Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

Pregunta sobre RRAS

15/11/2004 - 18:59 por mosquito_hippy | Informe spam
Ayuda Hacer una pregunta
Tengo esta pregunta que es, a mi parecer, algo compleja:

Bien tengo una red local detras de un ISA Server, este ISA Server accede a
internet y a un Frame Relay a traves de una tarjeta de red que esta conectada
a un Router Cisco, la red local accede a el ISA Server a traves de otra
tarjeta de red, obteniendo asi la red local acceso a internet.

En el otro extremo de la Frame Relay tengo otro router Cisco al cual se
conecta una Red local Peer-to-Peer Windows XP Profecional. Este router Cisco
hace NAT/PAT de manera que los equipos conectados a esta red accesan a
internet a traves de el otro router anteriormente mencionado.

He revisado las rutas en ambos Routers y estan bien, de hecho puedo hacer
ping a las estaciones de la red remota desde los PC's de mi red local que se
encuentran detras de el ISA Server. Aun mas puedo utilizar el Escritorio
Remoto para accesar un equipo de esa red desde un equipo que esta detras de
la red ISA Server.

Quisiera que esta integrar ambas redes como si fueran una y asi poder
compartir recursos.

Se que debo agregar la red remota a la LAT de mi ISA Server y dado que la
red remota va a entrar por la tarjeta de red externa debo arrancar el RRAS,
pero una vez ahi, no se que mas hacer.

Alguna idea?


Gracias por adelantado.
email Siga el debateRespuesta 17 respuestasRespuesta Tengo una respuesta

Preguntas similare

Leer las respuestas

#11 mosquito_hippy
22/11/2004 - 16:12 | Informe spam
Es una conexion privada WAN, ahora bien, que solucion te parece mejor,
agregar otra interfaz ethernet a el router y enrutar o agregar direcciones
secundarias a las tarjetas e interfaces existentes.

He agregado la direccion de la otra red a la lat, debo hacer algo mas?

El problema es basicamente como configurar dos redes privadas clase C para
que funcionen bajo un mismo dominio.

"Ivan [MS MVP]" wrote:

Tenes un cable, si, pero ese cable es la propia conexion a internet o es un
vinculo WAN privado que enlaza las dos redes ? son dos cosas muy
distintas
Si es una conexion a internet y quieres unir las dos redes, no le des mas
vueltas: VPN, vas a perder mas tiempo pensando soluciones alternativas (que
no las hay) que si te pones manos a la obra con ello.
Si es una conexion privada, puedes hacer lo que quieras no hay ningun
problema.

Un saludo.
Ivan
MS MVP ISA Server


"mosquito_hippy" escribió en el
mensaje news:
> Disculpame si no me explique correctamente.
>
> Efectivamente tengo dos redes clase C privadas.
>
> Se que no se pueden enrutar estas redes a traves de redes publicas.
>
> Pero ambas redes estan conectadas por un cable (virtual) que es el frame
> relay. Ahora la red remota usa NAT para accesar internet por que no he
> podido enrutar el trafico a traves de el frame realy y usar el ISA Server
> para proporcionarles servicio de internet ademas de acceso a mi red.
>
> Repito, tengo un cable uniendo a ambas redes privadas, entonces, no podria
> en teoria enrutar el trafico hasta el isa server?
>
> si pudiera enviarte un dibujo seria mas explicativo.
>
> "Ivan [MS MVP]" wrote:
>
>> La verdad es que no se a que te refieres, pero... basico del TCP/IP: las
>> direcciones RFC 1918 no son enrutables en internet, no son validas.
>> Piensalo un poco... tienes dos IPs publicas y detras clientes con
>> direcciones RFC 1918, como vas a enrutar esto ? es imposible, necesiats
>> realizar NAT. Ahora dices, vale, uso NAT y... vas a permitir que todo el
>> trafico se transmita por internet sin ningun tipo de proteccion (cifrado
>> de
>> datos, autentificacion, garantia de que los datos no se han modificado en
>> transito y un largo etc) ? y no solo eso, luego en el otro extremo, te
>> puedes encontrar (te puedes no, te encontraras seguro) con muchisimos
>> problemas para redirigir protocolos que utilizan conexiones secundarias y
>> rangos de puertos dinamicos. mas aun podras publicar un determinado
>> servicio, pero.. y si tienes que publicar varios servicios que utilizan
>> el
>> mismo protocolo ? como lo vas a realizar si unicamente dispones de una
>> direccion IP publica ?
>> Tenemos los medios para realizar esto, no hay que intentar reinventar la
>> rueda ;-) y se denomina red privada virtual.
>> Mirate el manuel del router, seguro que permite establecer conexiones VPN
>> con PPTP y de esta forma puedes establecer una VPN entre el router y el
>> ISA.
>> Depende de ti, cada router es distinto y hay que tirar de manual. Google
>> tambien te pueda sacar del apuro y si buscas un poco, quizas hasta
>> encuentras detalles de como realizar la VPN entre tu modelo de router y
>> un
>> servidor RRAS Windows.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "mosquito_hippy" escribió en el
>> mensaje news:
>> > Entonces no puedo tener dos redes privadas capa 3 en un mismo dominio?
>> >
>> > "Ivan [MS MVP]" wrote:
>> >
>> >> Necesitas usar una conexion VPN, bien de clientes o bien entre
>> >> enrutadores:
>> >> router-ISA. Lo que quieres hacer no es posible, no puedes poner un
>> >> interface
>> >> con direcciones RFC 1918 y enrutarlas. Aun siendo publicas tampoco
>> >> podrias
>> >> porque los clientes internos utilizan direcciones no validas en
>> >> internet
>> >> y
>> >> tendrias que realizar NAT.
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "mosquito_hippy" escribió en
>> >> el
>> >> mensaje news:
>> >> > La VPN la levante entre el Servidor y los Clientes, use la
>> >> > configuracion
>> >> > por
>> >> > defecto que me dio el wizard de ISA Server.
>> >> >
>> >> > Pero se me antoja resolver esto enrutando el trafico en vez de usar
>> >> > VPN,
>> >> > me
>> >> > inspira mas confianza y estoy convencido que se puede.
>> >> >
>> >> > Mi teoria es que dado que la interfaz de cara a internet de mi ISA
>> >> > Server
>> >> > tiene una direccion publica este nunca va permitir que el trafico
>> >> > entre
>> >> > por
>> >> > esa interfaz dado que no es reflexivo a no ser que publique el
>> >> > servidor
>> >> > como
>> >> > he leido pero que tampoco me interesa salvo que sea inevitable.
>> >> >
>> >> > La solucion que se me ocurre es agregar una interfaz ethernet
>> >> > adicional
>> >> > a
>> >> > el
>> >> > router y una tarjeta de red adicional al servidor y configurar esta
>> >> > conexion
>> >> > con direcciones privadas, agregar las direcciones de red de la red
>> >> > remota
>> >> > a
>> >> > la lat, crear una ruta estatica en el RRAS para que los paquetes
>> >> > dirigidos
>> >> > a
>> >> > esa red encuentren su camino por el router y encaminar todo el
>> >> > trafico
>> >> > de
>> >> > la
>> >> > red remota a traves de esa nueva tarjeta de red.
>> >> >
>> >> > Cualquier sugerencia seria bienvenida.
>> >> >
>> >> > "Ivan [MS MVP]" wrote:
>> >> >
>> >> >> Tienes ya implementada la VPN ? como la has creado ? entre el
>> >> >> router y
>> >> >> el
>> >> >> ISA o estableces conexiones desde los clientes ?
>> >> >>
>> >> >> Un saludo.
>> >> >> Ivan
>> >> >> MS MVP ISA Server
>> >> >>
>> >> >>
>> >> >> "mosquito_hippy" escribió
>> >> >> en
>> >> >> el
>> >> >> mensaje news:
>> >> >> > Tengo esta pregunta que es, a mi parecer, algo compleja:
>> >> >> >
>> >> >> > Bien tengo una red local detras de un ISA Server, este ISA Server
>> >> >> > accede a
>> >> >> > internet y a un Frame Relay a traves de una tarjeta de red que
>> >> >> > esta
>> >> >> > conectada
>> >> >> > a un Router Cisco, la red local accede a el ISA Server a traves
>> >> >> > de
>> >> >> > otra
>> >> >> > tarjeta de red, obteniendo asi la red local acceso a internet.
>> >> >> >
>> >> >> > En el otro extremo de la Frame Relay tengo otro router Cisco al
>> >> >> > cual
>> >> >> > se
>> >> >> > conecta una Red local Peer-to-Peer Windows XP Profecional. Este
>> >> >> > router
>> >> >> > Cisco
>> >> >> > hace NAT/PAT de manera que los equipos conectados a esta red
>> >> >> > accesan
>> >> >> > a
>> >> >> > internet a traves de el otro router anteriormente mencionado.
>> >> >> >
>> >> >> > He revisado las rutas en ambos Routers y estan bien, de hecho
>> >> >> > puedo
>> >> >> > hacer
>> >> >> > ping a las estaciones de la red remota desde los PC's de mi red
>> >> >> > local
>> >> >> > que
>> >> >> > se
>> >> >> > encuentran detras de el ISA Server. Aun mas puedo utilizar el
>> >> >> > Escritorio
>> >> >> > Remoto para accesar un equipo de esa red desde un equipo que esta
>> >> >> > detras
>> >> >> > de
>> >> >> > la red ISA Server.
>> >> >> >
>> >> >> > Quisiera que esta integrar ambas redes como si fueran una y asi
>> >> >> > poder
>> >> >> > compartir recursos.
>> >> >> >
>> >> >> > Se que debo agregar la red remota a la LAT de mi ISA Server y
>> >> >> > dado
>> >> >> > que
>> >> >> > la
>> >> >> > red remota va a entrar por la tarjeta de red externa debo
>> >> >> > arrancar
>> >> >> > el
>> >> >> > RRAS,
>> >> >> > pero una vez ahi, no se que mas hacer.
>> >> >> >
>> >> >> > Alguna idea?
>> >> >> >
>> >> >> >
>> >> >> > Gracias por adelantado.
>> >> >>
>> >> >>
>> >> >>
>> >>
>> >>
>> >>
>>
>>
>>



