Streaming via ISA server 2004 - Netwerken

woensdag 30 maart 2005 15:41

Acties:

Verwijderd

Topicstarter

Ik heb een annoying configuratie probleem met ISA server, hoop dat iemand me kan uitleggen wat er fout gaat.

Op de isa server wordt de volgende rule aangemaakt;

Allow MMS/RSTP/PNM from internal/localhost to external, all users, 24/7

uit test oogpunt staat deze regel bovenaan de lijst met rules. Connectie kan echter niet worden gemaakt naar welke mms stream dan ook.

Logging geeft aan dat de mms stream probeert te connecten vanuit het interne netwerk naar localhost en dat dat gedenied wordt. Waarom het naar localhost wordt gestuurd en niet naar het externe netwerk (zoals bijv. http requests) begrijp ik niet.

Iemand enig idee?

[ Voor 3% gewijzigd door Verwijderd op 30-03-2005 15:53 ]

woensdag 30 maart 2005 16:11

Acties:

sanfranjake

Computers can do that?

Heb je in de client wel de proxy-settings ingevuld? Zijn ook alle poorten die de streams gebruiken geopend? Krijg je in je logs nog ergens te zien waarom het geblocked wordt? Een client die met de proxy verbindt is logisch imo, die verbindt de client verder door naar de site

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

woensdag 30 maart 2005 16:28

Acties:

Verwijderd

Topicstarter

Ja, in media player staan zowel de http als de mms proxy ingevuld. Het opmerkelijke is echter nog wel dat als alle verkeer via een static route vanaf client naar proxy/firewall wordt geleid, de stream wel werkt..

Moet ik voor mms nog een aparte poort instellen op de isa server of is dat standaard 1755? (udp/tcp)?

Kan het zijn dat ik nog iets speciaals moet doen om het mms filter te activeren? Het staat 'enabled' onder addins, maar het lijkt wel alsof de server niets kan met het verzoek?

[ Voor 43% gewijzigd door Verwijderd op 30-03-2005 17:19 ]

donderdag 31 maart 2005 14:23

Acties:

Verwijderd

Topicstarter

Niemand enig idee?

Netstat op client machines geeft aan dat er helemaal geen response komt (alleen de syn );

TCP 10.135.9.53:2627 10.135.9.248:1755 SYN_SENT

Er blijven volgens mij maar twee mogelijkheden over;

1. de mediaplayer gebruikt de ingestelde proxy niet (goed), waardoor mediaplpayer via een default route wordt gedenied
2. De isa server luistert niet op de poort waarover mediaplayer probeert te verbinden. Kan het zijn dat dat apart op isa moet worden ingesteld? (dus los van de access rule?)

De foutmelding op de server is als volgt (niet goed te kopieren vanuit logging....)

dest. adres: intern ip server dest. port 1755 protocol: MMS action: failed connection attempt source network: internal Destination Network: localhost

Aangezien de proxy waarschijnlijk onder localhost draait lijkt het erop alsof deze de connectie niet verwacht?

Help!

[ Voor 25% gewijzigd door Verwijderd op 31-03-2005 14:48 ]

donderdag 31 maart 2005 14:50

Acties:

Clueless

Allow MMS/RSTP/PNM from internal/localhost to external, all users, 24/7

Deze rule heeft betrekking tot het verzenden van een stream, niet het ontvangen. Je clients verzoeken nu stream, welke de server stuurt maar door de firewall geblokt word omdat je server die stream niet verwacht.

TCP 10.135.9.53:2627 10.135.9.248:1755 SYN_SENT klopt inderdaad als een bus omdat de SYN_ACK (de acknowledgement) nooit door je firewall heenkomt. Dit is een firewall-feature, deze manier wordt namelijk ook gebruik voor DDOS dus vind ik het ook niet raar dat hij em blokt.

Streams zijn overigens altijd UDP omdat TCP met Error control werkt, als je dit met een Audio of een video stream zou doen dan krijg je hele rare effecten omdat niet alle frames in de juiste volgorde aankomen bij de client

Ik kan je overigens ten sterkste aanraden de firewall-client van ISA te installeren. Scheelt je echt een bult ellende. De Client geeft aan de server door wat te verwachten. Draai zelf ISA2000 op de server en de firewall-client op de PC's en kan naar buiten alles (allow all) en ik heb totaal geen probleem met streams ofzo.

[ Voor 12% gewijzigd door Clueless op 31-03-2005 14:54 ]

I Don't Know, So Don't Shoot Me

donderdag 31 maart 2005 14:52

Acties:

Verwijderd

Topicstarter

Clueless schreef op donderdag 31 maart 2005 @ 14:50:
Allow MMS/RSTP/PNM from internal/localhost to external, all users, 24/7

Deze rule heeft betrekking tot het verzenden van een stream, niet het ontvangen. Je clients verzoeken nu stream, welke de server stuurt maar door de firewall geblokt word omdat je server die stream niet verwacht.

TCP 10.135.9.53:2627 10.135.9.248:1755 SYN_SENT klopt inderdaad als een bus omdat de SYN_ACK (de acknowledgement) nooit door je firewall heenkomt. Dit is een firewall-feature, deze manier wordt namelijk ook gebruik voor DDOS dus vind ik het ook niet raar dat hij em blokt.

Ik kan je overigens ten sterkste aanraden de firewall-client van ISA te installeren. Scheelt je echt een bult ellende. De Client geeft aan de server door wat te verwachten. Draai zelf ISA2000 op de server en de firewall-client op de PC's en kan naar buiten alles (allow all) en ik heb totaal geen probleem met streams ofzo.

thx for reply

Die regel staat inderdaad alleen requests van binnen naar buiten toe, maar aangezien het TCP is zou ISA moeten weten dat er een reply terug komt toch? (stateful)
Aangezien we hier niet met een AD werken is een firewall client niet mogelijk. Enig idee over een andere manier om het werkend te krijgen?

Wat nog een onopgelost mysterie blijft is de reden dat het wel werkt als de default route verwijst naar de isa server...

[ Voor 6% gewijzigd door Verwijderd op 31-03-2005 14:57 ]

donderdag 31 maart 2005 14:57

Acties:

Clueless

AD is naar mijn weten geen vereiste voor de Firewall-client. Overigens stelt AD als je er niets mee doet niet zo bijster veel voor. Stream zijn zoals in mijn geedite reply staat over het algemeen UDP.

Ik zou toch proberen de FW-client te installeren. Lost een heleboel problemen en rariteiten op.

I Don't Know, So Don't Shoot Me