Før du spør, jada, jeg har lest artikkelen
Men det fungerer ikke selv om jeg har lagt til en policy på det.

Har sniffa litt på hvor pakkene blir sendt, og det virker som man får svar fra stedet man prøver å koble seg opp mot, men så blir det stoppa på tilbakeveien i ISA serveren, uten at jeg helt skjønner hvorfor.

En annen ting er at jeg ikke fikk pinget ut før jeg la til "ping" som firewall policy. Dette syntes jeg var merkelig da "sms internett acces rule" åpner for alle porter ut fra internt til eksternt.



Dette er en SMB 2003 premium med 2 nics og ruter i front med basic firewall. Clientpc`en har Firewall Client installert (har forøvrig prøvd å disable denne også)
Kan jo ta med dette som info:


Windows IP Configuration

   Host Name . . . . . . . . . . . . : odin
   Primary Dns Suffix  . . . . . . . : tedako.local
   Node Type . . . . . . . . . . . . : Unknown
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : Yes
   DNS Suffix Search List. . . . . . : tedako.local

PPP adapter RAS Server (Dial In) Interface:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
   Physical Address. . . . . . . . . : 00-53-45-00-00-00
   DHCP Enabled. . . . . . . . . . . : No
   IP Address. . . . . . . . . . . . : 192.168.253.120
   Subnet Mask . . . . . . . . . . . : 255.255.255.255
   Default Gateway . . . . . . . . . :
   NetBIOS over Tcpip. . . . . . . . : Disabled

Ethernet adapter Server Local Area Connection:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : HP NC373i Multifunction Gigabit Server A
apter
   Physical Address. . . . . . . . . : 00-18-71-E7-64-4C
   DHCP Enabled. . . . . . . . . . . : No
   IP Address. . . . . . . . . . . . : 192.168.253.2
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . :
   DNS Servers . . . . . . . . . . . : 192.168.253.2
   Primary WINS Server . . . . . . . : 192.168.253.2

Ethernet adapter Network Connection:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : HP NC7771 Gigabit Server Adapter
   Physical Address. . . . . . . . . : 00-18-FE-83-14-DF
   DHCP Enabled. . . . . . . . . . . : No
   IP Address. . . . . . . . . . . . : 10.0.99.2
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 10.0.99.1
   DNS Servers . . . . . . . . . . . : 192.168.253.2
   Primary WINS Server . . . . . . . : 192.168.253.2
   NetBIOS over Tcpip. . . . . . . . : Disabled

Noen ideèr om hvor jeg skal starte (fortsette) å feilsøke?

Tar en selvangivelse i farta, kjapt spørsmål, har du sjekket loggen i ruteren? Hva sier den?

Bra info for resten, det ser bra ut.....

Ruterens interne IP er 10.0.99.1. har du sjekket at ruteren har PPTP pass trou?

Et kast i lufte, har du telenors Speedtouch-modemet?

Kan forresten forsikre deg om at alle guider jeg skriver er personlig testet live!

Hei. Har ikke sjekket loggen i routeren men brukte først en Draytec 2900 dual Wan som har vært i bruk svært lenge. Denne har pptp passthrough. Eneste forskjellen nå er at vi har installert en SMB server med 2 nics. Funka ikke.

Tenkte det måtte være routeren og byttet ut denne med en Fortinet Fortiwifi 60 som er relativt High end som vi hadde liggende. Akkurat samme problemet der.

Tror den ISA serveren er litt rar altså. Har ikke hatt noe problemer med slikt på testservern hjemme.


Stoler på artiklene dine Problemet ligger nok et annet sted. Men det skulle vell uansett ha fungert når jeg deaktiverte Firewall client?

Det som er interesant med ruteren er å se om du kommer ut, og om du kommer inn. Vi må finne ut hvor det stopper. Siden du har testet mye på softwaresiden tenke jeg kan hende at saken ligger på ruter. Loggen her er et uvurdelig vertøy. Det sjekker om du kommer ut av SBS Server til ruteren. Så får vi ta det derfra.

ISA Firewall Client autentiserer deg til ISA Server. Den skal du ikke slå av. Det skal fungere med denne slått på. Det gjør det hos meg. Feilen ligger ikke der. Sjekk logg i ISA Server ved å slå på logging. Sjekk logg i ruter ved å slå på logging. Velg den ruteren som har best logging.

Har du kjørt CEICW og åpnet for VPN, har du kjørt VPN wizard. Kan du VPNe inn til serveren?

Testet med VPN fra internt til servern. Fungerer ikke det heller. Men VPN inn fra ekstern til servern er oppe og går. Så er definitivt noe i det interne som tuller det til. La til firewall rule om pptp fra intern til local host. Hjalp ikke.



Herreminhatt. Når man kopierer fra en query i ISA så får man jo helt grasalt med info per linje. Kan jo prøve å paste 2 linjer.

