Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

Ayuda con isa 2004 en escenario complejo

20/12/2004 - 09:59 por Cremosito | Informe spam
Ayuda Hacer una pregunta
Lo primero agradecer a quien lea esto y me pueda ayudar.
El escenario es el siguiente:
- 2 dominios w2k (DOMINIO1, DOMINIO3)
- 1 dominio nt (DOMINIO2)
- Los servidores establecen relaciones de confianza y se conectan a través
de líneas RDSI punto a punto.
-El isa 2004 lo quiero instalar en el servidor ADC del dominio 1.

Bien, esto es en líneas generales la configuración. He probado a instalar el
isa en el servidor adicional y gran parte de las comunicaciones
funciona(creando una regla que permita todo el tráfico). El problema es que
el interfaz interno del servidor deja de responder y las comunicaciones con
los otros dominios desaparecen. Lo primero me deja trastocado por que no le
encuentro mucho sentido. La tarjeta de red no responde al ping pero en cambio
se puede navegar y manejar ficheros de ese servidor. Si desinstalo el isa la
tarjeta recupera la normalidad. En cambio si paro los servicios del isa sigue
sin responder. Lo segundo imagino que será por problemas con la puerta de
enlace, que tampoco se como solucionar con el isa (no se sin con programas de
terceros). Sin el isa creo rutas estáticas en el router (adsl) y desvío el
tráfico de los dominios 2 y 3 por el router RDSI.
Si alguien necesita más datos para echarme una mano que me los pida. Gracias.
email Siga el debateRespuesta 7 respuestasRespuesta Tengo una respuesta

Preguntas similare

Leer las respuestas

#1 Ivan [MS MVP]
22/12/2004 - 09:21 | Informe spam
ISA aplica filtrado con inspeccion de estado a todos los interfaces. Por
defecto, no es posible realizar un ping al ISA desde ninguna maquina de la
red interna.
Si quieres permitir ping, dentro del computer set "remote management
computer" , agrega las IPs necesarias. Al hacer esto tambien permites que
los clientes puedan usar terminal services y MMC contra e ISA y quizas no
sea necesario. Puedes crear un computer set que incluya las IPs de las
estaciones desde las que quieras realizar ping al ISA, editar la directiva
del sistema: remote management, ICMP (Ping) y en la pestaña from agregar el
computer set.
Si quieres permitirlo a todos los clientes de la red interna, crea una regla
de acceso que pemrita ping desde la red interna a localhost a todos los
usuarios.

Cuando detienes el servicio firewall, ISA entre en "lockdown mode". Busca en
la ayuda de ISA y veras porque continuas sin poder realizar un ping.

Un saludo.
Ivan
MS MVP ISA Server


"Cremosito" escribió en el mensaje
news:
Lo primero agradecer a quien lea esto y me pueda ayudar.
El escenario es el siguiente:
- 2 dominios w2k (DOMINIO1, DOMINIO3)
- 1 dominio nt (DOMINIO2)
- Los servidores establecen relaciones de confianza y se conectan a
través
de líneas RDSI punto a punto.
-El isa 2004 lo quiero instalar en el servidor ADC del dominio 1.

Bien, esto es en líneas generales la configuración. He probado a instalar
el
isa en el servidor adicional y gran parte de las comunicaciones
funciona(creando una regla que permita todo el tráfico). El problema es
que
el interfaz interno del servidor deja de responder y las comunicaciones
con
los otros dominios desaparecen. Lo primero me deja trastocado por que no
le
encuentro mucho sentido. La tarjeta de red no responde al ping pero en
cambio
se puede navegar y manejar ficheros de ese servidor. Si desinstalo el isa
la
tarjeta recupera la normalidad. En cambio si paro los servicios del isa
sigue
sin responder. Lo segundo imagino que será por problemas con la puerta de
enlace, que tampoco se como solucionar con el isa (no se sin con programas
de
terceros). Sin el isa creo rutas estáticas en el router (adsl) y desvío
el
tráfico de los dominios 2 y 3 por el router RDSI.
Si alguien necesita más datos para echarme una mano que me los pida.
Gracias.
Respuesta Responder a este mensaje
#2 Cremosito
28/12/2004 - 13:17 | Informe spam
Hola Iván, muchas gracias por la explicación. Debería hacerte más caso de
otros post y haber mirado un poco más la documentación del ISA.
Respecto a la otra duda de las puertas de enlace. Como puedo hacer para que
el tráfico para los dominios 172.16.2.X y 172.16.3.X salga a través de la
puerta de enlace 172.16.1.1 en vez de por la 172.16.1.254 que es el que tiene
asignado el isa en su interfaz externo?. Tendré que crear rutas estáticas del
tipo route add 172.16.2.0 mask 255.255.255.0 172.16.1.1 y lo mismo para la
172.16.3.0? El isa comprueba primero la tabla de rutas de windows o se basa
en su propia tabla?
Gracias y un saludo.

