ISA server 2006 et OWA [PROB] - Logiciels d'entreprise - Systèmes & Réseaux Pro
Marsh Posté le 06-05-2009 à 17:15:17
Tu fais comment tu nates ton réseau hors dmz et ton fw nate l'isa ?
le truc c'est qu'avec une seul patte c'est un peu bidon ....
y a des schéma tout fait de FW reverse proxy via l'isa naté sur ton serveur exchange enfin iis en son certificat
Marsh Posté le 06-05-2009 à 17:31:05
salut
le probleme est que j'ai déja un FW type checkpoint donc isa server ne me sert que pour du reverse proxy ...
alors sinon pour tes questions :
on va faire un petit schéma :
Exchange ---- FW --- ISA server
|
internet
voici les IPs fictives bien entendu
Exchange : 172.16.5.12
FW patte interne : 172.16.1.254
FW patte DMZ : 192.168.20.254
Isa server : 192.168.20.2
FW patte WAN : 193.252.19.4
ce que je fais c'est du nat statique entre ma patte FW wan vers mon serveur isa server pour que l'adresse IP wan soit utilisable.
bien evidemment le http est autorisé entre isa server et ip wan mais aussi avec serveur exchange en lan
Marsh Posté le 06-05-2009 à 18:23:53
Les logs ISA disent quoi pour les requetes owa que tu fais depuis l'exterieur ?
Marsh Posté le 06-05-2009 à 18:58:19
il ne voit pas la requete owa et part directement en acces refusé (la dernière règle en clair..)
Marsh Posté le 06-05-2009 à 19:00:33
C'est que la demande qui arrive ne doit pas correspondre exactement a ta regle de publication : ecoute pas sur la bonne IP, url différente, sous-dossier par autorisé, pb de certificat...
Marsh Posté le 06-05-2009 à 19:00:48
Donc ,
2 choix,
soit ma règle OWA ne fonctionne pas (pourtant tester avec le bouton "Tester la règle" et tou fonctionne.
Soit mon port découte listener OWA ne fonctionne pas !!!!
Marsh Posté le 06-05-2009 à 19:01:20
El Pollo Diablo a écrit : C'est que la demande qui arrive ne doit pas correspondre exactement a ta regle de publication : ecoute pas sur la bonne IP, url différente, sous-dossier par autorisé, pb de certificat... |
Pour ne pas me prendre la tete avec les certificats au début, je passe en http tout court
Marsh Posté le 06-05-2009 à 19:03:15
Je suis pas sur que ce soit spécialement une bonne idée, au dela de la sécu du https, avec les certificats au moins ce genre de publication ne permet pas l'a-peu-pres.
Marsh Posté le 06-05-2009 à 19:04:38
je suis daccord mais au moins j'enleve dabord un probleme sans le https...
si déja ça ne fonctionne pas avec le http
Marsh Posté le 06-05-2009 à 19:05:24
enfin bon jcontinuerai demain
Marsh Posté le 06-05-2009 à 23:21:42
Est ce que OWA marche à partir de ton LAN ?
Tu as quoi comme message d'erreur quand tu essaies depuis l'externe ?x
As-tu essayer de l'attaquer via l'ip plutôt que le fqdn ?
Tu as combien de serveur Exchange ? Théoriquement 2 mini ?
Marsh Posté le 07-05-2009 à 00:51:20
Ouais je regarderai le web listener, la tab From, celui qui dit les rep à translater
Marsh Posté le 07-05-2009 à 11:30:53
Jules418 a écrit : Est ce que OWA marche à partir de ton LAN ? |
oui il fonctionne nikel
le site via le wan est attaqué déja par l'adresse IP du style http://193.252.19.4/exchange
un seul serveur exchange ....
Marsh Posté le 07-05-2009 à 11:31:47
Je@nb a écrit : Ouais je regarderai le web listener, la tab From, celui qui dit les rep à translater |
ouaip j'ai déja commencé à regarder au niveau du port d'écoute mais il n'y a pas grand chose..
je vais mettre des photos d'écran
Marsh Posté le 07-05-2009 à 12:20:12
djalex a écrit : |
Déjà je serais toi je mettrais un frontal dans la DMZ... bien sur faut le budget...
j'ai bien l'impression que c'est une histoire de port, as-tu essayer de te monter un iis vite fait sur ton lan et voir si tu y accèdes depuis l'extérieur ?
C'est dès que tu tapes l'adresse que tu te fais jeter ? C'est le message d'erreur sous IE ?
Marsh Posté le 07-05-2009 à 12:21:38
allez zou :
pour le port d'écoute web : http://dl.free.fr/pz5zfQ4l9
pour la regle OWA : http://dl.free.fr/jAqFQsf3g
Merci à vous
Marsh Posté le 07-05-2009 à 12:23:30
Jules418 a écrit : |
si je mets ISA serveur en DMZ, c'est justement pour ne pas attaquer mon lan en direct du wan
Message d'erreur IE comme quoi il ne voit rien du tout .. il ne peut pas afficher la page web, forcement Isa server bloque la demande
Marsh Posté le 07-05-2009 à 12:28:51
djalex a écrit : allez zou : |
Je suis en train de regarder, déjà sur ton 2ème screen y'a ..local donc une coquille
djalex a écrit : |
Pour moi la bonne conf serait de ne pas passer par le proxy, mettre le frontal en dmz qui discute avec ton dorsal en lan... le tout sécurisé bien sur
Edith me dit que je croyais que ton ISA ne faisait pas firewall ??? tu as mis quoi comme règle de routage ?
