none
Ayuda con este escenario de ISA Server RRS feed

  • Pregunta

  • Hola, he empezado a trabajar en una empresa que tienen una red con la siguiente situación:

    2 DC + 1 ISA SERVER 2006 + 40 equipos de trabajo. La red interna es 192.168.0.x. El ISA Server tiene 2 tarjetas de red, la primera (LAN) con IP 192.168.0.1 y la segunda (WAN) con IP 189.25.46.1. El router tiene IP 189.25.46.254 y no está físicamente conectado a la interfaz WAN, sinó a los switches de la red. El equipo con el ISA Server además de firewall actúa como servidor VPN.

    He observado que los usuarios VPN se conectan, obtienen una IP del rango 182.25.46.x y para acceder a los recursos de la red interna ejecutan escritorio remoto a la ip 182.25.46.1:3390 (Servidor ISA por puerto 3390) y desde allí acceden a las unidades de red e incluso a escritorios remotos de otros equipos de la LAN. Solo lo pueden hacer así, si después de conectar intentan \\ip_servidor\recurso no les funciona, si intentan hacer escritorio remoto directo al equipo deseado tampoco les va.

    ¿Esto debe ser así?. Mi intención es simplificar pasos: que los usuarios se conecten a la VPN y acto seguido puedan acceder al escritorio remoto de un equipo de la LAN sin tener que pasar previamente por el escritorio del equipo que tiene el ISA Server.

    • Cambiado Guillermo Delprato [] lunes, 2 de abril de 2012 22:08 (De:Servidores de infraestructura y redes)
    sábado, 31 de marzo de 2012 14:22

Respuestas

  • Hola Fran,

    Estoy contigo y con Jim que la opción de conexión a Internet de los clientes VPN no es la ideal pero es lo que hay. Revisa este link:

    http://www.isaserver.org/tutorials/2004vpnclientnetaccess.html

    Un saludo

    GregoJ


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio

    • Marcado como respuesta Fran72 lunes, 23 de abril de 2012 14:30
    jueves, 5 de abril de 2012 16:42
  • Hola Amigos...

    Aclararemos un poco el escenario :)

    Fran, si marcas el check de "usar el gateway de la red remota" resuelve tu problema, pero no deja navegar a tus clientes VPN, entonces lo que debes hacer es no marcar la opcion y agregar una ruta de forma manual como mencionastes en algún momento: route add 192.168.0.0 mask 255.255.255.0 189.25.46.1 metric 1 /p y con eso ya deberias de solucionar el tema... Ahora si por alguna razón no puedes agregar la ruta en todos los clientes, entonces yo diria que deberias entregar direcciones en el rango de 192.168.0.0/24 eso sí que este fuera del rango del DHCP, aunque dependera un poco de tu configuración del VPN.

    Saludos,


    Jimcesse
    Mi Blog: http://blogs.itpro.es/jimcesse
    

    sábado, 7 de abril de 2012 21:20
    Moderador

Todas las respuestas

  • Hola Fran,

    Necesitas definir una regla para permitir el trafico que desees entre los clientes VPN y los equipos de la LAN. Por otra parte debes definir entre ambas redes que el tráfico sera enrutado.

    Un saludo

    GregoJ


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio

    lunes, 2 de abril de 2012 13:49
  • Hola GregoJ

    Tengo una regla RDP (Servicios de Terminal Server) de clientes VPN a Interna. En la configuración de redes tengo NAT en la regla de red número 2 (De clientes de VPN hacia la red interna), me imagino que cambiando esto a Ruta será suficiente, lo pruebo y te confirmo que funciona.

    martes, 3 de abril de 2012 8:48
  • Hola Fran,

    Efectivamente el tráfico debe ser enrutado y no "NATeado".

    Ya contaras.

    Un saludo

    GregoJ


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio


    martes, 3 de abril de 2012 10:42
  • Hola GregoJ

    No conecta, al intentar hacer el escritorio remoto sale el típico mensaje de que no se encuentra en el equipo, estoy en la misma situación que al principio. ¿Alguna idea?

    miércoles, 4 de abril de 2012 6:53
  • Hola Fran,

    Revisa el registro para ver que pasa, en la ventana de Supervisión del ISA escoge la pestaña de Registro y mira por que no llega ha establecerse la conexión. Revisa que tienes habilitado el enrutamiento IP en las Definir preferencias IP (Consola ISA -> Configuración -> General -> Definir preferencias IP -> Enrutamiento IP -> Habilitar enrutamiento IP), me imagino que lo tendrás habilitado. 