"Ivan [MS MVP]" wrote:

ISA aplica filtrado con inspeccion de estado a todos los interfaces. Por
defecto, no es posible realizar un ping al ISA desde ninguna maquina de la
red interna.
Si quieres permitir ping, dentro del computer set "remote management
computer" , agrega las IPs necesarias. Al hacer esto tambien permites que
los clientes puedan usar terminal services y MMC contra e ISA y quizas no
sea necesario. Puedes crear un computer set que incluya las IPs de las
estaciones desde las que quieras realizar ping al ISA, editar la directiva
del sistema: remote management, ICMP (Ping) y en la pestaña from agregar el
computer set.
Si quieres permitirlo a todos los clientes de la red interna, crea una regla
de acceso que pemrita ping desde la red interna a localhost a todos los
usuarios.

Cuando detienes el servicio firewall, ISA entre en "lockdown mode". Busca en
la ayuda de ISA y veras porque continuas sin poder realizar un ping.

Un saludo.
Ivan
MS MVP ISA Server


"Cremosito" escribió en el mensaje
news:
> Lo primero agradecer a quien lea esto y me pueda ayudar.
> El escenario es el siguiente:
> - 2 dominios w2k (DOMINIO1, DOMINIO3)
> - 1 dominio nt (DOMINIO2)
> - Los servidores establecen relaciones de confianza y se conectan a
> través
> de líneas RDSI punto a punto.
> -El isa 2004 lo quiero instalar en el servidor ADC del dominio 1.
>
> Bien, esto es en líneas generales la configuración. He probado a instalar
> el
> isa en el servidor adicional y gran parte de las comunicaciones
> funciona(creando una regla que permita todo el tráfico). El problema es
> que
> el interfaz interno del servidor deja de responder y las comunicaciones
> con
> los otros dominios desaparecen. Lo primero me deja trastocado por que no
> le
> encuentro mucho sentido. La tarjeta de red no responde al ping pero en
> cambio
> se puede navegar y manejar ficheros de ese servidor. Si desinstalo el isa
> la
> tarjeta recupera la normalidad. En cambio si paro los servicios del isa
> sigue
> sin responder. Lo segundo imagino que será por problemas con la puerta de
> enlace, que tampoco se como solucionar con el isa (no se sin con programas
> de
> terceros). Sin el isa creo rutas estáticas en el router (adsl) y desvío
> el
> tráfico de los dominios 2 y 3 por el router RDSI.
> Si alguien necesita más datos para echarme una mano que me los pida.
> Gracias.



Respuesta Responder a este mensaje
#3 Ivan [MS MVP]
28/12/2004 - 13:54 | Informe spam
Solo hay una unica tabla de rutas. Lo unico que debes hacer es, como bien
indicas, agregar las rutas estaticas necesarias para alcanzar todas las
subredes internas.
Lo que no me queda muy claro es como es posible que el ISA en el interface
externo tenga la IP 172.16.1.254 y el router interno que da acceso a las
subredes 172.16.2.0/24 y 172.16.3.0/24, tenga como IP 172.16.1.1. Esto
no es posible, ISA debe tener IPs de distintos rangos en sus interfaces, no
sirve utilizar en la externa 172.16.1.254/24 y en la interna
172.16.1.2/24.

Un saludo.
Ivan
MS MVP ISA Server


"Cremosito" escribió en el mensaje
news:
Hola Iván, muchas gracias por la explicación. Debería hacerte más caso de
otros post y haber mirado un poco más la documentación del ISA.
Respecto a la otra duda de las puertas de enlace. Como puedo hacer para
que
el tráfico para los dominios 172.16.2.X y 172.16.3.X salga a través de la
puerta de enlace 172.16.1.1 en vez de por la 172.16.1.254 que es el que
tiene
asignado el isa en su interfaz externo?. Tendré que crear rutas estáticas
del
tipo route add 172.16.2.0 mask 255.255.255.0 172.16.1.1 y lo mismo para la
172.16.3.0? El isa comprueba primero la tabla de rutas de windows o se
basa
en su propia tabla?
Gracias y un saludo.

