Ayuda con isa 2004 en escenario complejo

No para nada, el switch -p hace que las rutas sean permanentes. Lo unico
que debes hacer en el ISA es ejecutar desde un cmd:
route -p add 172.16.2.0 mask 255.255.255 172.16.1.1
route -p add 172.16.3.0 mask 255.255.255 172.16.1.1

Una vez realizado esto, asegurate que los rangos de la red interna estan
bien definidos. Lo mas sencillo es realizar esto:
Configuration->Networks->Propiedades de la red Interna->Pestaña
addresses->Add adapter->selecciona el adaptador interno. De esta forma ISA
agregara las nuevas redes: 172.16.2.0 y 172.16.3.0 como direcciones
internas ya que utiliza la tabla de rutas para definir la red o redes
internas.

Un saludo.
Ivan
MS MVP ISA Server


"Cremosito" escribió en el mensaje
news:

Muchas gracias por tu ayuda.
Tienes razón no se trata del interfaz externo si no del interno. Me
expliqué
mal.
El externo es el que tiene la puerta de enlace que apunta a otra
dirección
(no la 172.16.1.254 como ponía en el ejemplo), el interno no tiene
ninguna
puerta de enlace. La duda estaba en saber si el isa hacía caso a la tabla
de
rutas o daba prioridad a alguna regla interna.
Ahora lo que me gustaría saber, es si esto es una buena solución o si
sería
mejor realizarlo de otra forma. Entiendo que si esta es la buena tengo
que
crear un .bat que cada vez que reinicie el equipo me cargue las dos
rutas.

Gracias de nuevo y perdona por haberte hecho el lio.


"Ivan [MS MVP]" wrote:

Solo hay una unica tabla de rutas. Lo unico que debes hacer es, como
bien
indicas, agregar las rutas estaticas necesarias para alcanzar todas las
subredes internas.
Lo que no me queda muy claro es como es posible que el ISA en el
interface
externo tenga la IP 172.16.1.254 y el router interno que da acceso a las
subredes 172.16.2.0/24 y 172.16.3.0/24, tenga como IP 172.16.1.1.
Esto
no es posible, ISA debe tener IPs de distintos rangos en sus interfaces,
no
sirve utilizar en la externa 172.16.1.254/24 y en la interna
172.16.1.2/24.

Un saludo.
Ivan
MS MVP ISA Server


"Cremosito" escribió en el mensaje
news:
> Hola Iván, muchas gracias por la explicación. Debería hacerte más caso
> de
> otros post y haber mirado un poco más la documentación del ISA.
> Respecto a la otra duda de las puertas de enlace. Como puedo hacer
> para
> que
> el tráfico para los dominios 172.16.2.X y 172.16.3.X salga a través de
> la
> puerta de enlace 172.16.1.1 en vez de por la 172.16.1.254 que es el
> que
> tiene
> asignado el isa en su interfaz externo?. Tendré que crear rutas
> estáticas
> del
> tipo route add 172.16.2.0 mask 255.255.255.0 172.16.1.1 y lo mismo
> para la
> 172.16.3.0? El isa comprueba primero la tabla de rutas de windows o se
> basa
> en su propia tabla?
> Gracias y un saludo.
>
> "Ivan [MS MVP]" wrote:
>
>> ISA aplica filtrado con inspeccion de estado a todos los interfaces.
>> Por
>> defecto, no es posible realizar un ping al ISA desde ninguna maquina
>> de
>> la
>> red interna.
>> Si quieres permitir ping, dentro del computer set "remote management
>> computer" , agrega las IPs necesarias. Al hacer esto tambien permites
>> que
>> los clientes puedan usar terminal services y MMC contra e ISA y
>> quizas no
>> sea necesario. Puedes crear un computer set que incluya las IPs de
>> las
>> estaciones desde las que quieras realizar ping al ISA, editar la
>> directiva
>> del sistema: remote management, ICMP (Ping) y en la pestaña from
>> agregar
>> el
>> computer set.
>> Si quieres permitirlo a todos los clientes de la red interna, crea
>> una
>> regla
>> de acceso que pemrita ping desde la red interna a localhost a todos
>> los
>> usuarios.
>>
>> Cuando detienes el servicio firewall, ISA entre en "lockdown mode".
>> Busca
>> en
>> la ayuda de ISA y veras porque continuas sin poder realizar un
>> ping.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "Cremosito" escribió en el
>> mensaje
>> news:
>> > Lo primero agradecer a quien lea esto y me pueda ayudar.
>> > El escenario es el siguiente:
>> > - 2 dominios w2k (DOMINIO1, DOMINIO3)
>> > - 1 dominio nt (DOMINIO2)
>> > - Los servidores establecen relaciones de confianza y se conectan
>> > a
>> > través
>> > de líneas RDSI punto a punto.
>> > -El isa 2004 lo quiero instalar en el servidor ADC del dominio 1.
>> >
>> > Bien, esto es en líneas generales la configuración. He probado a
>> > instalar
>> > el
>> > isa en el servidor adicional y gran parte de las comunicaciones
>> > funciona(creando una regla que permita todo el tráfico). El
>> > problema es
>> > que
>> > el interfaz interno del servidor deja de responder y las
>> > comunicaciones
>> > con
>> > los otros dominios desaparecen. Lo primero me deja trastocado por
>> > que
>> > no
>> > le
>> > encuentro mucho sentido. La tarjeta de red no responde al ping pero
>> > en
>> > cambio
>> > se puede navegar y manejar ficheros de ese servidor. Si desinstalo
>> > el
>> > isa
>> > la
>> > tarjeta recupera la normalidad. En cambio si paro los servicios del
>> > isa
>> > sigue
>> > sin responder. Lo segundo imagino que será por problemas con la
>> > puerta
>> > de
>> > enlace, que tampoco se como solucionar con el isa (no se sin con
>> > programas
>> > de
>> > terceros). Sin el isa creo rutas estáticas en el router (adsl) y
>> > desvío
>> > el
>> > tráfico de los dominios 2 y 3 por el router RDSI.
>> > Si alguien necesita más datos para echarme una mano que me los
>> > pida.
>> > Gracias.
>>
>>
>>

