Configuracion router - ips publicas isa server

Gracias Ivan:
No estoy seguro cual de las dos opciones siguientes tengo que tener:
Router en formato routing donde el router tiene las ips publicas en la WAN
y atraves de NAT como comentas en otro post "usar el default NAT y "tirar"
todo a
la IP externa del ISA" que en mi caso serian 8 ips haciendo NAT una a una.
O bien poner el router en formato "bridge" y que el servidro ISA tenga
configurado todas las ips publicas en la tarjeta EXTERNA y yo por NAT en
el ISA pasar la informacion a la DMZ.
Si es en formato "BRIDGE"¿ Que necesitaria poner o configurar aparte de
las ips publicas en el ISA?

Gracias, por todo lo unico que nos es un poco urgente.


"Ivan [MS MVP]" wrote in message
news:

Si quieres definir la relacion entre red externa-DMZ como de routing,
debes disponer de dos rangos de direcciones publicas distintos y en tu
caso, esto creo que no es asi, el ISP te ha asignado varias IPs publicas
de un mismo rango y por lo tanto tendras que configurar todas estas IPs
en el inretface externo del ISA, usar un rango privado en la DMZ y
definir la relacion entre red externa-DMZ como NAT.

Un saludo.
Ivan
MS MVP ISA Server


"Ivan Cobo" escribió en el mensaje
news:

Hola Ivan:
La verda es que no se como esta el router ya que los porpios proveedores
no me lo saben explicar.
Yo lo que quisiera es lo siginete:

Internet
|
Router
|
Isa Server -- DMZ
|
LAN

Nosotros en la actualidad trabajamos con un router Intel Shiva ( Frame
Relay con puerto serie que no permite ADSL ) el cual tiene una direccio
ip publica.
En la DMZ tenemos 3 servidores web con 3 ips publicas diferentes y una
direccion publica para el servidor de correo el cual natemos el pueto 25
y el 443 ya que es un Exchange 2003 que se encuantra en la LAN.

Hemos decido cambiar a ADSL + ISA Server y no estoy seguro de que la
configuracion que he mandado anteriormente sea la correcta, es decir,
¿Como tengo que tener el router para que la gestion de las ips lo haga
el ISA ?, ¿ tengo que poner al ISA una unica IP en la tarjeta externa?,
¿ Tengo que hacer NAT en el router como me comentas tu ?
Disculpar tanta duda y mucha gracias Ivan




"Ivan [MS MVP]" wrote in message
news:

EL router ADSL realiza NAT ? me da que si... luego todas las IPs
publicas debrian estar asignadas en el router...
EL router tienen en su interface internet la IP 200.200.200.20, pero,
en el interface interno, seguro que tiene una IPdel rango RFC 1918,
luego.. no sirve lo que estas haciendo (si nos confirmas esto, te
lo puedo decir con total seguridad)
Avanzando un poco:
1-Si el router realiza NAT, debes asignar todas las IPs publicas al
router. Para la VPN debes redireccionar los protocos necesarios a la IP
inetrna del ISA.
PPTP: 1723 TCP y el Id de protocolo 47 GRE.
L2TP/IPSec: 500 y 4500 UDP (solo si los clientes y servidor VPN
soportan el estandar NAT-T)

2-Si el router no realiza NAT, en el ISA con habilitar y configurar la
VPN, ISA modifica la directiva del firewall para permitir el trafico
VPN.
http://download.microsoft.com/downl...1%2004.doc
Configurar una VPN en el ISA con este documento, es sencillisimo.

Un saludo.
Ivan
MS MVP ISA Server


"Ivan Cobo" escribió en el mensaje
news:

Hola a tod@:

Son mis primeros pasos con Isa Server 2004 y me encuentro con varias
dudas, os espongo primero mi escenario.

1.. Router ADSL que me lo ha configurado mi proveedor en forma de
Routing con una de las ip publicas, supongamos 200.200.200.20
2.. Isa Servor con 3 tarjetas de red
1.. Tarjeta externa
IP Adress: 6 ips publicas que me ha asiginado
mi proveedor.
200.200.200.21, 22, 23 ,24, 25, 26 respectivamente.