"Ivan [MS MVP]" wrote:

ISA aplica filtrado con inspeccion de estado a todos los interfaces. Por
defecto, no es posible realizar un ping al ISA desde ninguna maquina de
la
red interna.
Si quieres permitir ping, dentro del computer set "remote management
computer" , agrega las IPs necesarias. Al hacer esto tambien permites que
los clientes puedan usar terminal services y MMC contra e ISA y quizas no
sea necesario. Puedes crear un computer set que incluya las IPs de las
estaciones desde las que quieras realizar ping al ISA, editar la
directiva
del sistema: remote management, ICMP (Ping) y en la pestaña from agregar
el
computer set.
Si quieres permitirlo a todos los clientes de la red interna, crea una
regla
de acceso que pemrita ping desde la red interna a localhost a todos los
usuarios.

Cuando detienes el servicio firewall, ISA entre en "lockdown mode". Busca
en
la ayuda de ISA y veras porque continuas sin poder realizar un ping.

Un saludo.
Ivan
MS MVP ISA Server


"Cremosito" escribió en el mensaje
news:
> Lo primero agradecer a quien lea esto y me pueda ayudar.
> El escenario es el siguiente:
> - 2 dominios w2k (DOMINIO1, DOMINIO3)
> - 1 dominio nt (DOMINIO2)
> - Los servidores establecen relaciones de confianza y se conectan a
> través
> de líneas RDSI punto a punto.
> -El isa 2004 lo quiero instalar en el servidor ADC del dominio 1.
>
> Bien, esto es en líneas generales la configuración. He probado a
> instalar
> el
> isa en el servidor adicional y gran parte de las comunicaciones
> funciona(creando una regla que permita todo el tráfico). El problema es
> que
> el interfaz interno del servidor deja de responder y las comunicaciones
> con
> los otros dominios desaparecen. Lo primero me deja trastocado por que
> no
> le
> encuentro mucho sentido. La tarjeta de red no responde al ping pero en
> cambio
> se puede navegar y manejar ficheros de ese servidor. Si desinstalo el
> isa
> la
> tarjeta recupera la normalidad. En cambio si paro los servicios del isa
> sigue
> sin responder. Lo segundo imagino que será por problemas con la puerta
> de
> enlace, que tampoco se como solucionar con el isa (no se sin con
> programas
> de
> terceros). Sin el isa creo rutas estáticas en el router (adsl) y
> desvío
> el
> tráfico de los dominios 2 y 3 por el router RDSI.
> Si alguien necesita más datos para echarme una mano que me los pida.
> Gracias.



Respuesta Responder a este mensaje
#4 Cremosito
28/12/2004 - 16:57 | Informe spam
Muchas gracias por tu ayuda.
Tienes razón no se trata del interfaz externo si no del interno. Me expliqué
mal.
El externo es el que tiene la puerta de enlace que apunta a otra dirección
(no la 172.16.1.254 como ponía en el ejemplo), el interno no tiene ninguna
puerta de enlace. La duda estaba en saber si el isa hacía caso a la tabla de
rutas o daba prioridad a alguna regla interna.
Ahora lo que me gustaría saber, es si esto es una buena solución o si sería
mejor realizarlo de otra forma. Entiendo que si esta es la buena tengo que
crear un .bat que cada vez que reinicie el equipo me cargue las dos rutas.

Gracias de nuevo y perdona por haberte hecho el lio.


"Ivan [MS MVP]" wrote:

Solo hay una unica tabla de rutas. Lo unico que debes hacer es, como bien
indicas, agregar las rutas estaticas necesarias para alcanzar todas las
subredes internas.
Lo que no me queda muy claro es como es posible que el ISA en el interface
externo tenga la IP 172.16.1.254 y el router interno que da acceso a las
subredes 172.16.2.0/24 y 172.16.3.0/24, tenga como IP 172.16.1.1. Esto
no es posible, ISA debe tener IPs de distintos rangos en sus interfaces, no
sirve utilizar en la externa 172.16.1.254/24 y en la interna
172.16.1.2/24.