    También puedes a la regla que permite el trafico RDP, añadirle el PING , y revisa de nuevo el registro para ver que esta ocurriendo cuando hagas PING al servidor en cuestión.

    Quizás sea un problema de spoofing, cuando revises el registro me dices lo que has encontrado.

    Suerte

    Un saludo

    GregoJ


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio


    • Editado GregoJ miércoles, 4 de abril de 2012 10:08
    • Propuesto como respuesta Eduardo Portescheller miércoles, 4 de abril de 2012 15:03
    miércoles, 4 de abril de 2012 10:03
  • Hola GregoJ,

    El enrutamiento IP (Configuración - General - Definir protección IP - Enrutamiento IP) está habilitado. He creado una regla Permitir todo el trafico saliente de clientes VPN a host local + interna, pero en el registro (Supervisión - Registro) no aparece nada cuando hago un ping a un equipo de la red interna, me explico:

    En el registro me aparece OK cuando se efectúa la conexión, también aparece OK cuando hago un ping a la interfaz externa del equipo ISA (189.25.46.1). En cambio, cuando hago ping a cualquier equipo de la red interna (192.168.0.x) no aparece nada en el registro. En definitiva, tengo acceso a la red 189.25.46.x (externa) pero no a la 192.168.0.x (interna).

    miércoles, 4 de abril de 2012 10:30
  • Añado más info por si sirve de algo:

    Al conectar el cliente recibe una IP del rango 182.25.46.x y como servidores DNS aparecen los servidores DNS internos de la red. NetBIOS sobre TCP/IP está habilitado y la máscara de subred es 255.255.255.255.

    miércoles, 4 de abril de 2012 10:33
  • Hola Fran,

    Realiza un tracert hacia la IP del servidor RDP, ¿donde se queda?. Revisa el registro. ¿Cuando intentas la conexión RDP no queda reflejado en el registro?.

    Revisa el visor de sucesos del servidor ISA en busca de estos ID de error: Event 15108, Event 14147.

    Comprueba que no tienes ningún filtro activo que no te permita ver los registros del tráfico que estas analizando.

    Un saludo

    GregoJ


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio

    miércoles, 4 de abril de 2012 11:36
  • Hola GregoJ

    El tracert hacia la IP del equipo da tiempo de espera agotado. En el visor de sucesos del servidor ISA no hay los ID's que me comentas.  En el registro del ISA no aparece nada. La sensación es que estoy conectado a la VPN y puedo acceder al rango de la red externa, en cambio no puedo hacer nada con la red interna, a no ser que primero haga escritorio remoto al servidor ISA. Tengo comunicación directa con el ISA pero no comunicación directa con los equipos de la red interna.

    miércoles, 4 de abril de 2012 11:59
  • Hola Fran,

    ¿Cual es la configuración IP de los equipos de tu LAN? ¿La puerta de enlace predeterminada es la dirección IP del ISA?. ¿Puedes hacer ping desde un cliente VPN a la interfaz interna del ISA?.

    Un saludo

    GregoJ


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio

    miércoles, 4 de abril de 2012 13:44
  • Hola de nuevo GregoJ, antetodo gracias por intentar ayudarme con este problema.

    Los equipos de mi LAN obtienen IP automática gracias al servidor DHCP que hay en el DC, la puerta de enlace predeterminada es la dirección IP del adaptador de red interno del ISA. No puedo hacer ping desde un cliente VPN a la interfaz interna del ISA (en el registro del ISA no aparece nada), en cambio a la externa si (en el registro del ISA aparece exitósamente).

    miércoles, 4 de abril de 2012 13:57
  • Hola Fran,

    Creo que el problema puede estar en la parte de los clientes VPN. ¿Como les asignas IP?, prueba ha asignarles IP definiendo un rango por ejemplo de la red 10.11.1.0/24 y comprueba que pueden conectarse bien. Vuelve a  revisar el registro después de realizar este cambio.

    Un saludo.

    GregoJ


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio

    miércoles, 4 de abril de 2012 14:56
  • GregoJ,

    Escribiendo en el equipo cliente el comando route add 192.168.0.0 mask 255.255.255.0 189.25.46.1 metric 1 /p he podido hacer ping, escritorio remoto, etc...

    No es la solución final, te lo comento por si te puede dar una pista de donde está el origen del error.

    miércoles, 4 de abril de 2012 15:10
  • En cuanto a la asignación de IP's que me preguntabas antes, el cliente obtiene una IP automáticamente del rango 189.25.46.x. (antes he escrito 182.25.46.x, me he equivocado). La ip del adaptador externo del ISA es 189.25.46.1.

    miércoles, 4 de abril de 2012 15:18
  • Hola Fran72 y GregoJ

    Fran72 una consulta, cuando tus clientes VPN se conectan al ISA Server, en la configuración de la conexión (del lado del cliente) tienes marcado el check que dice: "Usar el gateway de la red remota" !?

    Mira este link: http://www.windowsecurity.com/articles/vpn_client_security_issues.html

    Saludos,


    Jimcesse
    Mi Blog: http://blogs.itpro.es/jimcesse
    

    miércoles, 4 de abril de 2012 15:35
    Moderador
  • Hola Fran,

    ¿Has probado a utilizar el rango de IP´s que te he dado antes? Pienso que quizás el problema este en que la LAN VPN coincida con la del interfaz externa del ISA.

    Un saludo

    GregoJ


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio

    miércoles, 4 de abril de 2012 15:37
  • Hola Jimcesse

    No lo tengo marcado, si lo hago el cliente de VPN se queda sin conexión a Internet en su equipo local

    Saludos

    miércoles, 4 de abril de 2012 18:06
  • Hola GregoJ

    Acabo de probarlo y tampoco funciona

    Saludos

    miércoles, 4 de abril de 2012 18:07
  • Hola Fran72, tienes y no :) razon... Ya que se podria configurar para que tus clientes VPN salgan a Internet a travez de ISA Server, en lo personal a mi no me gusta, pero se puede hacer...

    Volviendo a tu caso... Sí vez un route print de un cliente cuando se conecta a la VPN vez alguna ruta que diga como llegar a la red 192.168.0.0/24 !? Imagino que no y creo que por ahi anda tu problema... Solo para hacer la pruebas podrias marcar la opcion que te mencionaba anteriormente y probar para ver como funciona !?

    Saludos,


    Jimcesse
    Mi Blog: http://blogs.itpro.es/jimcesse
    

    miércoles, 4 de abril de 2012 18:21
    Moderador
  • Hola Jimcesse

    He marcado la opción y así SI funciona, puedo hacer ping a la red local, conectar por escritorio remoto a uno de los equipos, etc...

    Ahora bien, ¿cómo hago para que el cliente VPN no se quede sin conexión a Internet? A mi tampoco me gusta la opción de que se conecte a través del ISA....

    jueves, 5 de abril de 2012 9:14
  • Hola Fran,

    Estoy contigo y con Jim que la opción de conexión a Internet de los clientes VPN no es la ideal pero es lo que hay. Revisa este link:

    http://www.isaserver.org/tutorials/2004vpnclientnetaccess.html

    Un saludo

    GregoJ


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio

    • Marcado como respuesta Fran72 lunes, 23 de abril de 2012 14:30
    jueves, 5 de abril de 2012 16:42
  • Hola Amigos...

    Aclararemos un poco el escenario :)

    Fran, si marcas el check de "usar el gateway de la red remota" resuelve tu problema, pero no deja navegar a tus clientes VPN, entonces lo que debes hacer es no marcar la opcion y agregar una ruta de forma manual como mencionastes en algún momento: route add 192.168.0.0 mask 255.255.255.0 189.25.46.1 metric 1 /p y con eso ya deberias de solucionar el tema... Ahora si por alguna razón no puedes agregar la ruta en todos los clientes, entonces yo diria que deberias entregar direcciones en el rango de 192.168.0.0/24 eso sí que este fuera del rango del DHCP, aunque dependera un poco de tu configuración del VPN.

    Saludos,


    Jimcesse
    Mi Blog: http://blogs.itpro.es/jimcesse
    

    sábado, 7 de abril de 2012 21:20
    Moderador
  • Hola Fran72

    Quisiera saber en que status esta este caso, tienes algún adelanto ?!


    Jimcesse
    Mi Blog: http://blogs.itpro.es/jimcesse
    

    lunes, 16 de abril de 2012 1:08
    Moderador
  • Hola Jimcesse y GregoJ

    Disculpad que no haya dicho nada más, he estado unos días fuera y cuando he vuelto he tenido lios con otras cosas. Jimcesse, de momento lo voy a dejar así, con la opción desmarcada. Ya les he dicho a los usuarios que no podrán conectarse a Internet mientras estén conectados por VPN y no les supone ningún problema. Como veis, sigo la regla primordial: si funciona no lo toques :-)

    Muchas gracias por vuestra ayuda!

    lunes, 23 de abril de 2012 14:28