Servidor IAS (Radius)

"Mario Barro" escribió en el mensaje
news:

Hola a todos;

A ver si me podéis echar un cable con la configuración siguiente:

Un equipo con tarjetas de red:

172.168.0.100 / 24 (Puerta de enlace un router ADSL --> 172.168.0.1
172.168.0.101 / 24 (Puerta de enlace otro router ADSL --> 172.168.0.2)

NO tengo activado el servicio de enrutamiento.

El caso es que tengo montado un Radius y sólo funcióna con primera

tarjeta

activada.
Lo que entiendo es que el servicio IAS atiende por las dos interfaces de
red y recibe la petición de autenticación, pero luego no enruta bien la
salida.

Mi pregunta es la siguiente:

Cómo puedo forzar para que sólo reciba y envíe por una sóla de las
interfaces de red.

Espera se entienda la cuestión.

He estado mirando los filtros IP del IAS pero parece que debe estar

activado

el servicio de enrutamiento y no es el caso (no es necesario).

Gracias
Saludos
Mario Barro.

Ivan
MS MVP ISA Server

Hola Mario,

"Mario Barro" escribió en el mensaje
news:

Hola a todos;

A ver si me podéis echar un cable con la configuración siguiente:

Un equipo con tarjetas de red:

172.168.0.100 / 24 (Puerta de enlace un router ADSL --> 172.168.0.1
172.168.0.101 / 24 (Puerta de enlace otro router ADSL --> 172.168.0.2)

Bueno, esta configuracion no tiene mucho sentido. Tienes que emplear rangos
distintos .
Otro pequeño matiz, es mejor usar en la red interna uno de estos rangos (RFC
1918):
10.0.0.0 - 10.255.255.255
172.16.0.0 -172.31.255.255
192.168.0.0 - 192.168.255.255

NO tengo activado el servicio de enrutamiento.

El caso es que tengo montado un Radius y sólo funcióna con primera

tarjeta

activada.
Lo que entiendo es que el servicio IAS atiende por las dos interfaces de
red y recibe la petición de autenticación, pero luego no enruta bien la
salida.

Estando en el mismo rango las tarjetas es bastante logico este
comportamiento. Otra cosa seria que por ejemplo la primera tarjeta estaria
en el rango 192.168.1.0 y la segunda en el rango 192.168.2.0, empleando la
mascara 255.255.255.0 en ambos rangos.

Mi pregunta es la siguiente:

Cómo puedo forzar para que sólo reciba y envíe por una sóla de las
interfaces de red.

Lo primero es usar rangos distintos y luego para evitar que IAS escuche
peticiones en ambos interfaces, desde la consola de IAS no se puede hacer,
ahora mismo no sabria decirte si hay algun documento que contemple esta
posibilidad. De todas formas, esto se controla facilmente ya que depende de
los NAS que permitas.

Espera se entienda la cuestión.

He estado mirando los filtros IP del IAS pero parece que debe estar

activado

el servicio de enrutamiento y no es el caso (no es necesario).

IAS no cecesita RRAS para funcionar.

Un saludo.
Ivan
MS MVP ISA Server

Gracias por tu respuesta:

Un par de cuestiones;

Respecto a las direcciones IP (tienes razón), son de ejemplo y me he liado
en cuanto al valor (he mezclado dos de los rangos).

Estoy de acuerdo en lo que comentas de las interfaces en diferentes rangos
es por cuestiones de desarrollo iniciales y prueba, ya que necesita el
Radius acceder al AD que está en una red coorporativa ya implantada.

Cada aplicación y servicio de red programado utiliza una interfaz en
concreto con lo cual no existe problemas de enrutamiento, ya que utiliza la
puerta de enlace predeterminada en cada una.

Cuando finalice el desarrollo irá en una red independiente.

El caso es que si lograse vincular las peticiones RADIUS a una sola interfaz
y que utilizase su getaway, tendría el tema de momento solucionado.

Sabes algo?

"Mario Barro" escribió en el mensaje
news:

Gracias por tu respuesta:

Un par de cuestiones;

Respecto a las direcciones IP (tienes razón), son de ejemplo y me he liado
en cuanto al valor (he mezclado dos de los rangos).

Estoy de acuerdo en lo que comentas de las interfaces en diferentes rangos
es por cuestiones de desarrollo iniciales y prueba, ya que necesita el
Radius acceder al AD que está en una red coorporativa ya implantada.

Cada aplicación y servicio de red programado utiliza una interfaz en
concreto con lo cual no existe problemas de enrutamiento, ya que utiliza

la

puerta de enlace predeterminada en cada una.

Una maquina puede tener varios default gateway pero solo usa uno, el que
tiene la metrica inferior. Si ejecutas un route print en esa maquina te
mostrara dos rutas 0.0.0.0 que son los default gateway, pero esta usando el
de la metrica inferior.

Cuando finalice el desarrollo irá en una red independiente.

El caso es que si lograse vincular las peticiones RADIUS a una sola

interfaz

y que utilizase su getaway, tendría el tema de momento solucionado.

Pero eso dependera de la interface por la que llege la peticion del NAS, si
usas dos rangos, por ejemplo: 192.168.1.0 y 192.168.2.0 y el NAS que agregas
es 192.168.1.100, las peticiones solo pueden llegar por la interface del
rango 192.168.1.0.
Necesitas usar dos rangos, no tiene sentido usar dos adaptadores de red con
direcciones IP en el mismo rango.


Un saludo.
Ivan
MS MVP ISA Server