Un saludo.
Ivan
MS MVP ISA Server


"Cremosito" escribió en el mensaje
news:
> Hola Iván, muchas gracias por la explicación. Debería hacerte más caso de
> otros post y haber mirado un poco más la documentación del ISA.
> Respecto a la otra duda de las puertas de enlace. Como puedo hacer para
> que
> el tráfico para los dominios 172.16.2.X y 172.16.3.X salga a través de la
> puerta de enlace 172.16.1.1 en vez de por la 172.16.1.254 que es el que
> tiene
> asignado el isa en su interfaz externo?. Tendré que crear rutas estáticas
> del
> tipo route add 172.16.2.0 mask 255.255.255.0 172.16.1.1 y lo mismo para la
> 172.16.3.0? El isa comprueba primero la tabla de rutas de windows o se
> basa
> en su propia tabla?
> Gracias y un saludo.
>
> "Ivan [MS MVP]" wrote:
>
>> ISA aplica filtrado con inspeccion de estado a todos los interfaces. Por
>> defecto, no es posible realizar un ping al ISA desde ninguna maquina de
>> la
>> red interna.
>> Si quieres permitir ping, dentro del computer set "remote management
>> computer" , agrega las IPs necesarias. Al hacer esto tambien permites que
>> los clientes puedan usar terminal services y MMC contra e ISA y quizas no
>> sea necesario. Puedes crear un computer set que incluya las IPs de las
>> estaciones desde las que quieras realizar ping al ISA, editar la
>> directiva
>> del sistema: remote management, ICMP (Ping) y en la pestaña from agregar
>> el
>> computer set.
>> Si quieres permitirlo a todos los clientes de la red interna, crea una
>> regla
>> de acceso que pemrita ping desde la red interna a localhost a todos los
>> usuarios.
>>
>> Cuando detienes el servicio firewall, ISA entre en "lockdown mode". Busca
>> en
>> la ayuda de ISA y veras porque continuas sin poder realizar un ping.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "Cremosito" escribió en el mensaje
>> news:
>> > Lo primero agradecer a quien lea esto y me pueda ayudar.
>> > El escenario es el siguiente:
>> > - 2 dominios w2k (DOMINIO1, DOMINIO3)
>> > - 1 dominio nt (DOMINIO2)
>> > - Los servidores establecen relaciones de confianza y se conectan a
>> > través
>> > de líneas RDSI punto a punto.
>> > -El isa 2004 lo quiero instalar en el servidor ADC del dominio 1.
>> >
>> > Bien, esto es en líneas generales la configuración. He probado a
>> > instalar
>> > el
>> > isa en el servidor adicional y gran parte de las comunicaciones
>> > funciona(creando una regla que permita todo el tráfico). El problema es
>> > que
>> > el interfaz interno del servidor deja de responder y las comunicaciones
>> > con
>> > los otros dominios desaparecen. Lo primero me deja trastocado por que
>> > no
>> > le
>> > encuentro mucho sentido. La tarjeta de red no responde al ping pero en
>> > cambio
>> > se puede navegar y manejar ficheros de ese servidor. Si desinstalo el
>> > isa
>> > la
>> > tarjeta recupera la normalidad. En cambio si paro los servicios del isa
>> > sigue
>> > sin responder. Lo segundo imagino que será por problemas con la puerta
>> > de
>> > enlace, que tampoco se como solucionar con el isa (no se sin con
>> > programas
>> > de
>> > terceros). Sin el isa creo rutas estáticas en el router (adsl) y
>> > desvío
>> > el
>> > tráfico de los dominios 2 y 3 por el router RDSI.
>> > Si alguien necesita más datos para echarme una mano que me los pida.
>> > Gracias.
>>
>>
>>



Respuesta Responder a este mensaje
#5 Ivan [MS MVP]
28/12/2004 - 17:07 | Informe spam
No para nada, el switch -p hace que las rutas sean permanentes. Lo unico que
debes hacer en el ISA es ejecutar desde un cmd:
route -p add 172.16.2.0 mask 255.255.255 172.16.1.1
route -p add 172.16.3.0 mask 255.255.255 172.16.1.1

Una vez realizado esto, asegurate que los rangos de la red interna estan
bien definidos. Lo mas sencillo es realizar esto:
Configuration->Networks->Propiedades de la red Interna->Pestaña
addresses->Add adapter->selecciona el adaptador interno. De esta forma ISA
agregara las nuevas redes: 172.16.2.0 y 172.16.3.0 como direcciones internas
ya que utiliza la tabla de rutas para definir la red o redes internas.

Un saludo.
Ivan
MS MVP ISA Server


"Cremosito" escribió en el mensaje
news:
Muchas gracias por tu ayuda.
Tienes razón no se trata del interfaz externo si no del interno. Me
expliqué
mal.
El externo es el que tiene la puerta de enlace que apunta a otra dirección
(no la 172.16.1.254 como ponía en el ejemplo), el interno no tiene ninguna
puerta de enlace. La duda estaba en saber si el isa hacía caso a la tabla
de
rutas o daba prioridad a alguna regla interna.
Ahora lo que me gustaría saber, es si esto es una buena solución o si
sería
mejor realizarlo de otra forma. Entiendo que si esta es la buena tengo que
crear un .bat que cada vez que reinicie el equipo me cargue las dos rutas.