Respuesta Responder a este mensaje
#12 mosquito_hippy
22/11/2004 - 16:27 | Informe spam
Eso es lo que tengo, con el Router y Router 1 conectados via Frame Relay.

Bueno, seguire tu consejo, pero debere implementar la VPN desde clientes
dado que mi router remoto es un poco viejo y no creo que me de la opcion de
hacer VPN, pero debo leer mas al respecto.

Gracias de cualquier forma

"Ivan [MS MVP]" wrote:

Tienes esto ?

Internet
|
|
Router<->Router1<->sede remota
|
|
ISA
|
Red interna

Si es esto lo que tienes, mi consejo continua siendo que utilices una
conexion VPN, ahora. la decision es tuya
Si configuras un segundo interface en el ISA deberia ser un interface dentro
de la LAT y aqui estarias abriendo una brecha de seguridad importantisima...
por el mismo cable fisico hay trafico interno y trafico de internet, el ISA
queda puenteado.. En mi modesta opinion, es una implementacion bastante
mala.
Si lo configuras como un interface externo, esto asi de primeras en el ISA
no funciona, es necesario deshabilitar IP spoofing y luego crear reglas de
publicacion, otra opcion que tampoco me parece nada buena, maxime cuando con
una VPN tienes todo con verdaderas garantias de seguridad.

Un saludo.
Ivan
MS MVP ISA Server


"mosquito_hippy" escribió en el
mensaje news:
> No es el Router remoto el que hace NAT/PAT, es el router local.
>
> Este router enruta el trafico proveniente de el router destinado a
> internet.
>
> ( internet )
> |direccion privada 1.1
> |
> |
> (router local)-Frame Relay-(router
> remoto)
> dir.pub. 1.1| direccion privada 1.2 direccion privada 1.3 |
> |
> |
> |
> |
> |dir. publica 1.2
> |
> (ISA Server)
>
> |dir privada 2.1
> red remota (peertopeer)
> |
> |dir privada 2.2
>
> red local
>
> En realidad mis redes accesan internet a traves de el Frame Relay pero
> tengo
> asignadas varias direcciones publicas y ISP canaliza el trafico.
>
> Pero como vez, hay un cable (virtual) entre las dos redes.
>
> Ahora bien, el router local tiene solo dos interfaces, una serial y una
> ethernet.
>
> Igualmente el router remoto.
>
> El router local tiene configurado dos sub-interfaces en la interfaz serial
> una con una direccion privada clase A que da cara a el Frame Relay externo
> y
> una direccion privada clase C de cara al router remoto.
>
> La interfaz ethernet de el router local esta configurado con una direccion
> publica internet que se conecta a la tarjeta de red externa de el ISA
> Server.
>
> Como te dije, he comprovado la conectividad de capa de red y capa de
> aplicacion desde mi red local hasta la red remota.
>
> El problema es que cuando la compruebo en sentido opuesto no pasa la
> prueba
> de capa de red de el router remoto.
>
> Ahora bien, mi teoria es que el trafico de regreso a mi red local no entra
> por que no es reflexivo y esta pasando por direcciones IP publicas, por
> eso
> pienso que al agregar una interfaz ethernet adicional a mi router y una
> tarjeta de red adicional a mi servidor y asignando a estas direcciones
> privadas clase c podria solucionar el problema.
>
> Podria tambien agregar a la interfaz actual una segunda direccion IP asi
> como a la tarjeta de red de el servidor de cara a internet y asi podria
> tambien resolverlo, pero no estoy seguro.
>
> Alguna idea?
>
> "Ivan [MS MVP]" wrote:
>
>> La verdad es que no se a que te refieres, pero... basico del TCP/IP: las
>> direcciones RFC 1918 no son enrutables en internet, no son validas.
>> Piensalo un poco... tienes dos IPs publicas y detras clientes con
>> direcciones RFC 1918, como vas a enrutar esto ? es imposible, necesiats
>> realizar NAT. Ahora dices, vale, uso NAT y... vas a permitir que todo el
>> trafico se transmita por internet sin ningun tipo de proteccion (cifrado
>> de
>> datos, autentificacion, garantia de que los datos no se han modificado en
>> transito y un largo etc) ? y no solo eso, luego en el otro extremo, te
>> puedes encontrar (te puedes no, te encontraras seguro) con muchisimos
>> problemas para redirigir protocolos que utilizan conexiones secundarias y
>> rangos de puertos dinamicos. mas aun podras publicar un determinado
>> servicio, pero.. y si tienes que publicar varios servicios que utilizan
>> el
>> mismo protocolo ? como lo vas a realizar si unicamente dispones de una
>> direccion IP publica ?
>> Tenemos los medios para realizar esto, no hay que intentar reinventar la
>> rueda ;-) y se denomina red privada virtual.
>> Mirate el manuel del router, seguro que permite establecer conexiones VPN
>> con PPTP y de esta forma puedes establecer una VPN entre el router y el
>> ISA.
>> Depende de ti, cada router es distinto y hay que tirar de manual. Google
>> tambien te pueda sacar del apuro y si buscas un poco, quizas hasta
>> encuentras detalles de como realizar la VPN entre tu modelo de router y
>> un
>> servidor RRAS Windows.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "mosquito_hippy" escribió en el
>> mensaje news:
>> > Entonces no puedo tener dos redes privadas capa 3 en un mismo dominio?
>> >
>> > "Ivan [MS MVP]" wrote:
>> >
>> >> Necesitas usar una conexion VPN, bien de clientes o bien entre
>> >> enrutadores:
>> >> router-ISA. Lo que quieres hacer no es posible, no puedes poner un
>> >> interface
>> >> con direcciones RFC 1918 y enrutarlas. Aun siendo publicas tampoco
>> >> podrias
>> >> porque los clientes internos utilizan direcciones no validas en
>> >> internet
>> >> y
>> >> tendrias que realizar NAT.
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "mosquito_hippy" escribió en
>> >> el
>> >> mensaje news:
>> >> > La VPN la levante entre el Servidor y los Clientes, use la
>> >> > configuracion
>> >> > por
>> >> > defecto que me dio el wizard de ISA Server.
>> >> >
>> >> > Pero se me antoja resolver esto enrutando el trafico en vez de usar
>> >> > VPN,
>> >> > me
>> >> > inspira mas confianza y estoy convencido que se puede.
>> >> >
>> >> > Mi teoria es que dado que la interfaz de cara a internet de mi ISA
>> >> > Server
>> >> > tiene una direccion publica este nunca va permitir que el trafico
>> >> > entre
>> >> > por
>> >> > esa interfaz dado que no es reflexivo a no ser que publique el
>> >> > servidor
>> >> > como
>> >> > he leido pero que tampoco me interesa salvo que sea inevitable.
>> >> >
>> >> > La solucion que se me ocurre es agregar una interfaz ethernet
>> >> > adicional
>> >> > a
>> >> > el
>> >> > router y una tarjeta de red adicional al servidor y configurar esta
>> >> > conexion
>> >> > con direcciones privadas, agregar las direcciones de red de la red
>> >> > remota
>> >> > a
>> >> > la lat, crear una ruta estatica en el RRAS para que los paquetes
>> >> > dirigidos
>> >> > a
>> >> > esa red encuentren su camino por el router y encaminar todo el
>> >> > trafico
>> >> > de
>> >> > la
>> >> > red remota a traves de esa nueva tarjeta de red.
>> >> >
>> >> > Cualquier sugerencia seria bienvenida.
>> >> >
>> >> > "Ivan [MS MVP]" wrote:
>> >> >
>> >> >> Tienes ya implementada la VPN ? como la has creado ? entre el
>> >> >> router y
>> >> >> el
>> >> >> ISA o estableces conexiones desde los clientes ?
>> >> >>
>> >> >> Un saludo.
>> >> >> Ivan
>> >> >> MS MVP ISA Server
>> >> >>
>> >> >>
>> >> >> "mosquito_hippy" escribió
>> >> >> en
>> >> >> el
>> >> >> mensaje news:
>> >> >> > Tengo esta pregunta que es, a mi parecer, algo compleja:
>> >> >> >
>> >> >> > Bien tengo una red local detras de un ISA Server, este ISA Server
>> >> >> > accede a
>> >> >> > internet y a un Frame Relay a traves de una tarjeta de red que
>> >> >> > esta
>> >> >> > conectada
>> >> >> > a un Router Cisco, la red local accede a el ISA Server a traves
>> >> >> > de
>> >> >> > otra
>> >> >> > tarjeta de red, obteniendo asi la red local acceso a internet.
>> >> >> >
>> >> >> > En el otro extremo de la Frame Relay tengo otro router Cisco al
>> >> >> > cual
>> >> >> > se
>> >> >> > conecta una Red local Peer-to-Peer Windows XP Profecional. Este
>> >> >> > router
>> >> >> > Cisco
>> >> >> > hace NAT/PAT de manera que los equipos conectados a esta red
>> >> >> > accesan
>> >> >> > a
>> >> >> > internet a traves de el otro router anteriormente mencionado.
>> >> >> >
>> >> >> > He revisado las rutas en ambos Routers y estan bien, de hecho
>> >> >> > puedo
>> >> >> > hacer
>> >> >> > ping a las estaciones de la red remota desde los PC's de mi red
>> >> >> > local
>> >> >> > que
>> >> >> > se
>> >> >> > encuentran detras de el ISA Server. Aun mas puedo utilizar el
>> >> >> > Escritorio
>> >> >> > Remoto para accesar un equipo de esa red desde un equipo que esta
>> >> >> > detras
>> >> >> > de
>> >> >> > la red ISA Server.
>> >> >> >
>> >> >> > Quisiera que esta integrar ambas redes como si fueran una y asi
>> >> >> > poder
>> >> >> > compartir recursos.
>> >> >> >
>> >> >> > Se que debo agregar la red remota a la LAT de mi ISA Server y
>> >> >> > dado
>> >> >> > que
>> >> >> > la
>> >> >> > red remota va a entrar por la tarjeta de red externa debo
>> >> >> > arrancar
>> >> >> > el
>> >> >> > RRAS,
>> >> >> > pero una vez ahi, no se que mas hacer.
>> >> >> >
>> >> >> > Alguna idea?
>> >> >> >
>> >> >> >
>> >> >> > Gracias por adelantado.
>> >> >>
>> >> >>
>> >> >>
>> >>
>> >>
>> >>
>>
>>
>>



Respuesta Responder a este mensaje
#13 Ivan [MS MVP]
22/11/2004 - 17:14 | Informe spam
Que modelo de router ? miralo bien porque seguro que PPTP si lo soporta y
si no quizas actualizando el firmware.

Un saludo.
Ivan
MS MVP ISA Server


"mosquito_hippy" escribió en el
mensaje news:
Eso es lo que tengo, con el Router y Router 1 conectados via Frame Relay.

Bueno, seguire tu consejo, pero debere implementar la VPN desde clientes
dado que mi router remoto es un poco viejo y no creo que me de la opcion
de
hacer VPN, pero debo leer mas al respecto.

Gracias de cualquier forma

"Ivan [MS MVP]" wrote:

Tienes esto ?

Internet
|
|
Router<->Router1<->sede remota
|
|
ISA
|
Red interna

Si es esto lo que tienes, mi consejo continua siendo que utilices una
conexion VPN, ahora. la decision es tuya
Si configuras un segundo interface en el ISA deberia ser un interface
dentro
de la LAT y aqui estarias abriendo una brecha de seguridad
importantisima...
por el mismo cable fisico hay trafico interno y trafico de internet, el
ISA
queda puenteado.. En mi modesta opinion, es una implementacion
bastante
mala.
Si lo configuras como un interface externo, esto asi de primeras en el
ISA
no funciona, es necesario deshabilitar IP spoofing y luego crear reglas
de
publicacion, otra opcion que tampoco me parece nada buena, maxime cuando
con
una VPN tienes todo con verdaderas garantias de seguridad.

Un saludo.
Ivan
MS MVP ISA Server


"mosquito_hippy" escribió en el
mensaje news:
> No es el Router remoto el que hace NAT/PAT, es el router local.
>
> Este router enruta el trafico proveniente de el router destinado a
> internet.
>
> ( internet )
> |direccion privada 1.1
> |
> |
> (router local)-Frame Relay-(router
> remoto)
> dir.pub. 1.1| direccion privada 1.2 direccion privada 1.3 |
> |
> |
> |
> |
> |dir. publica 1.2
> |
> (ISA Server)
>
> |dir privada 2.1
> red remota (peertopeer)
> |
> |dir privada 2.2
>
> red local
>
> En realidad mis redes accesan internet a traves de el Frame Relay pero
> tengo
> asignadas varias direcciones publicas y ISP canaliza el trafico.
>
> Pero como vez, hay un cable (virtual) entre las dos redes.
>
> Ahora bien, el router local tiene solo dos interfaces, una serial y una
> ethernet.
>
> Igualmente el router remoto.
>
> El router local tiene configurado dos sub-interfaces en la interfaz
> serial
> una con una direccion privada clase A que da cara a el Frame Relay
> externo
> y
> una direccion privada clase C de cara al router remoto.
>
> La interfaz ethernet de el router local esta configurado con una
> direccion
> publica internet que se conecta a la tarjeta de red externa de el ISA
> Server.
>
> Como te dije, he comprovado la conectividad de capa de red y capa de
> aplicacion desde mi red local hasta la red remota.
>
> El problema es que cuando la compruebo en sentido opuesto no pasa la
> prueba
> de capa de red de el router remoto.
>
> Ahora bien, mi teoria es que el trafico de regreso a mi red local no
> entra
> por que no es reflexivo y esta pasando por direcciones IP publicas, por
> eso
> pienso que al agregar una interfaz ethernet adicional a mi router y una
> tarjeta de red adicional a mi servidor y asignando a estas direcciones
> privadas clase c podria solucionar el problema.
>
> Podria tambien agregar a la interfaz actual una segunda direccion IP
> asi
> como a la tarjeta de red de el servidor de cara a internet y asi podria
> tambien resolverlo, pero no estoy seguro.
>
> Alguna idea?
>
> "Ivan [MS MVP]" wrote:
>
>> La verdad es que no se a que te refieres, pero... basico del TCP/IP:
>> las
>> direcciones RFC 1918 no son enrutables en internet, no son validas.
>> Piensalo un poco... tienes dos IPs publicas y detras clientes con
>> direcciones RFC 1918, como vas a enrutar esto ? es imposible,
>> necesiats
>> realizar NAT. Ahora dices, vale, uso NAT y... vas a permitir que todo
>> el
>> trafico se transmita por internet sin ningun tipo de proteccion
>> (cifrado
>> de
>> datos, autentificacion, garantia de que los datos no se han modificado
>> en
>> transito y un largo etc) ? y no solo eso, luego en el otro extremo, te
>> puedes encontrar (te puedes no, te encontraras seguro) con muchisimos
>> problemas para redirigir protocolos que utilizan conexiones
>> secundarias y
>> rangos de puertos dinamicos. mas aun podras publicar un
>> determinado
>> servicio, pero.. y si tienes que publicar varios servicios que
>> utilizan
>> el
>> mismo protocolo ? como lo vas a realizar si unicamente dispones de una
>> direccion IP publica ?
>> Tenemos los medios para realizar esto, no hay que intentar reinventar
>> la
>> rueda ;-) y se denomina red privada virtual.
>> Mirate el manuel del router, seguro que permite establecer conexiones
>> VPN
>> con PPTP y de esta forma puedes establecer una VPN entre el router y
>> el
>> ISA.
>> Depende de ti, cada router es distinto y hay que tirar de manual.
>> Google
>> tambien te pueda sacar del apuro y si buscas un poco, quizas hasta
>> encuentras detalles de como realizar la VPN entre tu modelo de router
>> y
>> un
>> servidor RRAS Windows.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "mosquito_hippy" escribió en
>> el
>> mensaje news:
>> > Entonces no puedo tener dos redes privadas capa 3 en un mismo
>> > dominio?
>> >
>> > "Ivan [MS MVP]" wrote:
>> >
>> >> Necesitas usar una conexion VPN, bien de clientes o bien entre
>> >> enrutadores:
>> >> router-ISA. Lo que quieres hacer no es posible, no puedes poner un
>> >> interface
>> >> con direcciones RFC 1918 y enrutarlas. Aun siendo publicas tampoco
>> >> podrias
>> >> porque los clientes internos utilizan direcciones no validas en
>> >> internet
>> >> y
>> >> tendrias que realizar NAT.
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "mosquito_hippy" escribió
>> >> en
>> >> el
>> >> mensaje news:
>> >> > La VPN la levante entre el Servidor y los Clientes, use la
>> >> > configuracion
>> >> > por
>> >> > defecto que me dio el wizard de ISA Server.
>> >> >
>> >> > Pero se me antoja resolver esto enrutando el trafico en vez de
>> >> > usar
>> >> > VPN,
>> >> > me
>> >> > inspira mas confianza y estoy convencido que se puede.
>> >> >
>> >> > Mi teoria es que dado que la interfaz de cara a internet de mi
>> >> > ISA
>> >> > Server
>> >> > tiene una direccion publica este nunca va permitir que el trafico
>> >> > entre
>> >> > por
>> >> > esa interfaz dado que no es reflexivo a no ser que publique el
>> >> > servidor
>> >> > como
>> >> > he leido pero que tampoco me interesa salvo que sea inevitable.
>> >> >
>> >> > La solucion que se me ocurre es agregar una interfaz ethernet
>> >> > adicional
>> >> > a
>> >> > el
>> >> > router y una tarjeta de red adicional al servidor y configurar
>> >> > esta
>> >> > conexion
>> >> > con direcciones privadas, agregar las direcciones de red de la
>> >> > red
>> >> > remota
>> >> > a
>> >> > la lat, crear una ruta estatica en el RRAS para que los paquetes
>> >> > dirigidos
>> >> > a
>> >> > esa red encuentren su camino por el router y encaminar todo el
>> >> > trafico
>> >> > de
>> >> > la
>> >> > red remota a traves de esa nueva tarjeta de red.
>> >> >
>> >> > Cualquier sugerencia seria bienvenida.
>> >> >
>> >> > "Ivan [MS MVP]" wrote:
>> >> >
>> >> >> Tienes ya implementada la VPN ? como la has creado ? entre el
>> >> >> router y
>> >> >> el
>> >> >> ISA o estableces conexiones desde los clientes ?
>> >> >>
>> >> >> Un saludo.
>> >> >> Ivan
>> >> >> MS MVP ISA Server
>> >> >>
>> >> >>
>> >> >> "mosquito_hippy"
>> >> >> escribió
>> >> >> en
>> >> >> el
>> >> >> mensaje
>> >> >> news:
>> >> >> > Tengo esta pregunta que es, a mi parecer, algo compleja:
>> >> >> >
>> >> >> > Bien tengo una red local detras de un ISA Server, este ISA
>> >> >> > Server
>> >> >> > accede a
>> >> >> > internet y a un Frame Relay a traves de una tarjeta de red que
>> >> >> > esta
>> >> >> > conectada
>> >> >> > a un Router Cisco, la red local accede a el ISA Server a
>> >> >> > traves
>> >> >> > de
>> >> >> > otra
>> >> >> > tarjeta de red, obteniendo asi la red local acceso a internet.
>> >> >> >
>> >> >> > En el otro extremo de la Frame Relay tengo otro router Cisco
>> >> >> > al
>> >> >> > cual
>> >> >> > se
>> >> >> > conecta una Red local Peer-to-Peer Windows XP Profecional.
>> >> >> > Este
>> >> >> > router
>> >> >> > Cisco
>> >> >> > hace NAT/PAT de manera que los equipos conectados a esta red
>> >> >> > accesan
>> >> >> > a
>> >> >> > internet a traves de el otro router anteriormente mencionado.
>> >> >> >
>> >> >> > He revisado las rutas en ambos Routers y estan bien, de hecho
>> >> >> > puedo
>> >> >> > hacer
>> >> >> > ping a las estaciones de la red remota desde los PC's de mi
>> >> >> > red
>> >> >> > local
>> >> >> > que
>> >> >> > se
>> >> >> > encuentran detras de el ISA Server. Aun mas puedo utilizar el
>> >> >> > Escritorio
>> >> >> > Remoto para accesar un equipo de esa red desde un equipo que
>> >> >> > esta
>> >> >> > detras
>> >> >> > de
>> >> >> > la red ISA Server.
>> >> >> >
>> >> >> > Quisiera que esta integrar ambas redes como si fueran una y
>> >> >> > asi
>> >> >> > poder
>> >> >> > compartir recursos.
>> >> >> >
>> >> >> > Se que debo agregar la red remota a la LAT de mi ISA Server y
>> >> >> > dado
>> >> >> > que
>> >> >> > la
>> >> >> > red remota va a entrar por la tarjeta de red externa debo
>> >> >> > arrancar
>> >> >> > el
>> >> >> > RRAS,
>> >> >> > pero una vez ahi, no se que mas hacer.
>> >> >> >
>> >> >> > Alguna idea?
>> >> >> >
>> >> >> >
>> >> >> > Gracias por adelantado.
>> >> >>
>> >> >>
>> >> >>
>> >>
>> >>
>> >>
>>
>>
>>



