[W2k3] ISA 2006 dropt packets

Beste Tweakers,

Sommige Depots binnen ons bedrijf kijgen een pin automaat. Deze hebben we bestelt bij Alvira.
Na veel proberen krijgt de pin automaat geen verbinding. De ISA server houdt de verbinding tegen nameiljk. Wanneer we de pin automaat op een andere internet verbinding aansluiten die geen gebruik maakt van een ISA server werkt alles.

De foutmelding die ik krijg binnen ISA is alsvolgt:






De volgende dingen heb ik al geprobeerd:
- Detach web proxy filter from HTTPS protocol.
- http://social.technet.mic...20-4598-ade1-ff90feb7f8e9
op de client kan ik niks veranderen. Ik kan hier alleen een IP opgeven en de source.
- Bij "Define HTTP compression preference" en dan tap "Request compressed data" heb ik de source IP toegevoegd aan de "exceptions"
- Bij "Add-ins" de "compression filter" uitgeschakeld.
- Caching staat momenteel uitgeschakeld
- rule 1 bij protocols "All outbound traffic" ingesteld. Ook dit mocht niet baten.

maar tot op heden werkt het nog steeds niet. De melding blijft altijd het zelfde. Weet misschien iemand hier een oplossing voor ?

[ Voor 3% gewijzigd door Killertjuh op 19-04-2012 16:32 ]

Paul schreef op donderdag 19 april 2012 @ 16:36:
Wat voor verkeer moet er precies door? Wie maakt de connectie (iets of iemand op het internet, of doen je pinautomaten dat) en is dat überhaupt wel een HTTP(S)-connectie? Je hebt nu een web proxy rule die klaagt dat je geen HTTP(S) wilt doen maar iets anders.

Wat voor verkeer
- Pin transacties
- update pinautomaat

Dit gebeurt altijd met de zelfde server en port

Als je pin-automaten van binnenuit een service op het internet willen benaderen en die service draait op poort TCP/2601 dan moet je een New Access Rule maken foor Selected protocols, daar vul je een User Defined protocol Outbound TCP 2601 in, source pinautomaten, destination External (of een zelf aangemaakte Network Entity met daarin de leverancier).

Zie 2e afbeelding topic of zie hieronder

- rule 1 bij protocols "All outbound traffic" ingesteld. Ook dit mocht niet baten.

[ Voor 6% gewijzigd door Killertjuh op 19-04-2012 16:45 ]

Paul schreef op donderdag 19 april 2012 @ 16:54:
[...]

[...]
Dan nog haal ik uit je foutmelding (plaatje 1) dat het een web proxy rule is en geen access rule.

Dat is het probleem ook. Het is namelijk geen web proxy rule. Deze kan ik uitschakelen op de volgende locatie:

bij "Internal" netwerk vervolgens eigenschappen - disable Web Proxy

Ik heb ook een nieuwe netwerk aangemaakt waar alleen de IP`s van de pin automaten staan. Vervolgens hier de webproxy uitgeschakeld maar dat werkt ook niet.

[ Voor 16% gewijzigd door Killertjuh op 20-04-2012 09:47 ]

Nu krijg ik wel een andere foutmelding. Als ik de PIN automaat bij de "exceptions" plaatst.

[ Voor 100% gewijzigd door Killertjuh op 20-04-2012 11:21 ]

Paul schreef op vrijdag 20 april 2012 @ 12:12:
'Rule' is leeg in je error, schijnt mij toe dat het dus niet lekker matcht op je aangemaakte regel?

Wanneer ik de regel disable dan krijg je de zelfde foutmelding. Alle andere regels hebben eigenlijk niks te maken met deze apparaten.

In de log krijg ik deze error

ISA-SVR-01 2012-04-20 10:18:02 TCP 192.168.0.45:1024 87.213.38.194:2601 192.168.0.45 PIN External Denied 0xc0040012 - TCP 2601 0 0 0 0 - - - - - 0 0

Volgens deze website van microsfot betekent de error code:

FWX_E_NETWORK_RULES_DENIED 0xC0040012 The network rules do not allow the connection requested.

[ Voor 17% gewijzigd door Killertjuh op 20-04-2012 12:25 ]

Paul schreef op vrijdag 20 april 2012 @ 12:26:
[...]
Dat zeg ik: ISA lijkt je verkeer niet te matchen aan die regel...

in welke richting moet ik dan kjiken ? ik heb al verschillende dingen geprobeerd en op internet gezocht maar niet direct iets gevonden.

Paul schreef op vrijdag 20 april 2012 @ 13:53:
Ik zou beginnen gewoon alles from: pinautomaten to: external open te zetten en dan steeds verder beperken tot het niet meer werkt

Als zelfs dat eerste al niet werkt is je definitie van de pinautomaten verkeerd.

Ik heb net ALLE regels uitgeschakeld en 1 regel met Alles naar Alles dit werkt ook niet zelfde melding.

Dus je hebt uiteindelijk 2 actieve rules

1 All outbound traffic Internal - External ( je mag hier mee alles)
2 Deny everything ( Je mag niks maar hier zal hij nooit mogen komen ivm regel 1.)

In de pin automaat is het alleen mogeijk om een static IP en de destination IP + poort intestellen

[ Voor 27% gewijzigd door Killertjuh op 20-04-2012 14:11 ]

Paul schreef op vrijdag 20 april 2012 @ 14:26:
De (opgezochte) melding noemt Network rules... Staat er nog iets zinnigs of vreemds tussen de Network Rules?

ISA Server Management -> (server) -> Configuration -> Networks -> Network Rules

Standaard gaat alles internal-> external via NAT

Hier heb ik een nieuwe regel aangemaakt van pinautomaten -> External via router

Vervolgens krijg ik deze melding weer met de volgende LOG

Firewall log:
ISA-SVR-01 2012-04-20 12:39:25 TCP 192.168.0.45:1024 87.213.38.194:2601 192.168.0.45 PIN External Terminate 0x80074e24 PIN_Automaat TCP 61619 0 0 4228 4228 2484 2484 - - - 96342 2923102

Webproxy log:
192.168.0.45 anonymous - N 2012-04-20 12:56:47 w3proxy ISA-SVR-01 - - 87.213.38.194 2601 - 54 4228 - TCP - - - - 13 - - Req ID: 104841a5 Internal - 0x0 Failed 2012-04-20

[ Voor 12% gewijzigd door Killertjuh op 20-04-2012 15:34 ]

Het is opgelost.

Maak een nieuwe HTTP protocol aan met als kenmerken:
- 80 TCP Outbound
- Zorg dat er bij "Application Filters" de volgens UIT staat "Web Proxy Filter"

Voeg deze nieuwe protocol aan de regel toe.

Hint: The Web Proxy Filter in ISA Server 2004 may log requests with an incorrect access rule when you use overlapped HTTP protocols

[ Voor 29% gewijzigd door Killertjuh op 23-04-2012 10:26 ]