none
Enrutamiento con ISA Server 2006 RRS feed

  • Pregunta

  • Hola,

    me gustaría saber si el ISA es capaz de enrutar ciertas direcciones IP por otro sitio que no sea la puerta de enlace. Me explico mejor. Mi configuración es la siguiente:

    El servidor ISA tiene como dirección IP 10.0.1.1 en la tarjeta de la LAN. Bien, todos los servidores y equipos de mi parte LAN tienen direcciones 10.0.X.X y tienen como puerta de enlace la 10.0.1.1 (el ISA).

    El caso es que tengo una dirección IP 10.0.1.2 que utilizo para establecer unas VPN con el exterior y me interesaria que el servidor ISA server enrute hacia esta dirección todo el tráfico que provenga de estas direcciones: 192.168.0.X y 192.168.144.X (que son las direcciones de las VPN que tengo establecidas). El aparato que tengo para establecer las VPN es un Zywall 35 y este no tiene como puerta de enlace el ISA, directamente sale a Internet.

    Esto lo consigo hacer con el Enrutamiento y Acceso remoto de windows pero no lo he conseguido con el ISA Server.

           ------------ ISA (10.0.1.1/16) -------------------------------------------------------------------      INTERNET

           |

           |

           |----------------------- Zywall 35 (10.0.1.2/16) --------------------------------------------------  INTERNET

           |

           |

        LAN (10.0.X.X/16, P.E. 10.0.1.1)

     ¿Alguna sugerencia?

     

     

     

     

    miércoles, 28 de febrero de 2007 18:03

Respuestas

  •  

    Luis, vuelvo a escribir todo porq la pagina dio un error!

     

    No soy un experto en ISA, pero pude hacer andar, algo muy parecido a lo que queres hacer. El tema es asi, lo que tenes que hacer es:

     

    Router----- IP Internet.... XXX.XXX.XXX.XXX

    Router-----IP al ISA 172.16.1.1 (por decir un ejemplo!)

     

    ISA-------Adaptador a "internet" IP 172.16.1.2 y DG 172.16.1.1, para que sepa mas rapido por donde salir!

    ISA------Adaptador a "LAN" IP dentro del rango de la red. Por ej: 192.168.1.1

     

    Luego, en el ISA, lo que debes hacer es ir a redes, y en redes seleccionar Red Interna, y seleccionar el rango de red, te da la opcion de agregar adaptadores, agregas el de la red Interna, y te arma las tablas de ruteo. Debes dejar solo la que esta dentro del rango de tu red "a proteger" , para el ejemplo 192.168.1.1 a 192.168.1.255, y listo.

     

    De esta manera, el ISA reconoce que todo lo que este fuera de ese rango lo tiene que tomar como Red Externa.

     

    Lo puedes probar haciendo una politica del tipo " TODO ABIERTO", en la que permites (no la dejes asi, porq seria como poner el ISA de adorno, es SOLO PARA PROBAR!!!) todo el trafico saliente, en redes seleccionas: de Interna a Externa. Todos los usuarios y listo.

     

    Lo que si recorda de config en el DHCP q el DG sea la IP del ISA!!!!

     

    Con eso dejas libre y estas ruteando a traves del ISA!

     

    Espero te haya servido!

     

    Saludos

    Daniel

     

    • Propuesto como respuesta Daniel2605 martes, 29 de junio de 2010 13:19
    • Marcado como respuesta Ismael Borche viernes, 4 de marzo de 2011 20:27
    miércoles, 31 de octubre de 2007 0:18

Todas las respuestas

  • Hola Josan!

    Tengo la respuesta que necesitas... esta en este enlace http://www.isaserver.org/articles/2004perimeterdomain.html (Ingles)
    Espero que sepas ingles ya que no puedo traducirlo completo porque ni tu ni yo entenderiamos.

    Fijate en el diagrama, creo que se parece mucho al ejemplo que muestras.

    Suerte!

     

     

    viernes, 2 de marzo de 2007 1:28
  • Hola Cesar,

    gracias por tu ayuda pero en el diagrama que me comentas se ven 2 redes distintas, la 10.0.0.0/24 y la 172.16.0.0/16. No es mi caso ya que realmente lo que yo quiero es que el ISA enrute paquetes hacia un equipo de la misma red.