Respuesta Responder a este mensaje
#14 mosquito_hippy
22/11/2004 - 19:23 | Informe spam
Es un Cisco de la serie 1600, el sistema operativo es 11 algo. Lo que pasa
es que es temporal, supuestamente deberiamos tener un 805 pero el que os
vendieron perdia paquetes asi que nos dieron este provicionalmente, la
provicionalidad se ha alargado mucho, pero seguimos esperando. Mientras
tanto, seguire con la VPN a nivel de Clientes.

"Ivan [MS MVP]" wrote:

Que modelo de router ? miralo bien porque seguro que PPTP si lo soporta y
si no quizas actualizando el firmware.

Un saludo.
Ivan
MS MVP ISA Server


"mosquito_hippy" escribió en el
mensaje news:
> Eso es lo que tengo, con el Router y Router 1 conectados via Frame Relay.
>
> Bueno, seguire tu consejo, pero debere implementar la VPN desde clientes
> dado que mi router remoto es un poco viejo y no creo que me de la opcion
> de
> hacer VPN, pero debo leer mas al respecto.
>
> Gracias de cualquier forma
>
> "Ivan [MS MVP]" wrote:
>
>> Tienes esto ?
>>
>> Internet
>> |
>> |
>> Router<->Router1<->sede remota
>> |
>> |
>> ISA
>> |
>> Red interna
>>
>> Si es esto lo que tienes, mi consejo continua siendo que utilices una
>> conexion VPN, ahora. la decision es tuya
>> Si configuras un segundo interface en el ISA deberia ser un interface
>> dentro
>> de la LAT y aqui estarias abriendo una brecha de seguridad
>> importantisima...
>> por el mismo cable fisico hay trafico interno y trafico de internet, el
>> ISA
>> queda puenteado.. En mi modesta opinion, es una implementacion
>> bastante
>> mala.
>> Si lo configuras como un interface externo, esto asi de primeras en el
>> ISA
>> no funciona, es necesario deshabilitar IP spoofing y luego crear reglas
>> de
>> publicacion, otra opcion que tampoco me parece nada buena, maxime cuando
>> con
>> una VPN tienes todo con verdaderas garantias de seguridad.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "mosquito_hippy" escribió en el
>> mensaje news:
>> > No es el Router remoto el que hace NAT/PAT, es el router local.
>> >
>> > Este router enruta el trafico proveniente de el router destinado a
>> > internet.
>> >
>> > ( internet )
>> > |direccion privada 1.1
>> > |
>> > |
>> > (router local)-Frame Relay-(router
>> > remoto)
>> > dir.pub. 1.1| direccion privada 1.2 direccion privada 1.3 |
>> > |
>> > |
>> > |
>> > |
>> > |dir. publica 1.2
>> > |
>> > (ISA Server)
>> >
>> > |dir privada 2.1
>> > red remota (peertopeer)
>> > |
>> > |dir privada 2.2
>> >
>> > red local
>> >
>> > En realidad mis redes accesan internet a traves de el Frame Relay pero
>> > tengo
>> > asignadas varias direcciones publicas y ISP canaliza el trafico.
>> >
>> > Pero como vez, hay un cable (virtual) entre las dos redes.
>> >
>> > Ahora bien, el router local tiene solo dos interfaces, una serial y una
>> > ethernet.
>> >
>> > Igualmente el router remoto.
>> >
>> > El router local tiene configurado dos sub-interfaces en la interfaz
>> > serial
>> > una con una direccion privada clase A que da cara a el Frame Relay
>> > externo
>> > y
>> > una direccion privada clase C de cara al router remoto.
>> >
>> > La interfaz ethernet de el router local esta configurado con una
>> > direccion
>> > publica internet que se conecta a la tarjeta de red externa de el ISA
>> > Server.
>> >
>> > Como te dije, he comprovado la conectividad de capa de red y capa de
>> > aplicacion desde mi red local hasta la red remota.
>> >
>> > El problema es que cuando la compruebo en sentido opuesto no pasa la
>> > prueba
>> > de capa de red de el router remoto.
>> >
>> > Ahora bien, mi teoria es que el trafico de regreso a mi red local no
>> > entra
>> > por que no es reflexivo y esta pasando por direcciones IP publicas, por
>> > eso
>> > pienso que al agregar una interfaz ethernet adicional a mi router y una
>> > tarjeta de red adicional a mi servidor y asignando a estas direcciones
>> > privadas clase c podria solucionar el problema.
>> >
>> > Podria tambien agregar a la interfaz actual una segunda direccion IP
>> > asi
>> > como a la tarjeta de red de el servidor de cara a internet y asi podria
>> > tambien resolverlo, pero no estoy seguro.
>> >
>> > Alguna idea?
>> >
>> > "Ivan [MS MVP]" wrote:
>> >
>> >> La verdad es que no se a que te refieres, pero... basico del TCP/IP:
>> >> las
>> >> direcciones RFC 1918 no son enrutables en internet, no son validas.
>> >> Piensalo un poco... tienes dos IPs publicas y detras clientes con
>> >> direcciones RFC 1918, como vas a enrutar esto ? es imposible,
>> >> necesiats
>> >> realizar NAT. Ahora dices, vale, uso NAT y... vas a permitir que todo
>> >> el
>> >> trafico se transmita por internet sin ningun tipo de proteccion
>> >> (cifrado
>> >> de
>> >> datos, autentificacion, garantia de que los datos no se han modificado
>> >> en
>> >> transito y un largo etc) ? y no solo eso, luego en el otro extremo, te
>> >> puedes encontrar (te puedes no, te encontraras seguro) con muchisimos
>> >> problemas para redirigir protocolos que utilizan conexiones
>> >> secundarias y
>> >> rangos de puertos dinamicos. mas aun podras publicar un
>> >> determinado
>> >> servicio, pero.. y si tienes que publicar varios servicios que
>> >> utilizan
>> >> el
>> >> mismo protocolo ? como lo vas a realizar si unicamente dispones de una
>> >> direccion IP publica ?
>> >> Tenemos los medios para realizar esto, no hay que intentar reinventar
>> >> la
>> >> rueda ;-) y se denomina red privada virtual.
>> >> Mirate el manuel del router, seguro que permite establecer conexiones
>> >> VPN
>> >> con PPTP y de esta forma puedes establecer una VPN entre el router y