Marsh Posté le 07-05-2009 à 12:32:35
Jules418 a écrit : |
sur quel fichier
Jules418 a écrit : |
Marsh Posté le 07-05-2009 à 12:33:31
Jules418 a écrit : |
Jules418 a écrit : |
Il ne fait pas Firewall .. je l'ai mis en mode 1 carte réseau ...
ps: enfin je pense.. isa server et moi ça fait 3
jsuis plutot checkpoint
Marsh Posté le 07-05-2009 à 12:33:59
djalex a écrit : |
Dans règle firewall isa, 2ème screen c'est écrit exchange.dada..loc
Marsh Posté le 07-05-2009 à 12:34:39
ben voui .. il me demande le serveur lan
la redirection quoi !!!
Marsh Posté le 07-05-2009 à 12:39:04
djalex a écrit : ben voui .. il me demande le serveur lan |
Y'a 2 points dans l'adresse du serveur ???????????????????
Il faut que tu créés un règle de routage (pas au niveau du firewall) pour toutes les demandes de l'extérieur vers owa
Marsh Posté le 07-05-2009 à 12:40:23
Jules418 a écrit : |
nan mais jules, tu crois pas que je mets les vrais adresses quand meme!!!
exchange.dada.loc est un exemple ... osef du ..
la regle de routage doit etre faite sur ISA server ???
Marsh Posté le 07-05-2009 à 12:42:03
djalex a écrit : |
Me doutais bien mais on ne sait jamais...
Oui règle de routage sur le serveur ISA pour acheminer les requêtes externe vers owa, moi chui en 2000 en fait donc bon peut pas trop t'aider la dessus car ce n'est pas du tout la même interface, par contre google pourra peut être
Marsh Posté le 07-05-2009 à 12:45:49
Ca foire certainement dans l'onglet "A" de ta regle ISA :
- vire le /exchange de l'adresse du site
- ça peut marcher, mais c'est tres curieux de mettre le nom DNS en nom réel de l'ordinateur alors que tu mets l'IP dans l'adresse locale du site
- tu dis a ton isa de transmettre l'URL d'origine demandée par le client au IIS hebergeant OWA : t'es sur que le site ou est OWA sur ce IIS est configuré pour répondre aux demandes arrivant avec l'IP publique dans l'host header ?
Marsh Posté le 07-05-2009 à 12:51:54
El Pollo Diablo a écrit : Ca foire certainement dans l'onglet "A" de ta regle ISA : |
oui car cela a déja fonctionné... mais suite à un redémarrage de isa server, ça n'a plus fonctionné
Marsh Posté le 07-05-2009 à 12:53:24
Jules418 a écrit : |
Le port découte plus la regle OWA sont justement là pour cela !!! non ???
Marsh Posté le 07-05-2009 à 13:02:52
djalex a écrit : |
Je pense oui mais bon je te dis 2006 connais pas
Par contre au lieu de /exchange essaie de mettre /*
Marsh Posté le 07-05-2009 à 13:05:47
effectivement j'y ai pensé mais je ne l'ai pas fait.. jvais faire le test
Marsh Posté le 07-05-2009 à 13:12:03
bon ça fait la meme chose... saloperie d'isa server de merde
Marsh Posté le 07-05-2009 à 13:13:39
Tu as redémarré les services après la modif ? car moi avec mon vieil ISA il faut les redémarrer après une modif de ce genre...
Marsh Posté le 07-05-2009 à 13:16:06
tu déconnes là
Marsh Posté le 07-05-2009 à 13:17:43
Bah non... imagine comment je galère avec ma bouze, sans parler des autorisations des sites
Marsh Posté le 07-05-2009 à 13:18:09
ah !!!!
powned
Marsh Posté le 07-05-2009 à 13:20:41
J'ai vu que dans l'onglet "nom public" tu avais mis l'ip de la patte wan de ton fw, essaie de mettre la patte de ta dmz, et je suppose que tu as une nat entre ta patte fw wan et fw dmz ?
Marsh Posté le 07-05-2009 à 13:25:04
ouaip je vais essayer mon colonel
Marsh Posté le 07-05-2009 à 13:29:57
Bah vi car normalement ton ISA ne voit pas ta patte wan... donc ça peut pas marcher...
Marsh Posté le 07-05-2009 à 13:32:06
Meme punition
Marsh Posté le 06-05-2009 à 17:03:30
Salut à tous
j'ai un soucis avec ce mlfdkgùmdkjgùsmkj de Isa server 2006 ...
j'explique :
je cherche à faire du OWA via un Isa server en mode 1 carte réseau donc (Hote local + reseau interne + externe)
cet isa server est sur une DMZ et doit venir discuter avec un serveur de messagerie exchange 2003 dans le lan.
Le système de publication de site web pour exchange fonctionne car quand je test la regle, il voit bien mon serveur exchange et les répertoires associés.
Par contre quand je fais une demande du wan vers mon IP publique (NAT vers mon adresse IP DMZ), Isa server ne veut pas utiliser ma publicatoin web et donc ma demande se retrouve bloqué....
J'arrive pas à comprendre pourquoi isa server ne prend pas ma publication OWA... ça a déja fonctionné puis connaissant microsoft, j'ai eteinds puis redemarré la machine... forcement, ça n'a plus fonctionner depuis
si quelqu'un a une petite idée !!!
Message édité par djalex le 07-05-2009 à 16:39:18
---------------
------------------------------------------