none
Problema ISA SERVER 2004 con IP Publica. RRS feed

  • Pregunta

  • Estimados,

    Podrian ayudarme, tengo un isa server 2004 funcionando correctamente, pero tengo un aplicativo que debe conectarse a un servidor en especifico, tanto dentro de la lan como fuera, el programa que se conecta ya esta configurado que siempre se conecte a mi ip publica, fuera de la lan el programa funciona muy bien, pero dentro de la lan, el programa no se puede conectar a la ip publica y al puerto especifico del programa.

    Gracias por cualqueir ayuda

    martes, 5 de abril de 2011 19:45

Respuestas

  • Hola dvharley,

    Yo creo que el problema es de enrutamiento, si realizas un tracert desde la maquinas que si pueden acceder ¿cual es el resultado?. Y desde el tramo que no puedes acceder ¿cual es el resultado del tracert?.

    El tema debe estar en la puerta de enlace predeterminada de cada segmento, manda los resultados del tracert y a ver si damos con la solución.

     

    Un saludo

    GregoJ.


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio
    • Propuesto como respuesta Ismael Borche miércoles, 20 de abril de 2011 19:15
    • Marcado como respuesta Ismael Borche sábado, 23 de abril de 2011 13:46
    lunes, 18 de abril de 2011 15:21

Todas las respuestas

  • Hola dvharley

    Consulta, cuando dices: "tengo un aplicativo que debe conectarse a un servidor en especifico" donde esta ese servidor en la red interna o externa !?

    Recuerda que por defecto desde la red interna hasta la red externa existe una relacion de NAT entre ambas redes, por lo que todas las solicitudes que salgan desde tu red interna hacia la externa se traduciran a tu IP Publica, asumiendo que esto esta bien me parece que el problema sera alguna regla en tu Firewall

    Saludos,


    Jimcesse / mjk_b25@hotmail.com
    martes, 5 de abril de 2011 21:34
    Moderador
  • Estimado,

     

    Creo q debo aclarar el panorama, el servidor esta en la red interna, su ip es 192.168.1.18, el programa esta configurado para que se conecte a la ip publica q es 190.X.X.X, instalo el aplicativo en cualquier computador q tenga internet y no hay problema se conecta a mi ip publica y de ahi esta publicada a un puerto especifco del servidor 192.168.1.18 y funciona.

     

    el problema es cuando tengo una maquina dentro de mi lan, y el programa quiere conectarse a mi ip publica y de ahi al servidor que tiene el aplicativo. y nunca le encuentra. Pero si puedo hacer ping a mi ip publica.

     

    Help.....

    miércoles, 6 de abril de 2011 15:16
  • Como tienes publicado el servicio, es una regla de servidor web o no !?

    Te consulto porque me parece que de esa forma como lo planteas no funcionaria, a menos que el servidor fuera web y modificaras el Web Listener para que tambien escuche desde la red interna, sin duda alguna la mejor opcion seria que para los clientes que tengas en la LAN configures la IP interna.

    Algo mas que se me ocurre es que en vez de una IP puedas usar un nombre de dominio por ejemplo, en tu DNS externo podrias tener un regristro tipo A que sea app.dominio.com apuntando a tu IP Publica y en DNS Interno tengas el mismo registro pero apuntando a la IP privada de esa forma tus clientes sabran cuando estan dentro o fuera de la red interna (obvio por el registro en el DNS).

    Saludos,


    Jimcesse / mjk_b25@hotmail.com
    miércoles, 6 de abril de 2011 18:40
    Moderador
  • el servicio es una regla, ya que el servidor no es un servidor web, es un aplicativo que se conecta por un puerto 4430, por ejemplo, viene un cliente y le instalo el aplicativo y solo lo ingreso a mi red wireless, sin especificar el proxy y el programa funciona.

    Pero si configuro el proxy y esta dentro de mi red, no se conecta y me da el mensaje q no se puede conectar a 190.X.X.X y al puerto 4430.

    Igual gracias por tu ayuda y la luz q puedas darme en este caso.

    miércoles, 6 de abril de 2011 20:29
  • Varias consultas:

    1. Si la maquina esta en la LAN pero no tiene el proxy configurado, funciona!?

    2. Si agregas tu IP publica como excepcion al proxy que pasa!?

    3. Podrias hacer loggin del error y postear el resultado (para tener una mejor idea del porque ISA esta denegando ese trafico)!?

    Otra sugerencia, como me dices que cuando habilitas el proxy falla, entonces prueba abriendo el puerto 4430 a travez del proxy, para hacer este procedimiento sigue estos pasos:

    1. Descarga esta herramienta ISA Tunnel Port tool guardala en C:\

    2. Desde una ventana de DOS ejecuta este comando Cscript C:\isa_tpr.js /add App 4430

    3. Luego debes reiniciar el servicio del Firewall o seria mejor reiniciar todo el servidor.

    Si este paso no te soluciona debes de remover el puerto que se coloco, eso lo haces Cscript C:\isa_tpr.js /del App 4430 y reinicias el Firewall

    Saludos,


    Jimcesse / mjk_b25@hotmail.com
    miércoles, 6 de abril de 2011 21:32
    Moderador
  • Hola dvharley,

    Lo logico es que cuando el cliente este fuera ataque a la ip publica, pero conectado a la LAN no tiene sentido que ataque a la IP externa, deberia atacar la iP del servidor en cuestion en la LAN sin necesidad de atravesar el ISA para alcanzarlo.

    La solucion que yo veo seria configurar el cliente mediante DNS. De modo que dentro de LAN la resolucion del nombre se haga hacia a la IP del servidor en la LAN y desde fuera utilizando DNS publicos la resolucion se realice a la IP publica.

     

    Un saludo

    GregoJ


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio
    jueves, 7 de abril de 2011 8:49
  • Estimado Gregoj,

    Te cuento un poco la configuracion actual, el programa ya esta creado para q siempre ataque la ip publica, tanto si esta dentro de la lan como fuera de ella, es pq algunos de nuestros clientes tienen sus propias maquinas y se conectan a mi lan, cuando estan por fuera no hay problema el programa se conecta y funciona sin problemas, para mis clientes tengo segmentada una red 192.168.200.x, y no pueden conectarse, pero si ingresan a mi red lan en el segmento 192.168.1.X , o 192.168.2.X si ingresan.

    y lo nuevo es q yo tengo mi maquina, en el segmento 192.168.1...., pero con todos los permisos... por trabajar en sistemas :), y tampoco puedo ingresar...

    Vere como puedo enviarles capturas del logging de mi maquina para ver el error

    jueves, 7 de abril de 2011 17:20
  • Hola dvharley

    Creo que la solución estaria por meter el servidor publicado en un nuevo segmento de red a modo de DMZ, lo puedes hacer añadiendo una nueva tarjeta eal ISA y modificando la regla de publicación con la IP del nuevo segmento. De este modo, tanto desde fuera como desde dentro habría que atacar al ISA para alcanzar al servidor y no habria mayor problema.

    Un saludo

    GregoJ

     


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio
    sábado, 9 de abril de 2011 18:39
  • saludos gregoj,

     

    pero la duda recae en q porq dentro de un segmento de red el programa funciona bien.... si ingreso desde afuera tambien fucniona, pero si ingreso desde el segmento 192.168.200.X ahi no funciona el programa.

    esta quemado en codigo q siempre busque mi ip publica 190.X.X.X, y lo probe desde mi casa y funciona bien, pero me conecto desde una de mis redes wireless, q me da una direccion del tipo 192.168.200.X y no funciona, y si me conecto con otro ssid dentro de la misma infraestructura y que me da el dhcp 192.168.1.X si me conecto....

     

    les estaria muy agradecido si pueden ayudarme con este tema......

    jueves, 14 de abril de 2011 4:42
  • Hola dvharley,

    Yo creo que el problema es de enrutamiento, si realizas un tracert desde la maquinas que si pueden acceder ¿cual es el resultado?. Y desde el tramo que no puedes acceder ¿cual es el resultado del tracert?.

    El tema debe estar en la puerta de enlace predeterminada de cada segmento, manda los resultados del tracert y a ver si damos con la solución.

     

    Un saludo

    GregoJ.


    "Saber que se sabe lo que se sabe y que no se sabe lo que no se sabe; he aquí el verdadero saber." Confucio
    • Propuesto como respuesta Ismael Borche miércoles, 20 de abril de 2011 19:15
    • Marcado como respuesta Ismael Borche sábado, 23 de abril de 2011 13:46
    lunes, 18 de abril de 2011 15:21