>> >> el
>> >> ISA.
>> >> Depende de ti, cada router es distinto y hay que tirar de manual.
>> >> Google
>> >> tambien te pueda sacar del apuro y si buscas un poco, quizas hasta
>> >> encuentras detalles de como realizar la VPN entre tu modelo de router
>> >> y
>> >> un
>> >> servidor RRAS Windows.
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "mosquito_hippy" escribió en
>> >> el
>> >> mensaje news:
>> >> > Entonces no puedo tener dos redes privadas capa 3 en un mismo
>> >> > dominio?
>> >> >
>> >> > "Ivan [MS MVP]" wrote:
>> >> >
>> >> >> Necesitas usar una conexion VPN, bien de clientes o bien entre
>> >> >> enrutadores:
>> >> >> router-ISA. Lo que quieres hacer no es posible, no puedes poner un
>> >> >> interface
>> >> >> con direcciones RFC 1918 y enrutarlas. Aun siendo publicas tampoco
>> >> >> podrias
>> >> >> porque los clientes internos utilizan direcciones no validas en
>> >> >> internet
>> >> >> y
>> >> >> tendrias que realizar NAT.
>> >> >>
>> >> >> Un saludo.
>> >> >> Ivan
>> >> >> MS MVP ISA Server
>> >> >>
>> >> >>
>> >> >> "mosquito_hippy" escribió
>> >> >> en
>> >> >> el
>> >> >> mensaje news:
>> >> >> > La VPN la levante entre el Servidor y los Clientes, use la
>> >> >> > configuracion
>> >> >> > por
>> >> >> > defecto que me dio el wizard de ISA Server.
>> >> >> >
>> >> >> > Pero se me antoja resolver esto enrutando el trafico en vez de
>> >> >> > usar
>> >> >> > VPN,
>> >> >> > me
>> >> >> > inspira mas confianza y estoy convencido que se puede.
>> >> >> >
>> >> >> > Mi teoria es que dado que la interfaz de cara a internet de mi
>> >> >> > ISA
>> >> >> > Server
>> >> >> > tiene una direccion publica este nunca va permitir que el trafico
>> >> >> > entre
>> >> >> > por
>> >> >> > esa interfaz dado que no es reflexivo a no ser que publique el
>> >> >> > servidor
>> >> >> > como
>> >> >> > he leido pero que tampoco me interesa salvo que sea inevitable.
>> >> >> >
>> >> >> > La solucion que se me ocurre es agregar una interfaz ethernet
>> >> >> > adicional
>> >> >> > a
>> >> >> > el
>> >> >> > router y una tarjeta de red adicional al servidor y configurar
>> >> >> > esta
>> >> >> > conexion
>> >> >> > con direcciones privadas, agregar las direcciones de red de la
>> >> >> > red
>> >> >> > remota
>> >> >> > a
>> >> >> > la lat, crear una ruta estatica en el RRAS para que los paquetes
>> >> >> > dirigidos
>> >> >> > a
>> >> >> > esa red encuentren su camino por el router y encaminar todo el
>> >> >> > trafico
>> >> >> > de
>> >> >> > la
>> >> >> > red remota a traves de esa nueva tarjeta de red.
>> >> >> >
>> >> >> > Cualquier sugerencia seria bienvenida.
>> >> >> >
>> >> >> > "Ivan [MS MVP]" wrote:
>> >> >> >
>> >> >> >> Tienes ya implementada la VPN ? como la has creado ? entre el
>> >> >> >> router y
>> >> >> >> el
>> >> >> >> ISA o estableces conexiones desde los clientes ?
>> >> >> >>
>> >> >> >> Un saludo.
>> >> >> >> Ivan
>> >> >> >> MS MVP ISA Server
>> >> >> >>
>> >> >> >>
>> >> >> >> "mosquito_hippy"
>> >> >> >> escribió
>> >> >> >> en
>> >> >> >> el
>> >> >> >> mensaje
>> >> >> >> news:
>> >> >> >> > Tengo esta pregunta que es, a mi parecer, algo compleja:
>> >> >> >> >
>> >> >> >> > Bien tengo una red local detras de un ISA Server, este ISA
>> >> >> >> > Server
>> >> >> >> > accede a
>> >> >> >> > internet y a un Frame Relay a traves de una tarjeta de red que
>> >> >> >> > esta
>> >> >> >> > conectada
>> >> >> >> > a un Router Cisco, la red local accede a el ISA Server a
>> >> >> >> > traves
>> >> >> >> > de
>> >> >> >> > otra
>> >> >> >> > tarjeta de red, obteniendo asi la red local acceso a internet.
>> >> >> >> >
>> >> >> >> > En el otro extremo de la Frame Relay tengo otro router Cisco
>> >> >> >> > al
>> >> >> >> > cual
>> >> >> >> > se
>> >> >> >> > conecta una Red local Peer-to-Peer Windows XP Profecional.
>> >> >> >> > Este
>> >> >> >> > router
>> >> >> >> > Cisco
>> >> >> >> > hace NAT/PAT de manera que los equipos conectados a esta red
>> >> >> >> > accesan
>> >> >> >> > a
>> >> >> >> > internet a traves de el otro router anteriormente mencionado.
>> >> >> >> >
>> >> >> >> > He revisado las rutas en ambos Routers y estan bien, de hecho
>> >> >> >> > puedo
>> >> >> >> > hacer
>> >> >> >> > ping a las estaciones de la red remota desde los PC's de mi
>> >> >> >> > red
>> >> >> >> > local
>> >> >> >> > que
>> >> >> >> > se
>> >> >> >> > encuentran detras de el ISA Server. Aun mas puedo utilizar el
>> >> >> >> > Escritorio
>> >> >> >> > Remoto para accesar un equipo de esa red desde un equipo que
>> >> >> >> > esta
>> >> >> >> > detras
>> >> >> >> > de
>> >> >> >> > la red ISA Server.
>> >> >> >> >
>> >> >> >> > Quisiera que esta integrar ambas redes como si fueran una y
>> >> >> >> > asi
>> >> >> >> > poder
>> >> >> >> > compartir recursos.
>> >> >> >> >
>> >> >> >> > Se que debo agregar la red remota a la LAT de mi ISA Server y
>> >> >> >> > dado
>> >> >> >> > que
>> >> >> >> > la
>> >> >> >> > red remota va a entrar por la tarjeta de red externa debo
>> >> >> >> > arrancar
>> >> >> >> > el
>> >> >> >> > RRAS,
>> >> >> >> > pero una vez ahi, no se que mas hacer.
>> >> >> >> >
>> >> >> >> > Alguna idea?
>> >> >> >> >
>> >> >> >> >
>> >> >> >> > Gracias por adelantado.
>> >> >> >>
>> >> >> >>
>> >> >> >>
>> >> >>
>> >> >>
>> >> >>
>> >>
>> >>
>> >>
>>
>>
>>



Respuesta Responder a este mensaje
#15 Ivan [MS MVP]
23/11/2004 - 09:07 | Informe spam
Busca un poco de informacion en la web de Cisco, una simple busqueda en
google parece indicar que soporta PPTP a partir de la version 12, luego...
una actualizacion de firmware y tirar de manual.

