problème de messagerie derriere ISA

[freem4n92]

Bonjour à tous.
Voila mon problem se situe avec ISA au nivau du firewall.
J'ai un serveur avec connection internet (adsl en usb) ou j'ai active directory, DNS, DHCP et le service pop3.
J'ai installer donc ISA sur ce serveur en mode integrated et cote client a la suite de l'installation j'ai specifié dans IE d'utiliser le serveur comme proxy avec 192.168.0.1 8080 et coché ne pas utiliser de serveur proxy
pour les adresse locales.
Et j'ai 3 pc dans le reseau local.
J'utilise les pc locaux pour surfer et verifier mes mails avec outlook express sur lequel j'ai 3 comptes: 1 sur hotmail et 2 sur wanadoo.

Et mon unique problem est que je n'arrive pas a recevoir mes emails pour les comptes pop3 de wanadoo, lorsque outlook
essai de se connecter sur les comptes messagerie pop.wanadoo.fr ou bien pour envoyer un email il bloque puis annonce un echec.

Échec de la connexion au serveur. Compte : 'pop.wanadoo.fr', Serveur : 'pop.wanadoo.fr', Protocole : POP3, Port : 110,
Sécurisé (SSL) : Non, Erreur de socket : 10060, Numéro d'erreur : 0x800CCC0E

Alors que je n'ai pas de problem pour le compte hotmail.
Donc je suppose que j'ai mal configurer le firewall avec la regle de protocole ou les filtres pour paquets ip.
Pour les filtres j'ai pourtant bien autoriser tout les filtres predefinit D'isa et pour les protocole j'ai autoriser DNS query, ftp, ftp download, http, https, pop3 et smtp.

Voila donc si vous pouvez m'aider ca serait sympa.

[mr_banni]

Hello

tu as fais le test de faire un telnet sur le serveur pop de wanadoo ?

[freem4n92]

non, mais je vien d'essayer et ca marche pas.

[freem4n92]

en fait j'arrive a faire un telnet sur pop.wanadoo.fr mais uniquement du server et pas depuis les clients.
D'ailleur je n'arrive pas n'on plus a pingé depuis les clients.

[Thierry DEMAN (MVP Exchan]

Salut,

as-tu installé le client "firewall" sur les postes clients?

as-tu créée un règle autorisant les protocoles POP3... sur ISA ?

A+

[freem4n92]

oui sur les poste clients il t'a le client firewall installé et en meme temps j'ai mit les clients en mode proxy avec 192.168.0.1 8080 dans IE.

Et sur le serveur ISA ma regle de protocole autorise : pop3, smtp, http, https, telnet et ftp download only.

Mais malger tout ca impossible de faire des ping sur des sites depuis les pc clients.
Par contre sur le server tout passe.

Juste un remarque : depuis que j'ai installer les clients en mode firewall j'arrive maintenant a acceder a ma messagerie pop de wanadoo.
Mais si je dessactive le mode firewall sur les client et que je les met en mode proxy, je ne peu plus acceder a la messagerie et je peu uniquement surfer sur le net.

J'aimerais savoir pourquoi??

Merci d'avance.

[Moez]

Bonjour freem4n92,

Avec ISA server nous avons trois types de clients
Client Web Proxy (protocole HTTP, HTTPS, FTP, Gopher seulement) Qui va etre configure dans votre Naviguateur (Le proxy).
Client Pare-feu ou firewall c'est le programme installe sur votre Machine cliente. Ce client Pare-feu offre une connectivite pour toute les applications Winsock fonctionnat sur TCP-UDP.
Client Secure NAT:Il prend en charge les communications TCP, UDP, PPTP, ICMP etc


La requete Ping Utilise le protocole ICMP le client qui supporte ce protocole est Secure NAT


Comment Faire pour utiliser Le client Secure NAT ?
Reponse: Il faut ajouter dans les parametres TCP/IP la passerelle dont l'adresse IP est celle de la carte Interne de ISA server + Les clients Secure NAT doivent etre des clients DNS qui peuvent resoudre les noms DNS d'internet. Soit votre serveur DNS qui a des redirecteures vers le DNS FAI ou de votre FAI et autoriser biensure ISA a laisser passer le protocole DNS query.

Bonne chance

[freem4n92]

je te remerci bien pour ta reponse.

Donc moi avant j'etais en mode client proxy et client firewall.

J'ai appliquer ce que tu m'as dit pour le client NAT. mais cela n'as pas marcher.
J'ai mis sur le client :
ip static 192.168.0.140
255.255.255.0
passerelle: 192.168.0.1
DNS: 192.168.0.1

Sur mon serveur isa (192.168.0.1) j'ai un server DNS avec les redirecteurs de wanadoo FAI.
et j'ai autoriser sur mon serveur ISA le protocole DNS Query que je n'avais pas mis avant, mais malgrer cela le ping ne passe toujours pas depuis les clients.

mes clients etant maintenant (client proxy, firewall et NAT)

sur le server je peu pinger toutes adresses IP et nom dns internet
sur le client je ne peu pinger que les adresses IP et nom DNS local.

Je me demande si je n'ai pas de probleme sur mon server dns.

Autres chose aussi qui me gene, je n'arrive pas a pinger les adresse DNS de mon FAI wanadoo qui sont normalement:
193.252.19.3 193.252.19.4.
Impossible de pinger ces adresses meme a partir de mon serveur, je trouve ca bizzard.

Si vous avez toujours des idées pour ces differents problemes elles sont les bien s venues.

Merci.

PS: a quo sert le protocol Gopher??

[Moez]

Salut,
Pour que Secure NAT utilise Le Protocole ICMP il faut Activer Le routage IP
Voir Les proprietes de filtres de paquets IP sous// Strategie d'acces

Bon concernant Le DNS Vous avez opter pour la meilleur Solution en tout cas a mes yeux. Le serveur DNS Cache Only Avec
Dans Console DNS : redirecteur Vers FAI /
Dans Console DNS : Desactivez La recursivite.
Console ISA : Ne pas autoriser Le protocole DNS Query verifiez seulement si le filtre DNS est Activer ou pas. (Par defaut il est activer).
Parametres TCP/IP ans Les deux cartes reseaux ne rien mettre pour DNS il va prendre L'adresse Localhost.
Pour verifie le travail du Serveur DNS Utilise la commande nslookup depuis la console CMD

Autres chose aussi qui me gene, je n'arrive pas a pinger les adresse DNS de mon FAI wanadoo qui sont normalement:
193.252.19.3 193.252.19.4.
Impossible de pinger ces adresses meme a partir de mon serveur, je trouve ca bizzard.

Leur Serveur DNS sont Protoge par Un firewall qui ne laisse pas passe Le ping. Comme votre ISA server.

Bonne Chance.

[freem4n92]

Salut,

Franchement j'ai fais tout ce que tu m'a dit et ca passe toujours pas le ping ainsi que tracert ( ICMP).


j'ai activé le routage mais pas de changement.
Dans ISA /stratégie d'accès / Filtres des paquets IP / Configurer le filtrage des paquets et la détections d'Intrusion
et la on a le choix d'activé le filtrage des paquets : activé le routage et activé la détection d'intrusion

J'ai bien selectionné activer le routage ensuite arreter/redemarrer le service.

Mais quand tu dis activer le routage c uniquement dans ISA et non pas dans le outils d'admins de windows avec le service routage et acces distant ?? Ou bien les deux? car sur le serveur pour l'instant le service routage et acces distant est desactivé.

Et dans ISA y'a t-il qq chose a ajouter dans la rubrique configuration du réseau:
/routage
/TDL

a+

[Moez]

Bonjour,

Voir ceci http://www.isaserver.org/tutorials/Allowing_Outbound_PING_and_PPTP_Connections.html

Essaye de pinguer sur l'adresse IP du routeur.
Verifie Si DNS est bien configure par la commande NSLOOKUP

Merci

[freem4n92]

le ping sur l'adresse ip de mon server passe et le dns est bien configuré.

Tu parles de ROUTER mais sur mon server dans outils d'administration, le service routage et acces distant n'est pas activé ni configurer.

[Moez]

Non surtout pas,

Je parle de la case a cocher dans ISA c'est ISA qui va router.

[freem4n92]

ok, j'ai laissé tel quel routage et acces distant desactivé.

Mais isa n'as pas trop l'air de router l'icmp, et j'ai bien fait la manipulation.

lors d'un ping l'adresse ip du site pingé est bien trouvé comme il est dit dans le tutorial mais les paquets ne passe pas.

c bizard il y'a un problem qq part.
Pour les protocoles: il y'a http,https,ftp,telnet,pop3 et smtp. J'ai supprimer
dns query comme tu me l'avais dit.

Pour les filtres j'ai tout pas defaut. avec les filtre icmp par defaut cela devrais passer: icmp en sortie, reponse ping icmp et icmp inaccessible.

Je pense que je vais desinstaller ISA et le reinstaller pour voir si je n'ai pas fait une fausse manipulation.


J'ai aussi une question au sujet du cache:
j'ai lors de l'installation d'isa attribue un cache de 1go sur une partition, mais le cache a pour but de faire accelerer l'ouverture de page web sur les clients qui demande des requetes, mais moi j'ai pas vraiment vu d'acceleration par rapport a avant.

Y'aurais t il un rapport avec le fait que je n'ai que 256 mo de memoire et que mon systeme en utilise 347 mo avec toutes mes application?
A+

[MaxxSnoop]

Ton filtre DNS est bien activé ?

As-tu pensé a désactiver le client firewall ?

As-tu pensé a vider le cache DNS du client (ipconfig /flushdns) ?