Publicar VPN Server Interno

Vaya marrón. :(
Vamos que o paso a w2003 con isa 2004 o pongo dos servers independientes.

Si utilizas el propio servidor ISA como servidor VPN no tienes ningun
problema, ni con PPTP ni con L2TP/IPSec.
Si esto no es posible, y tu servidor VPN utiliza PPTP, necesitas ISA 2004.
Si utiizas L2TP/IPSec, la version de ISA es lo de menos, necesitas Windows
2003 en el servidor VPN.

Como de compatible es isa 2004? Es decir, si yo tengo una configuración
de isa 2000 puedo instalar isa 2004 encima en modo actualización y me
guarda las reglas / protocolos /usuarios que he creado?

Yo no actualizaria nunca, a no ser que no quede mas remedio. Prefiero
desinstalar e instalar desde cero y, si me apuras, prefiero partir de cero:
instalacion limpia del sistema operativo e ISA, un cortafuegos, bien se lo
merece
Tienes tres opciones:
1-Instalar directamente ISA 2004 sobre ISA 2000. Todos los elementos no se
actualizan porque ISA 2000 e ISA 2004 se parecen en el nombre.. En la
propia ayuda de ISA 2004, tienes detallado que elementos se migran, cuales
no y en el caso de algunos elementos, como se migran. Miralo porque es
bastante extenso y no tienen sentido ponerlo aqui, en la ayuda esta
perfectamente documentado.
2-Exportar la configuracion de ISA 2000, desisntalarlo, instalar ISA 2004 e
importar la configuracion. En el propio CD de ISA 2004 tienes la utilidad
que te permite exportar/importar la configuracion.
3-Documentar toda la configuracion de ISA 2000, desinstalarlo, instalar ISA
2004 y crear de nuevo toda la configuracion "a manivela". Personalmente,
prefiero este metodo porque permite repasar toda la configuracion y
ajustarla aun mejor, ya que ISA 2004 permite un control muy superior a ISA
2000 y, es posible que, reglas que utilizabas en ISA 2000 se puedan ajustar
mejor en ISA 2004.
Hombre, si estamos hablando de un servidor con cientos de reglas, quizas sea
mejor utilizar el segundo metodo o el primero y luego repasar la
configuracion. En esta caso me quedo con el segundo metodo y una isntalacion
"limpia".

Lo que si tengo claro es que a dia de hoy, si te decides por empezar a usar
ISA, no tiene ningun sentido usar ISA 2000 estando disponible ISA 2004, otro
tema son las licencias, hay no me meto.

Un saludo.
Ivan
MS MVP ISA Server

Sencillamnete no puedes hacer funcionar esa solucion.
1-L2TP/IPSec no va a funcionar porque IPSec no funciona a traves de
dispositivos NAT. Es necesario usar el estandar NAT-T y unicamente lo
soporta Windows 2003. Es indiferente la version de ISA que utilices,
necesitas que el servidor VPN se ejecuta sobre Windows 2003.
2-PPTP no va a funcionar porque ISA 2000 solo puede publicar protocolos
basados en TCP-UDP. PPTP utiliza GRE. Necesitas ISA 2004, el cual, si
permite publicar GRE.

Ten en cuenta ademas, que el uso de un determinado protocolo: PPTP o
L2TPIPsec, no se peude determinar en base a lo que tu infrastuctura te
pemrita usar, hay que ir mas alla. El uso de L2TP/IPSec, por ejemeplo,
supone el uso de una PKI con todo lo que ello implica, es mucho mas seguro
que PPTP, pero, mas complejo y costoso de administrar.

Un saludo.
Ivan
MS MVP ISA Server


""Mauricio Marín T."" escribió en el
mensaje news:uEWdz$

Ivan [MS MVP] wrote:

Vaya marrón. :(
Vamos que o paso a w2003 con isa 2004 o pongo dos servers independientes.

Si utilizas el propio servidor ISA como servidor VPN no tienes ningun
problema, ni con PPTP ni con L2TP/IPSec.
Si esto no es posible, y tu servidor VPN utiliza PPTP, necesitas ISA
2004. Si utiizas L2TP/IPSec, la version de ISA es lo de menos, necesitas
Windows 2003 en el servidor VPN.