    Como ya habia comentado antes con la herramienta de windows enrutamiento y acceso remoto es posible hacer esto pero sin ella no consigo ver la luz ...

     

    viernes, 2 de marzo de 2007 12:16
  •  

    Buenas yo tengo otro escenario, cuando empece con el ISA creia que mi escenario era el mas usual y que seria facil configurarlo, no lo he conseguido, mejor dicho, se lo que hay que ahcer pero no se como hacerlo con ISA Server. Tengo el 2004 y el escenario seria sel siguiente:

     

    --------------------------------                     / ------------------------------/                 ----------------------------------

    ---  LAN 192.168.1.X --  ========> /-   ISA 192.168.1.80 -/ =====>> $ ROUTER 192.168.1.7$ ===>  {INTERNET}

    ---------------------------------                    /-------------------------------/                 -----------------------------------

     

    Bueno espero que la idea se vea. La cosa es que mi ISA tengo dos tarjetas de RED, una es la que conecta con mi LAN y otra la que conecta con el router ADSL. Lo que intento es enrutar tod el trafico de salida y de entrada de ina interfaz de red a otra, y que apse todo por el ISA server, que ningun espavilao pueda poner la 192.168.1.7 y salir sin pasar por el ISA.

     

    Se que la idea es buena y se debe hacer asi, pero no se que configuaracion realizar. Es decir, creo que tanto el Router como la 2ª interfaz de red del ISA deberan configurarse en otra subred diferente a la 192.168.1.X por ejemplo la 192.168.2.X y entonces decirla al ISA que cualkier paquete que no vaya para la 192.168.1.X lo saque por la 2º interfaz y de ahi a inetnet, siempre y cuando cumpla las reglas creadas.

     

    Espeor haberme explicado. Evidentemente lo mejor en estos casos es probar, pero este sistema está en produccion y no puede ponerme ha hacer pruebas cuando la gente esta trabajando.

     

    Que alguna idea?

    viernes, 26 de octubre de 2007 9:33
  •  

    Luis, vuelvo a escribir todo porq la pagina dio un error!

     

    No soy un experto en ISA, pero pude hacer andar, algo muy parecido a lo que queres hacer. El tema es asi, lo que tenes que hacer es:

     

    Router----- IP Internet.... XXX.XXX.XXX.XXX

    Router-----IP al ISA 172.16.1.1 (por decir un ejemplo!)

     

    ISA-------Adaptador a "internet" IP 172.16.1.2 y DG 172.16.1.1, para que sepa mas rapido por donde salir!

    ISA------Adaptador a "LAN" IP dentro del rango de la red. Por ej: 192.168.1.1

     

    Luego, en el ISA, lo que debes hacer es ir a redes, y en redes seleccionar Red Interna, y seleccionar el rango de red, te da la opcion de agregar adaptadores, agregas el de la red Interna, y te arma las tablas de ruteo. Debes dejar solo la que esta dentro del rango de tu red "a proteger" , para el ejemplo 192.168.1.1 a 192.168.1.255, y listo.

     

    De esta manera, el ISA reconoce que todo lo que este fuera de ese rango lo tiene que tomar como Red Externa.

     

    Lo puedes probar haciendo una politica del tipo " TODO ABIERTO", en la que permites (no la dejes asi, porq seria como poner el ISA de adorno, es SOLO PARA PROBAR!!!) todo el trafico saliente, en redes seleccionas: de Interna a Externa. Todos los usuarios y listo.

     

    Lo que si recorda de config en el DHCP q el DG sea la IP del ISA!!!!

     

    Con eso dejas libre y estas ruteando a traves del ISA!

     

    Espero te haya servido!

     

    Saludos

    Daniel

     

    • Propuesto como respuesta Daniel2605 martes, 29 de junio de 2010 13:19
    • Marcado como respuesta Ismael Borche viernes, 4 de marzo de 2011 20:27
    miércoles, 31 de octubre de 2007 0:18