Original Client IP    Client Agent    Authenticated Client    Service    Server Name    Referring Server    Destination Host Name    Transport    MIME Type    Object Source    Source Proxy    Destination Proxy    Bidirectional    Client Host Name    Filter Information    Network Interface    Raw IP Header    Raw Payload    Source Port    Processing Time    Bytes Sent    Bytes Received    Result Code    HTTP Status Code    Cache Information    Error Information    Log Record Type    Log Time    Destination IP    Destination Port    Protocol    Action    Rule    Client IP    Client Username    Source Network    Destination Network    HTTP Method    URL
195.204.64.101                ODIN    -        GRE    -                        -                0    0    0    0    0x0         0x0    0x0    Firewall    19.04.2007 22:35:31    10.0.99.2    0    PPTP    Initiated Connection    Allow VPN client traffic to ISA Server    195.204.64.101        External    Local Host    -    -

og

Original Client IP    Client Agent    Authenticated Client    Service    Server Name    Referring Server    Destination Host Name    Transport    MIME Type    Object Source    Source Proxy    Destination Proxy    Bidirectional    Client Host Name    Filter Information    Network Interface    Raw IP Header    Raw Payload    Source Port    Processing Time    Bytes Sent    Bytes Received    Result Code    HTTP Status Code    Cache Information    Error Information    Log Record Type    Log Time    Destination IP    Destination Port    Protocol    Action    Rule    Client IP    Client Username    Source Network    Destination Network    HTTP Method    URL
195.204.64.101                ODIN    -        TCP    -                        -                3681    66969    488    224    0x80074e24         0x0    0x0    Firewall    19.04.2007 22:35:32    10.0.99.2    1723    PPTP    Closed Connection    Allow VPN client traffic to ISA Server    195.204.64.101        External    Local Host    -    -


Vell. Ser bedre ut i ISA. Men ut ifra mitt litt trøtte sinn så virker det som rule`n "allow VPN traffic to ISA server" er litt vell ivrig og router alt til seg og ikke videre?....eller noe......

Vell. I dag har jeg våknet litt Pastet inn i excel ark og da ble ting litt ryddigere.

VPN Rule: Allow PPTP fra Internal til External  All users.
Får liksom ikke gjort denne feil.

Original Client IP

Client Agent

Authenticated Client

Service

Server Name

Referring Server

Destination Host Name

Transport

MIME Type

Object Source

Source Proxy

Destination Proxy

Bidirectional

Client Host Name

Filter Information

Network Interface

Raw IP Header

Raw Payload

Source Port

Processing Time

Bytes Sent

Bytes Received

Result Code

HTTP Status Code

Cache Information

Error Information

Log Record Type

Log Time

Destination IP

Destination Port

Protocol

Action

Rule

Client IP

Client Username

Source Network

Destination Network

HTTP Method

URL

64.28.30.242

ODIN

-

TCP

-

-

38805

120000

364

340

0x80074e24

0x0

0x0

Firewall

##########

10.0.99.2

1723

PPTP

Closed Connection

Allow VPN client traffic to ISA Server

64.28.30.242

External

Local Host

-

-

192.168.253.123

ODIN

-

TCP

-

-

1225

120000

452

1320

0x80074e24

0x0

0x0

Firewall

##########

64.28.30.242

1723

PPTP

Closed Connection

vpn

192.168.253.123

Internal

External

-

-

64.28.30.242

ODIN

-

TCP

-

-

38807

120000

364

340

0x80074e24

0x0

0x0

Firewall

##########

10.0.99.2

1723

PPTP

Closed Connection

Allow VPN client traffic to ISA Server

64.28.30.242

External

Local Host

-

-

192.168.253.123

ODIN

-

TCP

-

-

1226

120000

452

1320

0x80074e24

0x0

0x0

Firewall

##########

64.28.30.242

1723

PPTP

Closed Connection

vpn

192.168.253.123

Internal

External

-

-

192.168.253.123 er min pc.

Her ser jeg at den bruker "VPN" rule`n i firewall som jeg har laget.

Hjelper ikke å koble meg opp med secondary connection til servern først da jeg ikke får gjort dette heller.
Funker ikke  å koble meg opp mot servern innenfra fra SMB connection eller en jeg lager selv.

Dette må da være system policyen "allow vpn traffic to ISA server" som plukker opp tilbakemeldingen og router den feil.

Ja det er det, og det jeg har vanskelig for å forstå er hvorfor du får opp denne.
Det kan henge sammen med måten du setter opp VPN tunellen fra klienten.
Når VPN tunellen opprettes skal denne gå gjennom ISA, til Ruter og ut i verden.
I stedenfor går din VPN ut av pc, inn til ISA eksterne nettverskort og tilbake til SBS server.
Denne feilen kunne jeg skape ved ø bruke feil oppkoblingsmåte til internett når jeg satt opp VPN tunellen.
Da fikk jeg en slik post i loggen som du har.
Det er derfor jeg lurer på om VPN tunellen settes opp feil fra PCen.
Kan du påse av Firewall Client på PCen er aktiv og at Explorer har internett på den PCen du bruker.

Firewall client "Connected to ISA server Odin"

La merke til at den ikke klarer å detectere ISA serveren selv. Jeg må skrive inn SMB server navnet manuelt.


Iexplorer har internett.
Instillinger på browser:
Proxy:
x Identifiser instillinger automatisk
x Bruk script for automatisk conf..
http://odin:8080/array.dll?Get.Routing.Script
x bruk proxy server....
adresse Odin port 8080
x ikke bruk proxy på lokale adresser

Nå må det sies at Inet fungerer fint uten å kjøre gjennom proxy også.

Det gjør ingen ting av Firwall Client ikke finner server og at du registrerer dette manuelt. Det er ok.
Så internett er på plass.
Set da opp en VPN tunelle ut.
Påse at du ikke bruker en intern IP adresse i oppsette av denne VPN tunellen.
Sjekk egenskapene på denne å påse at du ikke bruker "First Connect".

Alt ser helt bra ut der. Virker ikke.

Men kan det ha noe med proxy`en å gjøre?

Kom ikke inn i odin/exchange før jeg skrudde på "connect directly to internet" istedenfor å kjøre gjennom proxy.

Gjennom proxy fikk jeg:

etwork Access Message: The page cannot be displayed

Technical Information (for Support personnel) Error Code: 502 Proxy Error. Connection refused(10061) IP Address: 192.168.253.120 Date: 20.04.2007 09:09:48 Server: odin.tedako.local Source: proxy