none
ISA SERVER en dispositivos moviles RRS feed

  • Pregunta

  • Que tal mi problema es el siguiente:

    Tengo un Servidor ISA server que funciona como proxy, todos mis equipos salen por cliente ISA con reglas en mi ISA y con permisos de AD.

    Ahora, estoy agregando dispositivos moviles Android y necesito que estos tengan acceso a mi intranet, para esto les asigne direcciones ip Fijas, pero no cuento con ningun cliente ISA para Android, como debe quedar una regla que me permita que estos dispositivos puedan interactuar con la intranet, sin necesidad de requerir un usuario y contraseña de dominio?, o en su defecto si existe un cliente ISA para Android, disponible para instalarlo. Saludos Gracias

    • Tipo cambiado Marc Salvador lunes, 27 de junio de 2011 8:12 Tipo erróneo
    • Cambiado Marc Salvador lunes, 27 de junio de 2011 8:13 Grupo erróneo (De:Directivas de grupo)
    viernes, 24 de junio de 2011 20:10

Respuestas

Todas las respuestas

  • Hola Valentinr

    Tendrias que verifcar que no tengas marcada la opcion "todos los usuarios requieren autenticacion" en las propiedades de la LAN > WebProxy > Autenticacion si tienes la opcion marcada, tienes que desmarcarla...

    Como segundo paso, deberias de crear un pool de IPs (preferiblemente que esten excluidas del DHCP) por ejemplo de la 192.168.0.80 a la 90, luego debes crear una regla que permita todo el trafico (o los protocolos que necesites) desde el rango de IPs que creastes anteriormente hasta la red externa y que aplique para todos los usuarios... Ya con esta regla deberian de poder navegar y tener acceso a la red externa tus dispositivos moviles....

    Con respecto a lo que preguntas sobre el cliente, solo hay versiones para Windows.

     

    Saludos,


    Jimcesse
    lunes, 27 de junio de 2011 14:29
    Moderador
  • Hola Jim,

    Las propiedades de mi LAN interna no tiene habilitado la opcion "todos los usuarios requieren autenticacion", Cree una regla nombrada "Moviles"-> Action "Allow" -> Protocols "All outbound traffic"-> from "192.168.50.173" (direccion IP Fija de mi dispositivo)-> to "External","all networks", "internal"->Content types "all content types", no declare los users porque no quiero que requiera autenticacion, pero aun no puedo entrar a mi intranet

     

    lunes, 27 de junio de 2011 16:34
  • PD. gracias por responder
    lunes, 27 de junio de 2011 16:35
  • Si haces un monitoreo del trafico en tiempo real, de la IP 192.168.50.173 que eventos miras !?
    Jimcesse
    lunes, 27 de junio de 2011 17:28
    Moderador
  • Que tal Jim,

     

    Al hace un ping sobre el dispositivo, me resuelve en un tiempo de 2 milisegundos, pero me sigue sin dar acceso. Hay alguna forma de crear un usuario que no requiera autenticacion?, o de que otra forma podría lograrlo?

    lunes, 27 de junio de 2011 18:20
  • Valentinr

    Cuando tu creas la regla que permite el acceso al dispotivo movil, hay un tab que se llama Usuarios, ahi debes de poner "Todos los Usuarios" de esa forma sin importar de que usuario venga la solicitud el trafico sera permitido, siempre y cuando cumpla con los demas "Filtros" de la regla...

    Ahora la mejor opción que tenemos para saber porque no se esta permitiendo el trafico es hacer una analisis del trafico en tiempo real, sabes como hacerlo!?

    Saludos,


    Jimcesse
    lunes, 27 de junio de 2011 19:35
    Moderador
  • Ok

     

    Ya revisé la parte de usuarios que me mencionas, agregue "All users" y aun no resuelvo... No se como hacer el analisis de trafico en tiempo real. De verdad deseo que me puedas ayudar

    lunes, 27 de junio de 2011 19:49
  • Ok eso es muy sencillo de hacer... Mira este link: http://allcomputers.us/windows_server/securing-exchange-server-2010-with-isa-server---logging-isa-traffic.aspx

    Básicamente vas a la pestaña Monitoring > Logging > Task (a la derecha de la pantalla) > Edit Filter / luego en la ventana "Edit Filter" vas a configurar el filtro de esta forma:

    Filter by: Client IP

    Condition: Equal

    Value: 192.168.50.173

    Luego le das Add to List y luego Start Query... Una vez iniciado, te empezara a mostras los eventos que genere la IP 192.168.50.173, entonces desde el movil trata de ingresar a internet y veras en color rojo la razon por la que no te esta permitiendo la salida a Internet.