Un saludo.
Ivan
MS MVP ISA Server


"mosquito_hippy" escribió en el
mensaje news:
Es un Cisco de la serie 1600, el sistema operativo es 11 algo. Lo que
pasa
es que es temporal, supuestamente deberiamos tener un 805 pero el que os
vendieron perdia paquetes asi que nos dieron este provicionalmente, la
provicionalidad se ha alargado mucho, pero seguimos esperando. Mientras
tanto, seguire con la VPN a nivel de Clientes.

"Ivan [MS MVP]" wrote:

Que modelo de router ? miralo bien porque seguro que PPTP si lo soporta
y
si no quizas actualizando el firmware.

Un saludo.
Ivan
MS MVP ISA Server


"mosquito_hippy" escribió en el
mensaje news:
> Eso es lo que tengo, con el Router y Router 1 conectados via Frame
> Relay.
>
> Bueno, seguire tu consejo, pero debere implementar la VPN desde
> clientes
> dado que mi router remoto es un poco viejo y no creo que me de la
> opcion
> de
> hacer VPN, pero debo leer mas al respecto.
>
> Gracias de cualquier forma
>
> "Ivan [MS MVP]" wrote:
>
>> Tienes esto ?
>>
>> Internet
>> |
>> |
>> Router<->Router1<->sede remota
>> |
>> |
>> ISA
>> |
>> Red interna
>>
>> Si es esto lo que tienes, mi consejo continua siendo que utilices una
>> conexion VPN, ahora. la decision es tuya
>> Si configuras un segundo interface en el ISA deberia ser un interface
>> dentro
>> de la LAT y aqui estarias abriendo una brecha de seguridad
>> importantisima...
>> por el mismo cable fisico hay trafico interno y trafico de internet,
>> el
>> ISA
>> queda puenteado.. En mi modesta opinion, es una implementacion
>> bastante
>> mala.
>> Si lo configuras como un interface externo, esto asi de primeras en el
>> ISA
>> no funciona, es necesario deshabilitar IP spoofing y luego crear
>> reglas
>> de
>> publicacion, otra opcion que tampoco me parece nada buena, maxime
>> cuando
>> con
>> una VPN tienes todo con verdaderas garantias de seguridad.
>>
>> Un saludo.
>> Ivan
>> MS MVP ISA Server
>>
>>
>> "mosquito_hippy" escribió en
>> el
>> mensaje news:
>> > No es el Router remoto el que hace NAT/PAT, es el router local.
>> >
>> > Este router enruta el trafico proveniente de el router destinado a
>> > internet.
>> >
>> > ( internet )
>> > |direccion privada 1.1
>> > |
>> > |
>> > (router local)-Frame
>> > Relay-(router
>> > remoto)
>> > dir.pub. 1.1| direccion privada 1.2 direccion privada
>> > 1.3 |
>> > |
>> > |
>> > |
>> > |
>> > |dir. publica 1.2
>> > |
>> > (ISA Server)
>> >
>> > |dir privada 2.1
>> > red remota (peertopeer)
>> > |
>> > |dir privada 2.2
>> >
>> > red local
>> >
>> > En realidad mis redes accesan internet a traves de el Frame Relay
>> > pero
>> > tengo
>> > asignadas varias direcciones publicas y ISP canaliza el trafico.
>> >
>> > Pero como vez, hay un cable (virtual) entre las dos redes.
>> >
>> > Ahora bien, el router local tiene solo dos interfaces, una serial y
>> > una
>> > ethernet.
>> >
>> > Igualmente el router remoto.
>> >
>> > El router local tiene configurado dos sub-interfaces en la interfaz
>> > serial
>> > una con una direccion privada clase A que da cara a el Frame Relay
>> > externo
>> > y
>> > una direccion privada clase C de cara al router remoto.
>> >
>> > La interfaz ethernet de el router local esta configurado con una
>> > direccion
>> > publica internet que se conecta a la tarjeta de red externa de el
>> > ISA
>> > Server.
>> >
>> > Como te dije, he comprovado la conectividad de capa de red y capa de
>> > aplicacion desde mi red local hasta la red remota.
>> >
>> > El problema es que cuando la compruebo en sentido opuesto no pasa la
>> > prueba
>> > de capa de red de el router remoto.
>> >
>> > Ahora bien, mi teoria es que el trafico de regreso a mi red local no
>> > entra
>> > por que no es reflexivo y esta pasando por direcciones IP publicas,
>> > por
>> > eso
>> > pienso que al agregar una interfaz ethernet adicional a mi router y
>> > una
>> > tarjeta de red adicional a mi servidor y asignando a estas
>> > direcciones
>> > privadas clase c podria solucionar el problema.
>> >
>> > Podria tambien agregar a la interfaz actual una segunda direccion IP
>> > asi
>> > como a la tarjeta de red de el servidor de cara a internet y asi
>> > podria
>> > tambien resolverlo, pero no estoy seguro.
>> >
>> > Alguna idea?
>> >
>> > "Ivan [MS MVP]" wrote:
>> >
>> >> La verdad es que no se a que te refieres, pero... basico del
>> >> TCP/IP:
>> >> las
>> >> direcciones RFC 1918 no son enrutables en internet, no son validas.
>> >> Piensalo un poco... tienes dos IPs publicas y detras clientes con
>> >> direcciones RFC 1918, como vas a enrutar esto ? es imposible,
>> >> necesiats
>> >> realizar NAT. Ahora dices, vale, uso NAT y... vas a permitir que
>> >> todo
>> >> el
>> >> trafico se transmita por internet sin ningun tipo de proteccion
>> >> (cifrado
>> >> de
>> >> datos, autentificacion, garantia de que los datos no se han
>> >> modificado
>> >> en
>> >> transito y un largo etc) ? y no solo eso, luego en el otro extremo,
>> >> te
>> >> puedes encontrar (te puedes no, te encontraras seguro) con
>> >> muchisimos
>> >> problemas para redirigir protocolos que utilizan conexiones
>> >> secundarias y
>> >> rangos de puertos dinamicos. mas aun podras publicar un
>> >> determinado
>> >> servicio, pero.. y si tienes que publicar varios servicios que
>> >> utilizan
>> >> el
>> >> mismo protocolo ? como lo vas a realizar si unicamente dispones de
>> >> una
>> >> direccion IP publica ?
>> >> Tenemos los medios para realizar esto, no hay que intentar
>> >> reinventar
>> >> la
>> >> rueda ;-) y se denomina red privada virtual.
>> >> Mirate el manuel del router, seguro que permite establecer
>> >> conexiones
>> >> VPN