Puerta de enlace: 200.200.200.20 la ip del router

DNS: la de mi proveedor

2.. Tarjeta interna
IP Adress: 192.168.1.1

Mascara :255.255.255.0

Puerta de enlace : no tiene

DNS: 192.168.1.3 mi servidor de DNSs

3.. Tarjeta para la DMZ que todabia no he empezado a utilizar.


He configurado el ISA para las conexiones VPN pero no me funcionan.
Mis pregunta son las siguientes:

¿El router tiene que estar en formato "Routing" o en formato "Bridge"?

¿El router tiene que tener una de las IP publicas que me ha asignado
mi proveedor y el isa el resto o el isa tiene que tener todas?

¿Por que no puedo hacer un "tracert" a ninguna de mis ips publicas
incluso a la del router desde fuera de la red?



Un saludo y gracias

Respecto a la configuracion del router, no te puedo ayudar. No solo es
necesario tirar de manual si no ademas tomar la decision de usar o no usar
NAT en el router. Aunque hacer NAT en el router puede tener sus ventajas,
tambien tiene sus desventajas:
1-Si necesitas publicar cualqueir servicio en el ISA, debes primero
configurar la redireccion en el router
2-Si quieres usar conexiones VPN sobre L2TP/IPSec tandrias que usar NAT-T
3-Para funcionar con algunos protocolo quizas necesites usar el default
NAT,
y para hacer esto, no merece la pena que el router realice NAT, no tienen
sentido si al final todo el trafico se redirige a la IP externa del ISA.

Yo no haria NAT en el router, pero ten en cuenta que es mi opinion.

Ivan
MS MVP ISA Server


"Ivan Cobo" escribió en el mensaje
news:

Gracias Ivan:
No estoy seguro cual de las dos opciones siguientes tengo que tener:
Router en formato routing donde el router tiene las ips publicas en la
WAN y atraves de NAT como comentas en otro post "usar el default NAT y
"tirar" todo a
la IP externa del ISA" que en mi caso serian 8 ips haciendo NAT una a
una.
O bien poner el router en formato "bridge" y que el servidro ISA tenga
configurado todas las ips publicas en la tarjeta EXTERNA y yo por NAT en
el ISA pasar la informacion a la DMZ.
Si es en formato "BRIDGE"¿ Que necesitaria poner o configurar aparte de
las ips publicas en el ISA?

Gracias, por todo lo unico que nos es un poco urgente.


"Ivan [MS MVP]" wrote in message
news:

Si quieres definir la relacion entre red externa-DMZ como de routing,
debes disponer de dos rangos de direcciones publicas distintos y en tu
caso, esto creo que no es asi, el ISP te ha asignado varias IPs publicas
de un mismo rango y por lo tanto tendras que configurar todas estas IPs
en el inretface externo del ISA, usar un rango privado en la DMZ y
definir la relacion entre red externa-DMZ como NAT.

Un saludo.
Ivan
MS MVP ISA Server


"Ivan Cobo" escribió en el mensaje
news:

Hola Ivan:
La verda es que no se como esta el router ya que los porpios
proveedores no me lo saben explicar.
Yo lo que quisiera es lo siginete:

Internet
|
Router
|
Isa Server -- DMZ
|
LAN

Nosotros en la actualidad trabajamos con un router Intel Shiva ( Frame
Relay con puerto serie que no permite ADSL ) el cual tiene una direccio
ip publica.
En la DMZ tenemos 3 servidores web con 3 ips publicas diferentes y una
direccion publica para el servidor de correo el cual natemos el pueto
25 y el 443 ya que es un Exchange 2003 que se encuantra en la LAN.

Hemos decido cambiar a ADSL + ISA Server y no estoy seguro de que la
configuracion que he mandado anteriormente sea la correcta, es decir,
¿Como tengo que tener el router para que la gestion de las ips lo haga
el ISA ?, ¿ tengo que poner al ISA una unica IP en la tarjeta externa?,
¿ Tengo que hacer NAT en el router como me comentas tu ?
Disculpar tanta duda y mucha gracias Ivan




"Ivan [MS MVP]" wrote in message
news:

EL router ADSL realiza NAT ? me da que si... luego todas las IPs
publicas debrian estar asignadas en el router...
EL router tienen en su interface internet la IP 200.200.200.20, pero,
en el interface interno, seguro que tiene una IPdel rango RFC 1918,
luego.. no sirve lo que estas haciendo (si nos confirmas esto, te
lo puedo decir con total seguridad)
Avanzando un poco:
1-Si el router realiza NAT, debes asignar todas las IPs publicas al
router. Para la VPN debes redireccionar los protocos necesarios a la
IP inetrna del ISA.
PPTP: 1723 TCP y el Id de protocolo 47 GRE.
L2TP/IPSec: 500 y 4500 UDP (solo si los clientes y servidor VPN
soportan el estandar NAT-T)

2-Si el router no realiza NAT, en el ISA con habilitar y configurar la
VPN, ISA modifica la directiva del firewall para permitir el trafico
VPN.
http://download.microsoft.com/downl...1%2004.doc
Configurar una VPN en el ISA con este documento, es sencillisimo.

Un saludo.
Ivan
MS MVP ISA Server


"Ivan Cobo" escribió en el mensaje
news:

Hola a tod@:

Son mis primeros pasos con Isa Server 2004 y me encuentro con varias
dudas, os espongo primero mi escenario.

1.. Router ADSL que me lo ha configurado mi proveedor en forma de
Routing con una de las ip publicas, supongamos 200.200.200.20
2.. Isa Servor con 3 tarjetas de red
1.. Tarjeta externa
IP Adress: 6 ips publicas que me ha asiginado
mi proveedor.
200.200.200.21, 22, 23 ,24, 25, 26 respectivamente.

Puerta de enlace: 200.200.200.20 la ip del router

DNS: la de mi proveedor

2.. Tarjeta interna
IP Adress: 192.168.1.1

Mascara :255.255.255.0

Puerta de enlace : no tiene

DNS: 192.168.1.3 mi servidor de DNSs

3.. Tarjeta para la DMZ que todabia no he empezado a utilizar.


He configurado el ISA para las conexiones VPN pero no me funcionan.
Mis pregunta son las siguientes:

¿El router tiene que estar en formato "Routing" o en formato
"Bridge"?

¿El router tiene que tener una de las IP publicas que me ha asignado
mi proveedor y el isa el resto o el isa tiene que tener todas?

¿Por que no puedo hacer un "tracert" a ninguna de mis ips publicas
incluso a la del router desde fuera de la red?



Un saludo y gracias

Bueno, despues de molestaros he estado investigando y creo que la opcion
que he elejido es la aducuada o por lo menos me funciona.
Los tecnicos de mi ISP me han configurado el router en formato Bridge y el
Isa Server tiene todos la ips publicas en su tarjeta externa. Ahora me
toca investigar como montar la DMZ ( leere manuales, post anteriores del
foro, etc), en cuanto al VPN ya me funciona y va por ahora bien, Muchas
gracias por el docuento que me mandaste.

Un salud y muchisimas gracias por todo Ivan.

Ivan Cobo.

"Ivan [MS MVP]" wrote in message
news:OtA8$

Respecto a la configuracion del router, no te puedo ayudar. No solo es
necesario tirar de manual si no ademas tomar la decision de usar o no
usar
NAT en el router. Aunque hacer NAT en el router puede tener sus ventajas,
tambien tiene sus desventajas:
1-Si necesitas publicar cualqueir servicio en el ISA, debes primero
configurar la redireccion en el router
2-Si quieres usar conexiones VPN sobre L2TP/IPSec tandrias que usar NAT-T
3-Para funcionar con algunos protocolo quizas necesites usar el default
NAT,
y para hacer esto, no merece la pena que el router realice NAT, no tienen
sentido si al final todo el trafico se redirige a la IP externa del ISA.

Yo no haria NAT en el router, pero ten en cuenta que es mi opinion.

Ivan
MS MVP ISA Server


"Ivan Cobo" escribió en el mensaje
news:

Gracias Ivan:
No estoy seguro cual de las dos opciones siguientes tengo que tener:
Router en formato routing donde el router tiene las ips publicas en la
WAN y atraves de NAT como comentas en otro post "usar el default NAT y
"tirar" todo a
la IP externa del ISA" que en mi caso serian 8 ips haciendo NAT una a
una.
O bien poner el router en formato "bridge" y que el servidro ISA tenga
configurado todas las ips publicas en la tarjeta EXTERNA y yo por NAT
en el ISA pasar la informacion a la DMZ.
Si es en formato "BRIDGE"¿ Que necesitaria poner o configurar aparte de
las ips publicas en el ISA?