Gracias de nuevo y perdona por haberte hecho el lio.


"Ivan [MS MVP]" wrote:

Solo hay una unica tabla de rutas. Lo unico que debes hacer es, como bien
indicas, agregar las rutas estaticas necesarias para alcanzar todas las
subredes internas.
Lo que no me queda muy claro es como es posible que el ISA en el
interface
externo tenga la IP 172.16.1.254 y el router interno que da acceso a las
subredes 172.16.2.0/24 y 172.16.3.0/24, tenga como IP 172.16.1.1.
Esto
no es posible, ISA debe tener IPs de distintos rangos en sus interfaces,
no
sirve utilizar en la externa 172.16.1.254/24 y en la interna
172.16.1.2/24.

Un saludo.
Ivan
MS MVP ISA Server


"Cremosito" escribió en el mensaje
news:
> Hola Iván, muchas gracias por la explicación. Debería hacerte más caso
> de
> otros post y haber mirado un poco más la documentación del ISA.
> Respecto a la otra duda de las puertas de enlace. Como puedo hacer para
> que
> el tráfico para los dominios 172.16.2.X y 172.16.3.X salga a través de
> la
> puerta de enlace 172.16.1.1 en vez de por la 172.16.1.254 que es el que
> tiene
> asignado el isa en su interfaz externo?. Tendré que crear rutas
> estáticas
> del
> tipo route add 172.16.2.0 mask 255.255.255.0 172.16.1.1 y lo mismo para
> la
> 172.16.3.0? El isa comprueba primero la tabla de rutas de windows o se
> basa
> en su propia tabla?
> Gracias y un saludo.
>
> "Ivan [MS MVP]" wrote:
>
>> ISA aplica filtrado con inspeccion de estado a todos los interfaces.
>> Por
>> defecto, no es posible realizar un ping al ISA desde ninguna maquina
>> de
>> la
>> red interna.
>> Si quieres permitir ping, dentro del computer set "remote management
>> computer" , agrega las IPs necesarias. Al hacer esto tambien permites
>> que
>> los clientes puedan usar terminal services y MMC contra e ISA y quizas
>> no
>> sea necesario. Puedes crear un computer set que incluya las IPs de las
>> estaciones desde las que quieras realizar ping al ISA, editar la
>> directiva
>> del sistema: remote management, ICMP (Ping) y en la pestaña from
>> agregar
>> el
>> computer set.
>> Si quieres permitirlo a todos los clientes de la red interna, crea una
>> regla
>> de acceso que pemrita ping desde la red interna a localhost a todos
>> los
>> usuarios.
>>
>> Cuando detienes el servicio firewall, ISA entre en "lockdown mode".
>> Busca
>> en
>> la ayuda de ISA y veras porque continuas sin poder realizar un
>> ping.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "Cremosito" escribió en el
>> mensaje
>> news:
>> > Lo primero agradecer a quien lea esto y me pueda ayudar.
>> > El escenario es el siguiente:
>> > - 2 dominios w2k (DOMINIO1, DOMINIO3)
>> > - 1 dominio nt (DOMINIO2)
>> > - Los servidores establecen relaciones de confianza y se conectan a
>> > través
>> > de líneas RDSI punto a punto.
>> > -El isa 2004 lo quiero instalar en el servidor ADC del dominio 1.
>> >
>> > Bien, esto es en líneas generales la configuración. He probado a
>> > instalar
>> > el
>> > isa en el servidor adicional y gran parte de las comunicaciones
>> > funciona(creando una regla que permita todo el tráfico). El problema
>> > es
>> > que
>> > el interfaz interno del servidor deja de responder y las
>> > comunicaciones
>> > con
>> > los otros dominios desaparecen. Lo primero me deja trastocado por
>> > que
>> > no
>> > le
>> > encuentro mucho sentido. La tarjeta de red no responde al ping pero
>> > en
>> > cambio
>> > se puede navegar y manejar ficheros de ese servidor. Si desinstalo
>> > el
>> > isa
>> > la
>> > tarjeta recupera la normalidad. En cambio si paro los servicios del
>> > isa
>> > sigue
>> > sin responder. Lo segundo imagino que será por problemas con la
>> > puerta
>> > de
>> > enlace, que tampoco se como solucionar con el isa (no se sin con
>> > programas
>> > de
>> > terceros). Sin el isa creo rutas estáticas en el router (adsl) y
>> > desvío
>> > el
>> > tráfico de los dominios 2 y 3 por el router RDSI.
>> > Si alguien necesita más datos para echarme una mano que me los pida.
>> > Gracias.
>>
>>
>>



Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida