bonjour
 
j'ai un server isa 2004 [10.0.0.1 int et 192.168.0.1 ext] qui fourni le web à mes client [10.x.x.x] mais j'ai aussi une autre passerelle [10.0.0.111] qui est un routeur relié à une seconde ligne adsl et qui fait un tunnel vpn avec un site distant.
 
je commence à me prendre la tête car depuis l'install du client pare-feu sur le poste client [10.0.0.5] le web fontionne je peux pinger sur les adresses du site distant (qui a un adressage 182.100.x.x) mais je ne peux plus utiliser bureau à distance.
J'ai ouvert le proto RDP port 3389 mais rien y fait. dans le doute j'ai ouvert tous les protocoples de tous les réseaux pour tous les utilisateurs vers TOUS et non tjrs pas de service TS
 
si je vire le client pare-feu (donc sans passer par ISA) tout rentre dans l'ordre. Le poste 10.0.0.5 a la passerelle 10.0.0.111
 
ou que ça bloque je pige pas ?
 
Please Help me ! Merci d'avance
 
ps: special slt Z_cool

Ton ISA a les routes correctes pour aller vers ton site distant ?

euh merci El Pollo Diablo mais ta question est trop brut pour mon petit niveau !
 
parles-tu de la comde route print ? la rép est oui
 
pour un info je peux attaquer le partage admin c$ sur le réseau distant mais RDP ne amrche pas bizarement. pourtant j'autorise tout...

 
C'est a dire ? Ton ISA serveur sait que pour aller sur ton réseau distant faut pas aller sur sa passerelle a lui mais vers 10.0.0.111 ?

je ne crois pas que mon isa le sache, il ne sais que ce que je lui dit mais vraisemblablement le message n'est pas passé

Et pour arrêter de tourner autour du pot tu lui a fais quoi pour ça exactement ?

j'ai mis les adresses du réseau distant [182.100.x.x] ainsi que la passerelle 10.0.0.111 dans le réseau interne ISA.
pour répondre à z_cool je pensais particulièrement à lui car il m'a déjà dépanner sur d'autre trucs sur ISA.
Merci à vous

Ca suffit pas, faut créer une route en dur disant que pour aller sur 182.100.x.x faut passer par 10.0.0.111

détails ?

route /?
 
Ce qui chez toi devra donner une commande du genre :
 
route -p add 182.100.0.0 mask 255.255.0.0 10.0.0.111
 
C'est le genre de truc qu'il faut vraiment connaitre ou être capable de trouver/retrouver tres rapidement tout seul si on veut/doit gérer des choses comme un serveur ISA ou un réseau plus complique qu'une poignée de PC autour d'un switch...

non ça ne fonctionne pas, je l'ai fait aussi sur le client mais non. alors que dès que je vire le client ISA tout rentre dans l'ordre. je ne vois pas ce qui cloche...

Depuis ton serveur ISA tu le ping et t'arrive a te connecter en RDP sur ton réseau distant ?

depuis ISA non je ne ping pas vers 182.100.x.x (j'ai vérifié à autoriser le ping de l'hote local vers interne et externe) et connect RDP non plus

Essai de regarder dans tes logs de pare-feu ce qui te bloque.

 
 
ISA et en mode passerelle ou juste proxy ?
un petit schéma du réseau serait pas un superflu.
 
tu veux utiliser le burreau a distance depuis Internet vers une machine de ton reseau ?  

ISA est en mode pare-feu de parimètre. Je veux utiliser le bureau à distance de mon_reseau vers mon_reseau2 comme c'est le cas actuellement sur les postes clients si le client pare-feu ISA n'est pas installé. Dès que installé je peux toujours pinger de mon_reseau vers mon_reseau2 mais Bureau à distance HS. Pour info le partage C$ fonctionne toujours bien. Voici un petit schéma    

depuis ISA lui-même ni le ping ni bureau à distance vers reseau2 ne fonctionne.
Merci

ah tu definis  
 
10.0.0.1->10.255.255.254
et  
182.100.0.1->182.100.63.254
 
comme réseau Intern ?
 
cela dit, j ai pas masse de connaissance du firewall client.

Z_cool, on dira que la nuit porte conseil et non que je suis une grosse merde en réseau   . Il m'avait semblé avoir testé cette config mais là en supprimant toutes les règles qu'il y avait un peu partout et en repartant ça passe !
Merci bcp Z_cool, merci El Paollo Diablo. Je crois que l'un de vous a fait une formation ISA, ça se passe comment ? Je devrais peut être en demander une ?  

 
 
3 jours de formation, en gros, on install un cas d ecole :
 
1 Proxy internet  (gestion des identifications)
1 proxy cache.
 
plus petit speech sur le kernel de ISA
 
rien de bien sorcier qu on ne peut faire soit même si on a un minimum acces a du matériel de test (un VMWare peut être une solution)

bon ça je sais faire j'ai appris sur le tas    
 
j'en ai marre de mettre des trucs en place de façon autodicate en me documentant et en montant des config de tests tout azimuths,
alors que d'autres gars au moindre truc nouveau demande des formations    
 
travailleurs de l'ombre...  

 
 
il me semble que la loi FR te "donne" 1 jour de formation/mois non ?
 
 
donc sur 6 mois tu doit commencer a pouvoire faire quelque chose de correcte.  
 
cela dit, tu pourra jamais voir les cas chiant en formation. les cas pratique.
 
genre :
Double domaine trusté
avec intervention d'identification kerberos au travers de proxy chainé ....
 
ca, a par dans les cas pratique et sur le tas ... on te l expliquera pas en cours