Gracias, por todo lo unico que nos es un poco urgente.


"Ivan [MS MVP]" wrote in message
news:

Si quieres definir la relacion entre red externa-DMZ como de routing,
debes disponer de dos rangos de direcciones publicas distintos y en tu
caso, esto creo que no es asi, el ISP te ha asignado varias IPs
publicas de un mismo rango y por lo tanto tendras que configurar todas
estas IPs en el inretface externo del ISA, usar un rango privado en la
DMZ y definir la relacion entre red externa-DMZ como NAT.

Un saludo.
Ivan
MS MVP ISA Server


"Ivan Cobo" escribió en el mensaje
news:

Hola Ivan:
La verda es que no se como esta el router ya que los porpios
proveedores no me lo saben explicar.
Yo lo que quisiera es lo siginete:

Internet
|
Router
|
Isa Server -- DMZ
|
LAN

Nosotros en la actualidad trabajamos con un router Intel Shiva ( Frame
Relay con puerto serie que no permite ADSL ) el cual tiene una
direccio ip publica.
En la DMZ tenemos 3 servidores web con 3 ips publicas diferentes y una
direccion publica para el servidor de correo el cual natemos el pueto
25 y el 443 ya que es un Exchange 2003 que se encuantra en la LAN.

Hemos decido cambiar a ADSL + ISA Server y no estoy seguro de que la
configuracion que he mandado anteriormente sea la correcta, es decir,
¿Como tengo que tener el router para que la gestion de las ips lo haga
el ISA ?, ¿ tengo que poner al ISA una unica IP en la tarjeta
externa?, ¿ Tengo que hacer NAT en el router como me comentas tu ?
Disculpar tanta duda y mucha gracias Ivan




"Ivan [MS MVP]" wrote in message
news:

EL router ADSL realiza NAT ? me da que si... luego todas las IPs
publicas debrian estar asignadas en el router...
EL router tienen en su interface internet la IP 200.200.200.20, pero,
en el interface interno, seguro que tiene una IPdel rango RFC 1918,
luego.. no sirve lo que estas haciendo (si nos confirmas esto, te
lo puedo decir con total seguridad)
Avanzando un poco:
1-Si el router realiza NAT, debes asignar todas las IPs publicas al
router. Para la VPN debes redireccionar los protocos necesarios a la
IP inetrna del ISA.
PPTP: 1723 TCP y el Id de protocolo 47 GRE.
L2TP/IPSec: 500 y 4500 UDP (solo si los clientes y servidor VPN
soportan el estandar NAT-T)

2-Si el router no realiza NAT, en el ISA con habilitar y configurar
la VPN, ISA modifica la directiva del firewall para permitir el
trafico VPN.
http://download.microsoft.com/downl...1%2004.doc
Configurar una VPN en el ISA con este documento, es sencillisimo.

Un saludo.
Ivan
MS MVP ISA Server


"Ivan Cobo" escribió en el mensaje
news:

Hola a tod@:

Son mis primeros pasos con Isa Server 2004 y me encuentro con varias
dudas, os espongo primero mi escenario.

1.. Router ADSL que me lo ha configurado mi proveedor en forma de
Routing con una de las ip publicas, supongamos 200.200.200.20
2.. Isa Servor con 3 tarjetas de red
1.. Tarjeta externa
IP Adress: 6 ips publicas que me ha asiginado
mi proveedor.
200.200.200.21, 22, 23 ,24, 25, 26 respectivamente.

Puerta de enlace: 200.200.200.20 la ip del router

DNS: la de mi proveedor

2.. Tarjeta interna
IP Adress: 192.168.1.1

Mascara :255.255.255.0

Puerta de enlace : no tiene

DNS: 192.168.1.3 mi servidor de DNSs

3.. Tarjeta para la DMZ que todabia no he empezado a utilizar.


He configurado el ISA para las conexiones VPN pero no me funcionan.
Mis pregunta son las siguientes:

¿El router tiene que estar en formato "Routing" o en formato
"Bridge"?

¿El router tiene que tener una de las IP publicas que me ha asignado
mi proveedor y el isa el resto o el isa tiene que tener todas?

¿Por que no puedo hacer un "tracert" a ninguna de mis ips publicas
incluso a la del router desde fuera de la red?



Un saludo y gracias

Para ir tirando:
http://www.isaserver.org/articles/2...dmzp1.html
http://www.isaserver.org/articles/2...dmzp2.html

Un ejemplo con Exchange:
http://www.isaserver.org/articles/2004dmzfebe.html
Ten en cuenta que en una situacion ideal la DMZ no deberia contener
maquinas integradas en el dominio interno. De todas formas, por poder es
perfectamente posible.
http://www.isaserver.org/articles/2...omain.html

Un saludo.
Ivan
MS MVP ISA Server


"Ivan Cobo" escribió en el mensaje
news:

Bueno, despues de molestaros he estado investigando y creo que la opcion
que he elejido es la aducuada o por lo menos me funciona.
Los tecnicos de mi ISP me han configurado el router en formato Bridge y
el Isa Server tiene todos la ips publicas en su tarjeta externa. Ahora me
toca investigar como montar la DMZ ( leere manuales, post anteriores del
foro, etc), en cuanto al VPN ya me funciona y va por ahora bien, Muchas
gracias por el docuento que me mandaste.

Un salud y muchisimas gracias por todo Ivan.

Ivan Cobo.

"Ivan [MS MVP]" wrote in message
news:OtA8$

Respecto a la configuracion del router, no te puedo ayudar. No solo es
necesario tirar de manual si no ademas tomar la decision de usar o no
usar
NAT en el router. Aunque hacer NAT en el router puede tener sus
ventajas,
tambien tiene sus desventajas:
1-Si necesitas publicar cualqueir servicio en el ISA, debes primero
configurar la redireccion en el router
2-Si quieres usar conexiones VPN sobre L2TP/IPSec tandrias que usar
NAT-T
3-Para funcionar con algunos protocolo quizas necesites usar el default
NAT,
y para hacer esto, no merece la pena que el router realice NAT, no
tienen
sentido si al final todo el trafico se redirige a la IP externa del ISA.

Yo no haria NAT en el router, pero ten en cuenta que es mi opinion.

Ivan
MS MVP ISA Server


"Ivan Cobo" escribió en el mensaje
news:

Gracias Ivan:
No estoy seguro cual de las dos opciones siguientes tengo que tener:
Router en formato routing donde el router tiene las ips publicas en la
WAN y atraves de NAT como comentas en otro post "usar el default NAT y
"tirar" todo a
la IP externa del ISA" que en mi caso serian 8 ips haciendo NAT una a
una.
O bien poner el router en formato "bridge" y que el servidro ISA tenga
configurado todas las ips publicas en la tarjeta EXTERNA y yo por NAT
en el ISA pasar la informacion a la DMZ.
Si es en formato "BRIDGE"¿ Que necesitaria poner o configurar aparte de
las ips publicas en el ISA?

Gracias, por todo lo unico que nos es un poco urgente.


"Ivan [MS MVP]" wrote in message
news:

Si quieres definir la relacion entre red externa-DMZ como de routing,
debes disponer de dos rangos de direcciones publicas distintos y en tu
caso, esto creo que no es asi, el ISP te ha asignado varias IPs
publicas de un mismo rango y por lo tanto tendras que configurar todas
estas IPs en el inretface externo del ISA, usar un rango privado en la
DMZ y definir la relacion entre red externa-DMZ como NAT.

Un saludo.
Ivan
MS MVP ISA Server


"Ivan Cobo" escribió en el mensaje
news:

Hola Ivan:
La verda es que no se como esta el router ya que los porpios
proveedores no me lo saben explicar.
Yo lo que quisiera es lo siginete:

Internet
|
Router
|
Isa Server -- DMZ
|
LAN

Nosotros en la actualidad trabajamos con un router Intel Shiva (
Frame Relay con puerto serie que no permite ADSL ) el cual tiene una
direccio ip publica.
En la DMZ tenemos 3 servidores web con 3 ips publicas diferentes y
una direccion publica para el servidor de correo el cual natemos el
pueto 25 y el 443 ya que es un Exchange 2003 que se encuantra en la
LAN.

Hemos decido cambiar a ADSL + ISA Server y no estoy seguro de que la
configuracion que he mandado anteriormente sea la correcta, es decir,
¿Como tengo que tener el router para que la gestion de las ips lo
haga el ISA ?, ¿ tengo que poner al ISA una unica IP en la tarjeta
externa?, ¿ Tengo que hacer NAT en el router como me comentas tu ?
Disculpar tanta duda y mucha gracias Ivan




"Ivan [MS MVP]" wrote in message
news:

EL router ADSL realiza NAT ? me da que si... luego todas las IPs
publicas debrian estar asignadas en el router...
EL router tienen en su interface internet la IP 200.200.200.20,
pero, en el interface interno, seguro que tiene una IPdel rango RFC
1918, luego.. no sirve lo que estas haciendo (si nos confirmas
esto, te lo puedo decir con total seguridad)
Avanzando un poco:
1-Si el router realiza NAT, debes asignar todas las IPs publicas al
router. Para la VPN debes redireccionar los protocos necesarios a la
IP inetrna del ISA.
PPTP: 1723 TCP y el Id de protocolo 47 GRE.
L2TP/IPSec: 500 y 4500 UDP (solo si los clientes y servidor VPN
soportan el estandar NAT-T)

2-Si el router no realiza NAT, en el ISA con habilitar y configurar
la VPN, ISA modifica la directiva del firewall para permitir el
trafico VPN.
http://download.microsoft.com/downl...1%2004.doc
Configurar una VPN en el ISA con este documento, es sencillisimo.

Un saludo.
Ivan
MS MVP ISA Server


"Ivan Cobo" escribió en el mensaje
news:

Hola a tod@:

Son mis primeros pasos con Isa Server 2004 y me encuentro con
varias dudas, os espongo primero mi escenario.

1.. Router ADSL que me lo ha configurado mi proveedor en forma de
Routing con una de las ip publicas, supongamos 200.200.200.20
2.. Isa Servor con 3 tarjetas de red
1.. Tarjeta externa
IP Adress: 6 ips publicas que me ha
asiginado mi proveedor.
200.200.200.21, 22, 23 ,24, 25, 26 respectivamente.

Puerta de enlace: 200.200.200.20 la ip del router

DNS: la de mi proveedor

2.. Tarjeta interna
IP Adress: 192.168.1.1

Mascara :255.255.255.0

Puerta de enlace : no tiene

DNS: 192.168.1.3 mi servidor de DNSs

3.. Tarjeta para la DMZ que todabia no he empezado a utilizar.


He configurado el ISA para las conexiones VPN pero no me funcionan.
Mis pregunta son las siguientes:

¿El router tiene que estar en formato "Routing" o en formato
"Bridge"?

¿El router tiene que tener una de las IP publicas que me ha
asignado mi proveedor y el isa el resto o el isa tiene que tener
todas?

¿Por que no puedo hacer un "tracert" a ninguna de mis ips publicas
incluso a la del router desde fuera de la red?



Un saludo y gracias

Ivan, mi idea es la siguente en cuanto a la DMZ:
Tarjeta externa:
Ip Adress: 200.200.200.20
200.200.200.21
200.200.200.22
200.200.200.23
200.200.200.24
Masca de red: 255.255.255.248
Puerta de enlaca: 200.200.200.19

Tarjeta Interna:
Ip Adress: 192.168.1.1
Masca de red: 255.255.255.0
Puerta de enlaca: Sin direccion

Tarjeta DMZ:
Ip Adress: 172.16.0.1
17Masca de red: 255.255.255.0
Puerta de enlaca: Todabia no lo se

Uno de los servidores de la DMZ estaria si configurado
Ip Adress: 172.16.0.2
2¡17Masca de red: 255.255.255.0
Puerta de enlaca: Todabia no lo se

Yo creo que con el ISA lo que hare sera con NAT pasar todo lo que me llege
a la ip publica 200.200.200.21 por pueteo 80 y 443 se lo pasare a la ip
172.16.0.2 que es uno se mis servidor web.
Pero bueno lo primero me leere lo que me pasa (los equipos de la DMZ no
estan con dominio interno)