Perdon, me cole ;-) la mascara no esta bien, seria asi:

route -p add 172.16.2.0 mask 255.255.255.0 172.16.1.1
route -p add 172.16.3.0 mask 255.255.255.0 172.16.1.1

Un saludo.
Ivan
MS MVP ISA Server


"Ivan [MS MVP]" escribió en el mensaje
news:
> No para nada, el switch -p hace que las rutas sean permanentes. Lo unico
> que debes hacer en el ISA es ejecutar desde un cmd:
> route -p add 172.16.2.0 mask 255.255.255 172.16.1.1
> route -p add 172.16.3.0 mask 255.255.255 172.16.1.1
>
> Una vez realizado esto, asegurate que los rangos de la red interna estan
> bien definidos. Lo mas sencillo es realizar esto:
> Configuration->Networks->Propiedades de la red Interna->Pestaña
> addresses->Add adapter->selecciona el adaptador interno. De esta forma ISA
> agregara las nuevas redes: 172.16.2.0 y 172.16.3.0 como direcciones
> internas ya que utiliza la tabla de rutas para definir la red o redes
> internas.
>
> Un saludo.
> Ivan
> MS MVP ISA Server
>
>
> "Cremosito" escribió en el mensaje
> news:
>> Muchas gracias por tu ayuda.
>> Tienes razón no se trata del interfaz externo si no del interno. Me
>> expliqué
>> mal.
>> El externo es el que tiene la puerta de enlace que apunta a otra
>> dirección
>> (no la 172.16.1.254 como ponía en el ejemplo), el interno no tiene
>> ninguna
>> puerta de enlace. La duda estaba en saber si el isa hacía caso a la tabla
>> de
>> rutas o daba prioridad a alguna regla interna.
>> Ahora lo que me gustaría saber, es si esto es una buena solución o si
>> sería
>> mejor realizarlo de otra forma. Entiendo que si esta es la buena tengo
>> que
>> crear un .bat que cada vez que reinicie el equipo me cargue las dos
>> rutas.
>>
>> Gracias de nuevo y perdona por haberte hecho el lio.
>>
>>
>> "Ivan [MS MVP]" wrote:
>>
>>> Solo hay una unica tabla de rutas. Lo unico que debes hacer es, como
>>> bien
>>> indicas, agregar las rutas estaticas necesarias para alcanzar todas las
>>> subredes internas.
>>> Lo que no me queda muy claro es como es posible que el ISA en el
>>> interface
>>> externo tenga la IP 172.16.1.254 y el router interno que da acceso a las
>>> subredes 172.16.2.0/24 y 172.16.3.0/24, tenga como IP 172.16.1.1.
>>> Esto
>>> no es posible, ISA debe tener IPs de distintos rangos en sus interfaces,
>>> no
>>> sirve utilizar en la externa 172.16.1.254/24 y en la interna
>>> 172.16.1.2/24.
>>>
>>> Un saludo.
>>> Ivan
>>> MS MVP ISA Server
>>>
>>>
>>> "Cremosito" escribió en el mensaje
>>> news:
>>> > Hola Iván, muchas gracias por la explicación. Debería hacerte más caso
>>> > de
>>> > otros post y haber mirado un poco más la documentación del ISA.
>>> > Respecto a la otra duda de las puertas de enlace. Como puedo hacer
>>> > para
>>> > que
>>> > el tráfico para los dominios 172.16.2.X y 172.16.3.X salga a través de
>>> > la
>>> > puerta de enlace 172.16.1.1 en vez de por la 172.16.1.254 que es el
>>> > que
>>> > tiene
>>> > asignado el isa en su interfaz externo?. Tendré que crear rutas
>>> > estáticas
>>> > del
>>> > tipo route add 172.16.2.0 mask 255.255.255.0 172.16.1.1 y lo mismo
>>> > para la
>>> > 172.16.3.0? El isa comprueba primero la tabla de rutas de windows o se
>>> > basa
>>> > en su propia tabla?
>>> > Gracias y un saludo.
>>> >
>>> > "Ivan [MS MVP]" wrote:
>>> >
>>> >> ISA aplica filtrado con inspeccion de estado a todos los interfaces.
>>> >> Por
>>> >> defecto, no es posible realizar un ping al ISA desde ninguna maquina
>>> >> de
>>> >> la
>>> >> red interna.
>>> >> Si quieres permitir ping, dentro del computer set "remote management
>>> >> computer" , agrega las IPs necesarias. Al hacer esto tambien permites
>>> >> que
>>> >> los clientes puedan usar terminal services y MMC contra e ISA y
>>> >> quizas no
>>> >> sea necesario. Puedes crear un computer set que incluya las IPs de
>>> >> las
>>> >> estaciones desde las que quieras realizar ping al ISA, editar la
>>> >> directiva
>>> >> del sistema: remote management, ICMP (Ping) y en la pestaña from
>>> >> agregar
>>> >> el
>>> >> computer set.
>>> >> Si quieres permitirlo a todos los clientes de la red interna, crea
>>> >> una
>>> >> regla
>>> >> de acceso que pemrita ping desde la red interna a localhost a todos
>>> >> los
>>> >> usuarios.
>>> >>
>>> >> Cuando detienes el servicio firewall, ISA entre en "lockdown mode".
>>> >> Busca
>>> >> en
>>> >> la ayuda de ISA y veras porque continuas sin poder realizar un
>>> >> ping.
>>> >>
>>> >> Un saludo.
>>> >> Ivan
>>> >> MS MVP ISA Server
>>> >>
>>> >>
>>> >> "Cremosito" escribió en el
>>> >> mensaje
>>> >> news:
>>> >> > Lo primero agradecer a quien lea esto y me pueda ayudar.
>>> >> > El escenario es el siguiente:
>>> >> > - 2 dominios w2k (DOMINIO1, DOMINIO3)
>>> >> > - 1 dominio nt (DOMINIO2)
>>> >> > - Los servidores establecen relaciones de confianza y se conectan
>>> >> > a
>>> >> > través
>>> >> > de líneas RDSI punto a punto.
>>> >> > -El isa 2004 lo quiero instalar en el servidor ADC del dominio 1.
>>> >> >
>>> >> > Bien, esto es en líneas generales la configuración. He probado a
>>> >> > instalar
>>> >> > el
>>> >> > isa en el servidor adicional y gran parte de las comunicaciones
>>> >> > funciona(creando una regla que permita todo el tráfico). El
>>> >> > problema es
>>> >> > que
>>> >> > el interfaz interno del servidor deja de responder y las
>>> >> > comunicaciones
>>> >> > con
>>> >> > los otros dominios desaparecen. Lo primero me deja trastocado por
>>> >> > que
>>> >> > no
>>> >> > le
>>> >> > encuentro mucho sentido. La tarjeta de red no responde al ping pero
>>> >> > en
>>> >> > cambio
>>> >> > se puede navegar y manejar ficheros de ese servidor. Si desinstalo
>>> >> > el
>>> >> > isa
>>> >> > la
>>> >> > tarjeta recupera la normalidad. En cambio si paro los servicios del
>>> >> > isa
>>> >> > sigue
>>> >> > sin responder. Lo segundo imagino que será por problemas con la
>>> >> > puerta
>>> >> > de
>>> >> > enlace, que tampoco se como solucionar con el isa (no se sin con
>>> >> > programas
>>> >> > de
>>> >> > terceros). Sin el isa creo rutas estáticas en el router (adsl) y
>>> >> > desvío
>>> >> > el
>>> >> > tráfico de los dominios 2 y 3 por el router RDSI.
>>> >> > Si alguien necesita más datos para echarme una mano que me los
>>> >> > pida.
>>> >> > Gracias.
>>> >>
>>> >>
>>> >>
>>>
>>>
>>>
>
>