VipNet Client через ISA server

[target]

Добрый день.

Работает ли VipNet Client 2.8.7 (579) через ISA Server 2000 SP 1.

Если работает, то подскажите как настроить. У нас не происходит соединение.

Спасибо.

[olegbel]

ДОбрый день Target!!!

Аналогичная ситуация!!.

Есть ли у тебя какие подвижки за это время? Если да то помоги с этой бедой разобраться.

[Stratos]

olegbel

ViPNet [Клиент] работает через ISA Server, только если использовать ISA в качестве прикладного прокси.

Рекомендую почитать http://www.iitrust.ru/support/faq_iit.htm#10

Какие настройки конкретно нужно проделать на ISA сказать Вам не могу (нет исходной информации). И потом, если Вы являетесь зарегистрированым пользователем ПО ViPNet и у Вас есть договор на сопровождение, то что мешает Вам обратиться в службу техподдержки компании Инфотекс?

[Гость Hornet]

Подскажите, удалось кому-нибудь настроить работу этого чуда под ISA-сервером? Два дня бьюсь и все без толку Питерская поддержка в ISA вообще не рубит...

Публикацию сервера с портами UDP-55777 включил, в логах IP-фильтра прохождение пакетиков отмечается, а дальше - глухо как в танке - соединения с сервером как не было так и нет.

Если кому-то удалось подружить VipNet с ISA, откликнитесь на мыло forgetall@mail.cplus.ru.

[Bakar]

Если кому интересно как ЭТО настроить пишите b_alex@inbox.ru раскажу...

[Ян]

а еще ребус: будет ли работать клиент если: в местной сети выход в интернет через ISA-сервер, а с ISA - через WIN GATE (провайдерский), т.е. получается что клиент работает через цепочку из 2-х прокси. Если да то нужно ли что бы у провайдера были открыты порты UDP 55777?

[Stratos]

Добрый день Ян

Пропуск пакетов по порту 55777 нужно открывать на всех устройствах, через которые идет трафик.

[Ян]

Тогда еще есть вопрос: как можно просмотреть на каком этапе не проходят пакеты от клиента? Желательно в удобоваримой форме.

Например если нажать кнопку "опрос" в клиенте, то появляется вот такой малопонятный текст:

Start Poll 17:37:47.921

Have outgoing files for 004D0037 17:37:47.937

IP for 004D0037=11.0.0.3 17:37:47.937

Start connect to 11.0.0.3 on port #5002 17:37:47.953

1512 Connecting to 11.0.0.3 ... 17:37:47.953

1512 Error 10065 in function FD_CONNECT

No route to host 17:37:47.968

1512 Closed 17:37:47.968

Have outgoing files for 004D0037 17:37:49.953

IP for 004D0037=11.0.0.3 17:37:49.953

Start connect to 11.0.0.3 on port #5000 17:37:49.968

1544 Connecting to 11.0.0.3 ... 17:37:49.968

1544 Error 10065 in function FD_CONNECT

No route to host 17:37:49.968

1544 Closed 17:37:49.984

Have outgoing files for 004D0037 17:37:51.968

IP for 004D0037=11.0.0.3 17:37:51.968

Start connect to 11.0.0.3 on port #5001 17:37:51.984

1540 Connecting to 11.0.0.3 ... 17:37:51.984

1540 Error 10065 in function FD_CONNECT

No route to host 17:37:51.984

1540 Closed 17:37:51.984

Have outgoing files for 004D0037 17:37:53.984

IP for 004D0037=11.0.0.3 17:37:53.984

Start connect to 11.0.0.3 on port #5002 17:37:54.000

1312 Connecting to 11.0.0.3 ... 17:37:54.000

1312 Error 10065 in function FD_CONNECT

No route to host 17:37:54.000

1312 Closed 17:37:54.000

Have outgoing files for 004D0037 17:37:56.000

IP for 004D0037=11.0.0.3 17:37:56.000

Start connect to 11.0.0.3 on port #5000 17:37:56.015

456 Connecting to 11.0.0.3 ... 17:37:56.015

Хотелось бы попробовать отследить, где ошибка: на клиентской станции, на нашем прокси (в ISA открылм необходимые порты для исх и вх пакетов), или на прокси провайдера (WinGate, говорят что тоже порты открыты). Вобщем для начала хотелось бы определиться в какую сторону копать. Спасибо.

[Stratos]

Самый удобоваримый способ - поставить сниффер и смотреть, где дропятся пакеты.

Кнопка "опросить" - это вызов транспортного модуля MFTP и то, что Вы видите - это лог MFTP. По нему можно сделать только один вывод - MFTP клиента не может соединится с транспортным модулем Координатора.

[Ян]

Ну тогда с самого начала: запустил сканер, на клиентской машине - нет там открытого порта UDP-55777. А должен ли он быть открыт вообще?

[Stratos]

Доброе утро Ян

Про какую "клиентскую" машину идет речь? Про ту, на которой установлен ViPNet [Клиент] ?

Я уже писал несколькими постами ниже - "Пропуск пакетов по порту 55777 нужно открывать на всех устройствах, через которые идет трафик".

Если этот порт не открывать - работать НЕ БУДЕТ!!!

[sasha]

Помимо udp/55777, необходимо еще пропускать просто ip пакеты. Весь трафик между защищенными хостами шифруется а потом заворачивается именно в него. Номер IP протокола указан в документации, да и снифер может сказать его версию.

Поэтому, чтобы все работало нужно разрешить двусторонний обмен либо просто IP пакетов, либо для строгости правила - с указанием номера его версии, ну и плюс тот самый UDP/5577 на всех фаерволах которые стоят между защищенными хостами.

Еще может быть один нюанс: проверьте, на всех ли клиентах стоит правильный IP вашего координатора. Особенно актуально если координатор находится за маршрутизаторами относительно клиентов. Проверяется так: щелкаете раздел ЗАЩИЩЕННАЯ СЕТЬ. Ищете там значек координатора(ров) (он должен быть похож на значек сетевого окружения из винды 98 чтоли?) щелкаете по нему дважды и на закладке МЕЖСЕТЕВОЙ ЭКРАН ставите правильный IP.

[Гость adengin]

Возможно ли поставить координатор перед ISA сервером? Тоесть, чтобы работа была примерно по такой схеме:

vipnet client1 - coordinator - ISA - Internet - vipnet client2.

Сможет ли vipnet client1 работать в режиме открытого интернета, при такой организации? В документации сказано, что для реализации технологии открытого интернета, координатор должен быть установлен непосредственно на границе Internet/LAN и на нем должен быть установлен прокси.

[Stratos]

adengin

Поставить можно.

В каком режиме работает ISA сервер? Т.е. какой именно функционал он обеспечивает?

Что касается Вашего последнего вопроса -

В документации сказано, что для реализации технологии открытого интернета, координатор должен быть установлен непосредственно на границе Internet/LAN и на нем должен быть установлен прокси

Да, это так. А в чем вопрос?