>> >> con PPTP y de esta forma puedes establecer una VPN entre el router
>> >> y
>> >> el
>> >> ISA.
>> >> Depende de ti, cada router es distinto y hay que tirar de manual.
>> >> Google
>> >> tambien te pueda sacar del apuro y si buscas un poco, quizas hasta
>> >> encuentras detalles de como realizar la VPN entre tu modelo de
>> >> router
>> >> y
>> >> un
>> >> servidor RRAS Windows.
>> >>
>> >> Un saludo.
>> >> Ivan
>> >> MS MVP ISA Server
>> >>
>> >>
>> >> "mosquito_hippy" escribió
>> >> en
>> >> el
>> >> mensaje news:
>> >> > Entonces no puedo tener dos redes privadas capa 3 en un mismo
>> >> > dominio?
>> >> >
>> >> > "Ivan [MS MVP]" wrote:
>> >> >
>> >> >> Necesitas usar una conexion VPN, bien de clientes o bien entre
>> >> >> enrutadores:
>> >> >> router-ISA. Lo que quieres hacer no es posible, no puedes poner
>> >> >> un
>> >> >> interface
>> >> >> con direcciones RFC 1918 y enrutarlas. Aun siendo publicas
>> >> >> tampoco
>> >> >> podrias
>> >> >> porque los clientes internos utilizan direcciones no validas en
>> >> >> internet
>> >> >> y
>> >> >> tendrias que realizar NAT.
>> >> >>
>> >> >> Un saludo.
>> >> >> Ivan
>> >> >> MS MVP ISA Server
>> >> >>
>> >> >>
>> >> >> "mosquito_hippy"
>> >> >> escribió
>> >> >> en
>> >> >> el
>> >> >> mensaje
>> >> >> news:
>> >> >> > La VPN la levante entre el Servidor y los Clientes, use la
>> >> >> > configuracion
>> >> >> > por
>> >> >> > defecto que me dio el wizard de ISA Server.
>> >> >> >
>> >> >> > Pero se me antoja resolver esto enrutando el trafico en vez de
>> >> >> > usar
>> >> >> > VPN,
>> >> >> > me
>> >> >> > inspira mas confianza y estoy convencido que se puede.
>> >> >> >
>> >> >> > Mi teoria es que dado que la interfaz de cara a internet de mi
>> >> >> > ISA
>> >> >> > Server
>> >> >> > tiene una direccion publica este nunca va permitir que el
>> >> >> > trafico
>> >> >> > entre
>> >> >> > por
>> >> >> > esa interfaz dado que no es reflexivo a no ser que publique el
>> >> >> > servidor
>> >> >> > como
>> >> >> > he leido pero que tampoco me interesa salvo que sea
>> >> >> > inevitable.
>> >> >> >
>> >> >> > La solucion que se me ocurre es agregar una interfaz ethernet
>> >> >> > adicional
>> >> >> > a
>> >> >> > el
>> >> >> > router y una tarjeta de red adicional al servidor y configurar
>> >> >> > esta
>> >> >> > conexion
>> >> >> > con direcciones privadas, agregar las direcciones de red de la
>> >> >> > red
>> >> >> > remota
>> >> >> > a
>> >> >> > la lat, crear una ruta estatica en el RRAS para que los
>> >> >> > paquetes
>> >> >> > dirigidos
>> >> >> > a
>> >> >> > esa red encuentren su camino por el router y encaminar todo el
>> >> >> > trafico
>> >> >> > de
>> >> >> > la
>> >> >> > red remota a traves de esa nueva tarjeta de red.
>> >> >> >
>> >> >> > Cualquier sugerencia seria bienvenida.
>> >> >> >
>> >> >> > "Ivan [MS MVP]" wrote:
>> >> >> >
>> >> >> >> Tienes ya implementada la VPN ? como la has creado ? entre el
>> >> >> >> router y
>> >> >> >> el
>> >> >> >> ISA o estableces conexiones desde los clientes ?
>> >> >> >>
>> >> >> >> Un saludo.
>> >> >> >> Ivan
>> >> >> >> MS MVP ISA Server
>> >> >> >>
>> >> >> >>
>> >> >> >> "mosquito_hippy"
>> >> >> >> escribió
>> >> >> >> en
>> >> >> >> el
>> >> >> >> mensaje
>> >> >> >> news:
>> >> >> >> > Tengo esta pregunta que es, a mi parecer, algo compleja:
>> >> >> >> >
>> >> >> >> > Bien tengo una red local detras de un ISA Server, este ISA
>> >> >> >> > Server
>> >> >> >> > accede a
>> >> >> >> > internet y a un Frame Relay a traves de una tarjeta de red
>> >> >> >> > que
>> >> >> >> > esta
>> >> >> >> > conectada
>> >> >> >> > a un Router Cisco, la red local accede a el ISA Server a
>> >> >> >> > traves
>> >> >> >> > de
>> >> >> >> > otra
>> >> >> >> > tarjeta de red, obteniendo asi la red local acceso a
>> >> >> >> > internet.
>> >> >> >> >
>> >> >> >> > En el otro extremo de la Frame Relay tengo otro router
>> >> >> >> > Cisco
>> >> >> >> > al
>> >> >> >> > cual
>> >> >> >> > se
>> >> >> >> > conecta una Red local Peer-to-Peer Windows XP Profecional.
>> >> >> >> > Este
>> >> >> >> > router
>> >> >> >> > Cisco
>> >> >> >> > hace NAT/PAT de manera que los equipos conectados a esta
>> >> >> >> > red
>> >> >> >> > accesan
>> >> >> >> > a
>> >> >> >> > internet a traves de el otro router anteriormente
>> >> >> >> > mencionado.
>> >> >> >> >
>> >> >> >> > He revisado las rutas en ambos Routers y estan bien, de
>> >> >> >> > hecho
>> >> >> >> > puedo
>> >> >> >> > hacer
>> >> >> >> > ping a las estaciones de la red remota desde los PC's de mi
>> >> >> >> > red
>> >> >> >> > local
>> >> >> >> > que
>> >> >> >> > se
>> >> >> >> > encuentran detras de el ISA Server. Aun mas puedo utilizar
>> >> >> >> > el
>> >> >> >> > Escritorio
>> >> >> >> > Remoto para accesar un equipo de esa red desde un equipo
>> >> >> >> > que
>> >> >> >> > esta
>> >> >> >> > detras
>> >> >> >> > de
>> >> >> >> > la red ISA Server.
>> >> >> >> >
>> >> >> >> > Quisiera que esta integrar ambas redes como si fueran una y
>> >> >> >> > asi
>> >> >> >> > poder
>> >> >> >> > compartir recursos.
>> >> >> >> >
>> >> >> >> > Se que debo agregar la red remota a la LAT de mi ISA Server
>> >> >> >> > y
>> >> >> >> > dado
>> >> >> >> > que
>> >> >> >> > la
>> >> >> >> > red remota va a entrar por la tarjeta de red externa debo
>> >> >> >> > arrancar
>> >> >> >> > el
>> >> >> >> > RRAS,
>> >> >> >> > pero una vez ahi, no se que mas hacer.
>> >> >> >> >
>> >> >> >> > Alguna idea?
>> >> >> >> >
>> >> >> >> >
>> >> >> >> > Gracias por adelantado.
>> >> >> >>
>> >> >> >>
>> >> >> >>
>> >> >>
>> >> >>
>> >> >>
>> >>
>> >>
>> >>
>>
>>
>>



Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida