Jump to content
Sign in to follow this  

Recommended Posts

Описание проблемы:

web-сервер (apache, ViPNet[клиент], 11.0.0.7) - ViPNet[Координатор] - фаервол организации 1 - Клиент организации 1 (ViPNet[клиент], 10.0.0.5)

Работа по виртуальным адресам.

web-сервер настроен на работу по порту 7777.

Проверка соединения проходит нормально.

ping от клиента на web-сервер проходит нормально (ping 11.0.0.7)

При попытке доступа через InternetExplorer (http://11.0.0.7:7777) web-страничка не открывается.

При этом ошибок не выводится.

При просмотре журналов ViPNet[клиент] на клиентской машине видно что пакеты нормально уходят с клиента и приходит ответ от web-сервера.

При просмотре логов web-сервера видно что он получал запрос от 10.0.0.5 и нормально его обрабатывал.

Но InternetExplorer этого понимать ни в какую не хочет.

Пробовали залезть гипертерминалом на 11.0.0.7 по порту 7777 тот же результат: попытка установить соединение и ничего.

При этом клиенты других организаций превосходно работают по этой схеме.

Можно навскидку сказать в чем проблема?

Share this post


Link to post
Share on other sites

A.Abankov

А какие настройки сделаны в самом IE?

Как клиент попадает на web-сервер, часом не через прокси?

Share this post


Link to post
Share on other sites

прощу прощения, действительно не указал важную вещь. :-)

Часть клиентов работает через прокси. В этом случае в настройках IE указываю не использовать прокси для виртуального адреса web-сервера.

У тех клиентов что работают без прокси, соответственно никаких настроек в IE не делаю.

Share this post


Link to post
Share on other sites

A.Abankov

Тогда так: попробуйте обращаться по реальному адресу к серверу, соответственно предварительно нужно настроить видимость по реальному адресу сервера.

Share this post


Link to post
Share on other sites

Предложение конечно интересно, но сложно реализуемо. Мы пошли по другому пути: вывели клиентскую машину в обход ихнего фаервола через модем. Соответственно убрали на ней настройки которые теперь ни к чему, а именно перенастроили ViPNet[Клиент] на работу без фаервола и в настройках IE убрали настройку прокси.

Заработало.

Отсюда был сделан вывод, что вся фишка в каком-то нюансе настройки фаервола. Хотя опять таки повторюсь, что проверка соединения с защищенными узлами, в том числе и с web-сервером проходит нормально.

К слову фаервол у клиента - ISA. Тут на форуме было много вопросов по настройке сего зверя для работы с ViPNet, но конкретных рекомендаций я что-то не видел.

Share this post


Link to post
Share on other sites

A.Abankov

Рекомендация по настройке работы ViPNet за ISA только одна: на узле, где установлен ViPNet не должно быть клиента ISA сервера, ISA сервер должен работать только как прокси прикладного уровня и ниикак иначе. При работе ISA в режиме firewall-а могут возникать проблемы при настройке ViPNet для работы через ISA.

Для более детальной разборки ситуации нужно знать настройки ISA и настройки прокси в ViPNet.

Даже при этом не факт, что были виноваты настройки прокси в ViPNet, я могу педположить, что ISA могла спокойно осуществлять NAT/PAT пакетов от web сервера. Поэтому нужно знать настройки ISA, а лучше всего видеть ее вживую 8)

Share this post


Link to post
Share on other sites
Поэтому нужно знать настройки ISA, а лучше всего видеть ее вживую 8)

В общем танцы с бубном.

Я так понимаю что если ISA настроена в качерстве фаервола то все равно возможно настроить работу ViPNet через нее, нужно только повозиться с настройками?

Share this post


Link to post
Share on other sites

A.Abankov

Не танцы с бубном, а нормальный процесс настройки. Как показывает практика, часто админы ISA сервера сами не знают какие настройки на нем сделаны и т.п., и все камни ссыпают на ViPNet.

То, что нужно повозиться с настройкам это однозначно.

Share this post


Link to post
Share on other sites

По настройкам ISA. Работает он только в режиме фаервола. Клиентов ISA на клиентской машине нет.

Пока не знаю подробностей, но толи админы что-то сделали с ISA толи я невнимательно смотрел до этого (пытался подключиться гипертерминалом и все таки мне кажется что соединение у меня так и не установилось) - заработал телнет. Подключение телнетом к веб-серверу по нужному порту проходит нормально. А браузером по прежнему нет. Что за мистика такая?

Share this post


Link to post
Share on other sites

A.Abankov

Нужно максимум информации по ISA + настройки на клиенте.

Можно выыслать все это добро на hotline@infotecs.ru

Share this post


Link to post
Share on other sites

Заработало.

Проблема была в значении MTU. Пришлось его уменьшить. Иса оказывается не принимает дефрагментированные пакеты.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×

Important Information

By using this site, you agree to our Terms of Use.