Como de compatible es isa 2004? Es decir, si yo tengo una configuración
de isa 2000 puedo instalar isa 2004 encima en modo actualización y me
guarda las reglas / protocolos /usuarios que he creado?

Yo no actualizaria nunca, a no ser que no quede mas remedio. Prefiero
desinstalar e instalar desde cero y, si me apuras, prefiero partir de
cero: instalacion limpia del sistema operativo e ISA, un cortafuegos,
bien se lo merece
Tienes tres opciones:
1-Instalar directamente ISA 2004 sobre ISA 2000. Todos los elementos no
se actualizan porque ISA 2000 e ISA 2004 se parecen en el nombre.. En
la propia ayuda de ISA 2004, tienes detallado que elementos se migran,
cuales no y en el caso de algunos elementos, como se migran. Miralo
porque es bastante extenso y no tienen sentido ponerlo aqui, en la ayuda
esta perfectamente documentado.
2-Exportar la configuracion de ISA 2000, desisntalarlo, instalar ISA 2004
e importar la configuracion. En el propio CD de ISA 2004 tienes la
utilidad que te permite exportar/importar la configuracion.
3-Documentar toda la configuracion de ISA 2000, desinstalarlo, instalar
ISA 2004 y crear de nuevo toda la configuracion "a manivela".
Personalmente, prefiero este metodo porque permite repasar toda la
configuracion y ajustarla aun mejor, ya que ISA 2004 permite un control
muy superior a ISA 2000 y, es posible que, reglas que utilizabas en ISA
2000 se puedan ajustar mejor en ISA 2004.
Hombre, si estamos hablando de un servidor con cientos de reglas, quizas
sea mejor utilizar el segundo metodo o el primero y luego repasar la
configuracion. En esta caso me quedo con el segundo metodo y una
isntalacion "limpia".

Lo que si tengo claro es que a dia de hoy, si te decides por empezar a
usar ISA, no tiene ningun sentido usar ISA 2000 estando disponible ISA
2004, otro tema son las licencias, hay no me meto.

Un saludo.

Muchisimas gracias por sus explicaciones. ahoar mi pregunta, es super
simple. Que puertos tengo que Publicar en el ISA para un VPN Server Si mi
ISA Server es ISA 2000 y el server VPN es 2000 también ?



Saludos!

Ivan [MS MVP] wrote:

Vaya marrón. :(
Vamos que o paso a w2003 con isa 2004 o pongo dos servers independientes.

Si utilizas el propio servidor ISA como servidor VPN no tienes ningun
problema, ni con PPTP ni con L2TP/IPSec.
Si esto no es posible, y tu servidor VPN utiliza PPTP, necesitas ISA 2004.
Si utiizas L2TP/IPSec, la version de ISA es lo de menos, necesitas Windows
2003 en el servidor VPN.

Como de compatible es isa 2004? Es decir, si yo tengo una configuración
de isa 2000 puedo instalar isa 2004 encima en modo actualización y me
guarda las reglas / protocolos /usuarios que he creado?

Yo no actualizaria nunca, a no ser que no quede mas remedio. Prefiero
desinstalar e instalar desde cero y, si me apuras, prefiero partir de cero:
instalacion limpia del sistema operativo e ISA, un cortafuegos, bien se lo
merece
Tienes tres opciones:
1-Instalar directamente ISA 2004 sobre ISA 2000. Todos los elementos no se
actualizan porque ISA 2000 e ISA 2004 se parecen en el nombre.. En la
propia ayuda de ISA 2004, tienes detallado que elementos se migran, cuales
no y en el caso de algunos elementos, como se migran. Miralo porque es
bastante extenso y no tienen sentido ponerlo aqui, en la ayuda esta
perfectamente documentado.
2-Exportar la configuracion de ISA 2000, desisntalarlo, instalar ISA 2004 e
importar la configuracion. En el propio CD de ISA 2004 tienes la utilidad
que te permite exportar/importar la configuracion.
3-Documentar toda la configuracion de ISA 2000, desinstalarlo, instalar ISA
2004 y crear de nuevo toda la configuracion "a manivela". Personalmente,
prefiero este metodo porque permite repasar toda la configuracion y
ajustarla aun mejor, ya que ISA 2004 permite un control muy superior a ISA
2000 y, es posible que, reglas que utilizabas en ISA 2000 se puedan ajustar
mejor en ISA 2004.
Hombre, si estamos hablando de un servidor con cientos de reglas, quizas sea
mejor utilizar el segundo metodo o el primero y luego repasar la
configuracion. En esta caso me quedo con el segundo metodo y una isntalacion
"limpia".

