданием PPoE соединения. В свойствах соединения прописан ip. Но во внешнем интерфейсе, смотрящим в интернет стоит получить все автоматом. И периодически пытается получить сетевой адрес. И по логам к ИСЕ он шлет запрос на адрес.
Подскажите пожалуйста, какие адреса нужно ввести, чтобы не нарушить целостность сетевой конфигурации ИСЫ и чтобы не было поиска сетевого адреса.

PS DHCP в сети не использую.

Спасибо

Delirium 25-02-2010 00:50 1355269
Цитата:
Цитата YDen
Это в ИСЕ 2000. В 2006 нет готовой расшаренной папки »
Не совсем корректно. Не в 2000, а в 2004. И расшаренная папка будет, если при установке выставить галку. Если же нет, то да, придется руками расшаривать.

Цитата:
Цитата YDen
И периодически пытается получить сетевой адрес. И по логам к ИСЕ он шлет запрос на адрес. »
А адрес то получает или нет? Если да, можно попробовать статикой прописать полученные данные. Если же нет, то, получается, данный сетевой интерфейс не используется и его можно вообще отключить.

YDen 25-02-2010 05:34 1355360
Цитата:
Цитата Delirium
А адрес то получает или нет? Если да, можно попробовать статикой прописать полученные данные. Если же нет, то, получается, данный сетевой интерфейс не используется и его можно вообще отключить. »
Адрес 0.0.0.0, маска 0.0.0.0

Цитата:
Цитата Delirium
Если же нет, то, получается, данный сетевой интерфейс не используется и его можно вообще отключить. »
Через него идет соеднинение по PPoe.


Время: 02:43.

Время: 02:43.
© OSzone.net 2001-