|
TMG 2010 NAT
Добрый день, подскажите не могу найти причину почему не открываются сайты, грешу на НАТ. Предыстория :
Есть 2921 циска к ней подключен TMG одним интерфейсом айпишник 192.170.1.2 вторым интерфейсом подключена локалка 10.2.10.15. С циски 2921 если подключить комп интернет есть все бегает проблем нет. С TMG проблема в следующем в любом браузере сайты не открываются, но если пропинговать с сервера пинги бегают ровно как по имени так по айпи. Поотключал прокси проверки шттп и т.д. добавил правила к веб-доступу все протоколы источник все сети назначение все сети - не открываются. Тестирую в TMG сайт пишет Время, зафиксированное службой межсетевого экрана Microsoft Forefront TMG: 63,006 сек. Тестирование http://mail.ru:80 Категория: Ошибка подключения Сведения об ошибке: 10060 - Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера. Действие: Перейти к http://go.microsoft.com/fwlink/?LinkId=115965 Правило созданное автоматом TMG по умолчанию источник внут. назначение внеш. отношение NAT адреса NAT по умолчанию Подскажите куда смотреть чтоб проблему исправить? |
Цитата:
|
Вложений: 1
держите
ipconfig - client http://forum.oszone.net/attachment.p...1&d=1461666215 ipconfig -TMG http://forum.oszone.net/attachment.p...1&d=1461666346 правила http://forum.oszone.net/attachment.p...1&d=1461666215 Там видно на скрине что клиент также пингует сайт mail.ru но через браузер не заходит |
cRYSMASsys,
Покажите скриншоты из консоли TMG раздел Сеть->Закладки Networks и Networks Rules. |
Вложений: 2
|
Установил на ПК клиенте 10.2.10.99 клиент TMG грабли остались. Сервер прекрасно видится клиентом...
|
cRYSMASsys,
Покажите скрин правил из раздела Политики межсетевого экрана. Если включить лог указав ч качестве параметра Client IP=10.2.10.99 и попробывать с клиента открыть сайт, по какому правилу будет блокироваться трафик??? |
Вложений: 2
Блокирует клиент по правилу TEST, но в TMG по скрину видите что все пользователям все разрешено
http://forum.oszone.net/attachment.p...1&d=1461672860 Блокировка трафика http://forum.oszone.net/attachment.p...1&d=1461673016 |
[IMG]
 [/IMG]вот еще отключил правило TEST, пинги на клиенте пропали, Дал запрос в браузере на mail.ru c TMG вот ошибка [IMG]  [/IMG] |
cRYSMASsys,
Круто, а как то у Вас mail.ru оказался в Вашей демилитаризованной зоне??? В разделе Сети, на вкладке Networks задайте правильный диапазон для демилитаризованной зоны либо отключите ее совсем, а то у Вас все адреса Интернета оказались в демилитаризованной зоне. |
переделал, убрал дем. зону. Все по старому.
вот что получается [IMG]  [/IMG] |
Цитата:
|
что с клиента что с самого сервера.
|
Цитата:
|
Скрин логов клиента 10.2.10.99 пингует ukr.net по вебу не заходит на mail.ru через ослика.
[IMG]  [/IMG]Прокси отключена [IMG]  [/IMG] |
Скрин закладки Адреса и Автообнаружение, а еще покажите и отключите правило 111.
|
а прокси для чего выключен?
|
правило отключил 111 проверил также, вопрос автообноружение и Адреса где смотреть.?
Цитата:
|
Попробуйте в сетевом правиле, где вы разрешаете NAT, изменить адрес "По умолчанию" на "Указанный адрес" и выберите свой внешний IP. Сохраните конфигурацию и перезагрузите службы TMG.
|
Цитата:
[IMG]  [/IMG]но по вебу таже ошибка [IMG]  [/IMG]у меня в маршрутах вот это [IMG]  [/IMG]то есть что я поменял "Маршрут по умолчанию" на маршрут внеш. сет. платы то есть указал явно 192.170.1.2 - результата не дало. Вопрос в правилах как мне сделать мапинг нат??? Ну есть Kerio FW (как сейчас Control)который явно указывает мапинг NATа а тут я не нашел только в сетевых правилах. Может что то я не так делаю? |
|
Цитата:
[IMG]  [/IMG]автообнаружение [IMG]  [/IMG]лог клиента [IMG]  [/IMG] |
Попробуйте отключить HTTP фильтр и перезагрузить сервер с TMG.
|
отключил не помогло все так же=(
|
проблема в кошке скорее всего.
P.S. включите обратно http фильтр и прокси. их выключать не нужно. |
Цитата:
если без прокси не катит то и с прокси не заработает, у Вас как это реализовано? |
Добрый с прошедшим Вас праздничками, включил прокси в браузере прописал указал имя сервера TMG и порт 8080. В кладке наблюдение выявил ошибку
Описание: Фильтр веб-прокси не смог связать свой сокет с 10.2.10.15 порт 80. Это может быть вызвано другой службой, которая уже использует тот же порт, или сетевой платой, которая не работает. Для устранения неполадки перезапустите службу межсетевого экрана Microsoft. Код ошибки, указанный в области данных свойств события, обозначает причину ошибки. Сбой произошел из-за ошибки: Сделана попытка доступа к сокету методом, запрещенным правами доступа. 10.2.10.15 (TMG сервер локалка) |
Цитата:
Цитата:
|
Цитата:
|
Цитата:
|
Цитата:
|
а на каком порут у вас автодискавери?
повесьте прокси на 3128, а автодискавери =/ порту репортинга и перезапустите всё вместе. P.S. а SQL Reporting так нужен на хосте с TMG? ;) |
Цитата:
|
Цитата:
TMG устанавливает SQL Express без RS. |
Цитата:
|
Снес сиквел, установил порт на прокси 3128, без результативно таже ошибка
Цитата:
|
Все нашел в чем проблема, оказывается в влане на циске 2921 забыл прописать две команды для разрешения достапа НАТ к данному Влану который идет к TMG. После этого все забегало и заработало!!! Спасибо всем, за помощь. Проблема была не в TMG!!!
А теперь вопрос прозрачный прокси реализуется на TMG? Или сугобо так: Ставится клиент TMG у пользователей домена. В груп. политиках указывается прокси и раздается всем пользователям домена. погуглил наблюдаются проблемы с Оперой Кто что скажет? Еще один вопрос: если включаю проверку HTTPS не открывает сайты. если отключаю все норм это что может быть? |
| Время: 12:24. |
Время: 12:24.
© OSzone.net 2001-