Lo que si tengo claro es que a dia de hoy, si te decides por empezar a usar
ISA, no tiene ningun sentido usar ISA 2000 estando disponible ISA 2004, otro
tema son las licencias, hay no me meto.

Un saludo.

Muchisimas gracias por sus explicaciones. ahoar mi pregunta, es super
simple. Que puertos tengo que Publicar en el ISA para un VPN Server Si
mi ISA Server es ISA 2000 y el server VPN es 2000 también ?



Saludos!

Ivan [MS MVP] wrote:

Sencillamnete no puedes hacer funcionar esa solucion.
1-L2TP/IPSec no va a funcionar porque IPSec no funciona a traves de
dispositivos NAT. Es necesario usar el estandar NAT-T y unicamente lo
soporta Windows 2003. Es indiferente la version de ISA que utilices,
necesitas que el servidor VPN se ejecuta sobre Windows 2003.
2-PPTP no va a funcionar porque ISA 2000 solo puede publicar protocolos
basados en TCP-UDP. PPTP utiliza GRE. Necesitas ISA 2004, el cual, si
permite publicar GRE.

Ten en cuenta ademas, que el uso de un determinado protocolo: PPTP o
L2TPIPsec, no se peude determinar en base a lo que tu infrastuctura te
pemrita usar, hay que ir mas alla. El uso de L2TP/IPSec, por ejemeplo,
supone el uso de una PKI con todo lo que ello implica, es mucho mas seguro
que PPTP, pero, mas complejo y costoso de administrar.

Un saludo.

bien IVAN. Entiendo perfectamaente..

ahora. Podría solucionar esto si mi Servidor VPN es un 2003?. DE ser
así que puertos y de que protocolos debería publicar para hacer
funcionar mi Server VPN.

Ahora bien, si en el peor de los casos no funciona con ISA 2000 Debería
instalar Windows 2003 mas ISA Server 2004, pero vuelvo a tener el mismo
problema del por que baje a ISA 2000, que es cuando publico servidores
de una Subnets de mi RED el paquete no se devuelve por el ISA, ya que
la puerta de enlace del Server que publico lo lleva al Firewall que
actualmente esta funcionando en la empresa..

mira, con este link (que me diste tu) lo solucioné en windows 2000 mas
ISA 2000, pero como debería hacer esto mismo en ISA 2004 ?

http://support.microsoft.com/kb/311777/en-us




Saludos!
y muchas gracias!

bien IVAN. Entiendo perfectamaente..

ahora. Podría solucionar esto si mi Servidor VPN es un 2003?. DE ser así
que puertos y de que protocolos debería publicar para hacer funcionar mi
Server VPN.

Si utilizas ISA 2000, solo puedes usar L2TP/IPSec con NAT-T, y los
protocolos serian:
500 UDP
4500 UDP

En los clientes necesitas aplicar un update para soportar NAT-T y en el caso
de Windows XP SP2, habilitarlo mediante un valor en el rgistro.

Si necesitas utilizar PPTP, necesitas ISA 2004. Los protocolos serian:
1723 TCP
GRE
Realmente en ISA 2004, simplemente con utilizar el protocolo PPTP Server,
ISA se encarga de reenviar tanto GRE como 1723 TCP.

Ahora bien, si en el peor de los casos no funciona con ISA 2000 Debería
instalar Windows 2003 mas ISA Server 2004, pero vuelvo a tener el mismo
problema del por que baje a ISA 2000, que es cuando publico servidores de
una Subnets de mi RED el paquete no se devuelve por el ISA, ya que la
puerta de enlace del Server que publico lo lleva al Firewall que
actualmente esta funcionando en la empresa..

mira, con este link (que me diste tu) lo solucioné en windows 2000 mas ISA
2000, pero como debería hacer esto mismo en ISA 2004 ?

http://support.microsoft.com/kb/311777/en-us

No tienes ningun problema ya que ISA 2004 permite realizar esto por regla.


Un saludo.
Ivan
MS MVP ISA Server