Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

No consigo hacer funcionar ISA 2004

17/01/2005 - 20:01 por MalagaEquipo | Informe spam
Ayuda Hacer una pregunta
Despues de trabajar durante 2 años con isa 2000 sin problemas con todo tipo
de filtros, vpn y configuraciones y despues de 12 horas peleandome con el
isa 2004 no consigo hacerlo funcionar a nivel basico, me explico:

- Hago una copia total del sistema Windows 2000 server+Isa 2000 con el V2i
protector.
-Utilizo el asistente del isa 2004 para exportar la configuracion.
-Tomo nota de las rutas estaticas creadas manualmente configuradas en el
"enrutamiento y acceso remoto"

-Mi equipo tiene instaladas de tarjetas de red, una para la red interna y
otra para uso exclusivo con el router adsl configurado en monopuesto (La
direccion ip de la segunda tarjeta de red es la ip publica de internet)

Con todo el isa 2000 funcionando al 100% sin problemas, me dispongo a migrar
a isa 2004.

- Formateo el disco duro
- Hago una instalacion limpia de Windows 2003 Server Standard
- Configuro las dos tarjetas de red con los mismos valores de la antigua
instalacion.
- Hago que la maquina con Windows 2003 Server recien instalado sea miembro
del controlador principal de domio de mi red interna (Asi era como estaba
configurado anteriormente).
- Instalo el Isa 2004 de forma que los clientes firewall sean compatibles
con la instalacion del isa 2004
- Importo la configuracion del fichero .xml generado a partir del isa 2000
- Reinicio el equipo.

Conclusiones:

-El host local no navega
-Los clientes no navegan
-El ping a la puerta de enlace del router adsl no contesta. (Realizado desde
el servidor isa)

Entonces hago lo siguiente:
-Restauro la configuracion del isa 2004 a la original justo despues de la
instalacion.
-Creo una regla para permitir todo a todos.
-Desligo al servidor del isa como miembro del dominio principal.
-Reinicio el equipo.

Conclusiones:
-El host local no navega
-Los clientes no navegan
-El ping a la puerta de enlace del router adsl no contesta.(Realizado desde
el servidor isa)

Pruebo entonces lo siguiente:
Como tengo un segundo router adsl configurado como multipuesto donde la
puerta de enlace es una direccion ip de mi red interna, modifico los valores
de la tarjeta de red externa con una direccion ip de mi red interna y la
puerta de enlace de la segunda adsl.

Resultado:
-El host local navega
-Los clientes pueden ahora navegar
-El ping a la nueva puerta de enlace del router adsl si contesta (Realizado
desde el servidor isa)
-El servidor genera errores de configuracion porque la red externa incluye
rutas que pertenecen a la red interna.

Despues de mas de 12 horas de pruebas y leyendo la documentacion del isa
2004 me planteo las siguientes preguntas:

1.- ¿Debe el servidor isa 2004 configurarse como miembro de un controlador
primario de dominio?.
2.- Para que el servidor isa 2004 pueda validarse como miembro de un dominio
debe tener configurada la su dns en el adaptador de red interno.
¿ en isa 2004 afecta esto negativamente en la configuracion?.
3.-El router adsl que conecta con internet en isa 2004 ¿debe configurarse
como monopuesto o multipuesto?.
4.-Para que pueda hacer ping a la puerta de enlace del router adsl y por
tanto tener conectividad para navegar desde el host local y los clientes, he
comprobado que debes definir la direccion ip de la puerta de enlace como
parte del rango de las direcciones ip de la red interna. ¿Es esto correcto?.
5.-En isa 2000 los clientes externos cuando accedian a mi red interna via
vpn se auntentificaban con un usuario y contraseña ubicado en el A.D del
dominio principal del cual era miembro isa 2000. ¿Debe seguirse el mismo
procedimiento para isa 2004?.

En isa 2000 me funciona perfectamente esta configuracion:

Tarjeta de Red Interna
IP: 192.168.1.236
MASCARA: 255.255.255.0
GATEWAY: NINGUNA
DNS PRIMARIA: 192.168.1.246 (IP DEL CONTROLADOR PRIMARIO DE DOMINIO)

Tarjeta de Red Externa
IP: 80.47.69.57 (ip inventada en este post para ilustrar
la configuracion)
MASCARA 255.255.255.0
GATEWAY: 80.47.69.1

LAT DEL ISA 2000
De 192.168.1.0 a 192.168.6.255
De 53.0.0.0 a 53.255.255.255 (Red remota en el perimetro de mi red
unida via router frame relay)

Tambien tengo configuradas ciertas rutas estaticas para redirigir ciertas
peticiones a internet para que se enruten contra un servidor proxy ubicado
en la red 53.x.x.x

La tarjeta de red externa esta conectada al router adsl y este a la linea
telefonica, la ip del adaptador de red externo es la del isp, de este modo
el router trabaja en monopuesto, no existe nat y cualquier paquete que llega
al router adsl es pasado sin ningun tipo de filtro al servidor isa que debe
hacer todo el trabajo de cortafuegos. Esta era la configuracion recomendada
en isa 2000.


Con la misma configuracion para isa 2004 en los adaptadores de red interno y
externo no tengo respuesta de ping desde el host local a la ip 80.47.69.1
Para tenerlo tuve que definir la direccion ip 80.47.69.1 como ip asociada a
la red interna.¿Es correcto?.


Les ruego una ayuda con los procedimientos practicos iniciales para tener
conectividad y sin errores de clientes firewall en el visor de eventos y en
las alertas.
Una vez conseguido esto, podre configurar las reglas para afinar la
configuracion.

P.D.: Siempre que hablo de isa 2004 es partiendo de una instalacion limpia
de Windows 2003 Server+Isa 2004.

Espero sus comentarios.
Gracias.
email Siga el debateRespuesta 1 respuestaRespuesta Tengo una respuesta
DRAGON AGE™: INQUISITION – Matadragones
 

Leer las respuestas

#1 Ivan [MS MVP]
18/01/2005 - 08:59 | Informe spam
Te sugiero que antes de comenzar con ISA, te leas al menos esta pequeña
guia:
http://download.microsoft.com/downl...1%2003.doc
No estaria mal, que ademas mires esta otra y te leas la ayuda de ISA al
completo Es de gran ayuda para tener una base y no estar completamente
perdido:
http://download.microsoft.com/downl...1%2003.doc

Ten en cuenta que ISA 2000 e ISA 2004 se parecen en el nombre, los cambios
son importantisimos.

Te contesto a tus preguntas dentro del propio mensaje.

"MalagaEquipo" escribió en el mensaje
news:XXTGd.369656$
Despues de trabajar durante 2 años con isa 2000 sin problemas con todo
tipo de filtros, vpn y configuraciones y despues de 12 horas peleandome
con el isa 2004 no consigo hacerlo funcionar a nivel basico, me explico:

- Hago una copia total del sistema Windows 2000 server+Isa 2000 con el V2i
protector.
-Utilizo el asistente del isa 2004 para exportar la configuracion.
-Tomo nota de las rutas estaticas creadas manualmente configuradas en el
"enrutamiento y acceso remoto"

-Mi equipo tiene instaladas de tarjetas de red, una para la red interna y
otra para uso exclusivo con el router adsl configurado en monopuesto (La
direccion ip de la segunda tarjeta de red es la ip publica de internet)

Con todo el isa 2000 funcionando al 100% sin problemas, me dispongo a
migrar a isa 2004.

- Formateo el disco duro
- Hago una instalacion limpia de Windows 2003 Server Standard
- Configuro las dos tarjetas de red con los mismos valores de la antigua
instalacion.
- Hago que la maquina con Windows 2003 Server recien instalado sea miembro
del controlador principal de domio de mi red interna (Asi era como estaba
configurado anteriormente).
- Instalo el Isa 2004 de forma que los clientes firewall sean compatibles
con la instalacion del isa 2004
- Importo la configuracion del fichero .xml generado a partir del isa 2000
- Reinicio el equipo.



Yo en tu caso, si las reglas no son muy numerosas, prefiero documentarlas y
configurarlas manualmente en el ISA 2004. Si miras la ayuda de ISA:
Microsoft ISA Server, Installation and Upgrade: Concepts, Upgrading from ISA
Server 2000, te daras cuenta que hay elementos de ISA 2000 que no se van a
migrar a ISA 2004 o que se van a migrar de una forma determinada. te sugiero
que leas la ayuda ya qu eesta muy bien explicado y no tienen sentido
comentarlo aqui, ya que ademas es un monton de informacion


Conclusiones:

-El host local no navega



ISA por defecto no permite ningun trafico a traves de el, y desde el propio
ISA solo se permiten las comunicaciones que dicta la directiva del sistema.
Sobre lo que es y como editar la directiva del sistema tienes informacion en
la ayuda de ISA y en varios articulos, como por ejemplo:
http://www.isaserver.org/articles/2...olicy.html
http://www.isaserver.org/tutorials/...Part1.html
http://www.microsoft.com/technet/pr...olicy.mspx

Si miras con calma la directiva del sistema, veras que por defecto ISA solo
puede alcanzar los sitios definidos dentro del domain name set System Policy
Allowed Sites y Microsoft Error Reporting Sites.
Si quieres navegar desde el propio ISA:
http://www.isaserver.org/articles/2...ewall.html

-Los clientes no navegan



Si no hay una regla que permita HTTP desde la red interna hacia la red
externa a los usuarios que quieras permitir, no es posible la comunicacion

-El ping a la puerta de enlace del router adsl no contesta. (Realizado
desde el servidor isa)



Esto apunta a que todo el problema esta relacionado con una incorrecta
configuracion TCP/IP de los interfaces de red del ISA. Mirate el primer link
que te he indicado al comienzo de este post.


Entonces hago lo siguiente:
-Restauro la configuracion del isa 2004 a la original justo despues de la
instalacion.
-Creo una regla para permitir todo a todos.
-Desligo al servidor del isa como miembro del dominio principal.
-Reinicio el equipo.

Conclusiones:
-El host local no navega
-Los clientes no navegan
-El ping a la puerta de enlace del router adsl no contesta.(Realizado
desde el servidor isa)

Pruebo entonces lo siguiente:
Como tengo un segundo router adsl configurado como multipuesto donde la
puerta de enlace es una direccion ip de mi red interna, modifico los
valores de la tarjeta de red externa con una direccion ip de mi red
interna y la puerta de enlace de la segunda adsl.

Resultado:
-El host local navega
-Los clientes pueden ahora navegar
-El ping a la nueva puerta de enlace del router adsl si contesta
(Realizado desde el servidor isa)
-El servidor genera errores de configuracion porque la red externa incluye
rutas que pertenecen a la red interna.



Me reafirmo en lo que te decia antes: incorrecta configuracion TCP/IP de los
interfaces de red del ISA.


Despues de mas de 12 horas de pruebas y leyendo la documentacion del isa
2004 me planteo las siguientes preguntas:

1.- ¿Debe el servidor isa 2004 configurarse como miembro de un controlador
primario de dominio?.



Como DC? nunca, bajo ningun concepto, a no ser que no quede mas remedio
(SBS, no hay posibilidades econominas de adquirir otro servidor, etc)
Si seria posible en el caso de instalar ISA en otro dominio de otro bosque y
luego establecer una relacion de confianza en la que el dominio ISA confia
en el dominio interno.

2.- Para que el servidor isa 2004 pueda validarse como miembro de un
dominio debe tener configurada la su dns en el adaptador de red interno.



Si ISA esta integrado en el dominio, no debes configurar los DNS del ISP en
ningun interface. En el caso de confiurarles en el interface externo, debes
asegurarte que desde panel de control, red, menu avanzadas, configuracion
avanzada, el adaptador de red interno esta en primer lugar y el externo en
segundo lugar. Por supuesto, en el adaptador interno debes configurar los
DNS internos. De nuevo te remito al primer link de este post para una
correcta configuracion TCP/IP de los adapatdores de red del ISA.

¿ en isa 2004 afecta esto negativamente en la configuracion?.
3.-El router adsl que conecta con internet en isa 2004 ¿debe configurarse
como monopuesto o multipuesto?.



Depende de los protocolos que necesites usar. Si por ejemplo quieres usar
audio y video con messenger, o monopuesto u utilizar el default NAT, que
casi casi viene a ser lo mismo..

4.-Para que pueda hacer ping a la puerta de enlace del router adsl y por
tanto tener conectividad para navegar desde el host local y los clientes,
he comprobado que debes definir la direccion ip de la puerta de enlace
como parte del rango de las direcciones ip de la red interna. ¿Es esto
correcto?.



No es correcto, el default gateway debe considerarse como parte de la red
externa. Cuando instalas ISA y defines la red interna, unicamente debes
agregar tus rangos internos. La mejor forma de realziarlo es seleccinando
unicamente el adpatador interno del ISA.

5.-En isa 2000 los clientes externos cuando accedian a mi red interna via
vpn se auntentificaban con un usuario y contraseña ubicado en el A.D del
dominio principal del cual era miembro isa 2000. ¿Debe seguirse el mismo
procedimiento para isa 2004?.



Puedes utilizar autentificacion RADIUS, no necesitas que sea miembro del
dominio. Tambien es posible usar RAIDUS apra los cleintes web proxy, pero,
si vas a utilizar clientes firewall, o bien integras ISA en el dominio o lo
instalas en otro dominio de otro bosque y creas una relacion de confianza.


En isa 2000 me funciona perfectamente esta configuracion:

Tarjeta de Red Interna
IP: 192.168.1.236
MASCARA: 255.255.255.0
GATEWAY: NINGUNA
DNS PRIMARIA: 192.168.1.246 (IP DEL CONTROLADOR PRIMARIO DE DOMINIO)

Tarjeta de Red Externa
IP: 80.47.69.57 (ip inventada en este post para
ilustrar la configuracion)
MASCARA 255.255.255.0
GATEWAY: 80.47.69.1

LAT DEL ISA 2000
De 192.168.1.0 a 192.168.6.255
De 53.0.0.0 a 53.255.255.255 (Red remota en el perimetro de mi red
unida via router frame relay)

Tambien tengo configuradas ciertas rutas estaticas para redirigir ciertas
peticiones a internet para que se enruten contra un servidor proxy ubicado
en la red 53.x.x.x



Si se trata unicamente de peticiones web (HTTP) es mas logico usar reglas de
web chaining. Otra cosa es que tengas que definir algunas rutas sobre el
inetrface externo para poder alcanzar el servidor proxy.


La tarjeta de red externa esta conectada al router adsl y este a la linea
telefonica, la ip del adaptador de red externo es la del isp, de este modo
el router trabaja en monopuesto, no existe nat y cualquier paquete que
llega al router adsl es pasado sin ningun tipo de filtro al servidor isa
que debe hacer todo el trabajo de cortafuegos. Esta era la configuracion
recomendada en isa 2000.


Con la misma configuracion para isa 2004 en los adaptadores de red interno
y externo no tengo respuesta de ping desde el host local a la ip
80.47.69.1
Para tenerlo tuve que definir la direccion ip 80.47.69.1 como ip asociada
a la red interna.¿Es correcto?.



No es correcto. Incorrecta configuracion TCP/IP y mal definidos los rangos
de la red interna, estos son tus dos problemas principales.

Un saludo.
Ivan
MS MVP ISA Server

Preguntas similares

 

Busqueda sugerida :