    Espero tus resultados...

     


    Jimcesse
    lunes, 27 de junio de 2011 20:02
    Moderador
  • hola Jim, realice el analisis, y el resultado es "no query results are currently in the log view",  no me muestra ningun dato
    lunes, 27 de junio de 2011 22:13
  • Dos consultas...

    1. Podrias sacar un pantallazo de la pantalla donde formulas el filtro (solo para descartar que sea algun error ahi :))

    2. En el movil, quien es el gateway !? ISA !?

     

    Saludos,


    Jimcesse
    lunes, 27 de junio de 2011 22:20
    Moderador
  • Que tal Jim

    El filtro no me marca ningun error, solo me dice que no encuentra nada en la consulta y mi gateway es mi controlador de dominio, de hecho maneje la misma configuracion de una pc

     

    Configuracion del movil

    ip: 192.168.50.173

    Netmask: 255.255.255.0

    gaeway: 192.168.50.9

    DNS1:192.168.50.9

    DNS:192.168.50.6

    martes, 28 de junio de 2011 14:26
  • Ok mira esto:

    Si en una PC instalas el cliente del ISA, no importa que tu Gateway sea diferente al ISA Server, ya que el acceso a Internet lo tendra por medio del Proxy, osea se convertira en un Cliente WebProxy.

    Por otro lado, en el movil no podemos instalar el cliente del ISA, pues no es soportado por el sistema operativo... Entonces necesitas que tu movil sea un cliente SecureNat, como logras eso!? poniendo como GateWay la IP del ISA Server...

    Nose, si me explique bien :) pero si tienes alguna duda por favor comentanos...

     

    Saludos,


    Jimcesse
    martes, 28 de junio de 2011 15:53
    Moderador
  • Ok,

    y es necesario configurarle los DNS?

    martes, 28 de junio de 2011 16:09
  • Que Tal Jim

    Configure el dispositivo de la siguiente manera

    ip: 192.168.50.173

    Netmask: 255.255.255.0

    gaeway: 192.168.50.1 (mi ISA)

    DNS1:192.168.50.1

     

    y realice el monitoreo en tiempo real nuevamente. Ahora si me resuelve la comunicacion, y el dispositivo ya envia bytes, pero no recibe

    martes, 28 de junio de 2011 16:42
  • Podrias postear los eventos que te genera el visor !?
    Jimcesse
    martes, 28 de junio de 2011 16:48
    Moderador
  • Original client: 192.168.50.173

    Client ip: 192.16.50.173

    Server name: 192.16.50.1

    destination ip: 192.168.50.1

    Protocol: DNS

    Transport: UDP

    Source Network Internal

    Destination Network External

    Action: Intiated conection - Closed conection (la mayoria de las lecturas de trafico)

    Rule: Moviles (asi nombre a mi regla para el disp)

    Source port: 26058,25980,26546,2879... etc

    Destination port: 53

    processing Time: 97140,97125,97046,96015... etc

    Bytes sent: 66,64,32

    Bytes received: 0

    Result Code: 0x0, 0x80074e20 FWX

    Log Record Type: Firewall

    De las demas columnas no muestra datos

     

    martes, 28 de junio de 2011 16:51
  • Bueno ese evento no dice mucho, solo que se abrio y se cerro la coneccion al DNS, podrias probar configurando los DNS de google (8.8.8.8 y 8.8.4.4) en el movil he intentar navegar nuevamente, tambien has un monitoreo del trafico que te genere y lo posteas para ver que resultados optienes...

     

    Saludos,


    Jimcesse
    martes, 28 de junio de 2011 18:02
    Moderador
  • Que tal Jim, he colocado los DNS de google y el dispositivo ya navega en internet pero no puedo navegar todavia por la pagina intranet =(
    martes, 28 de junio de 2011 18:14
  • Ok es un excelente avance...

    Cuentame algo mas... Tu DNS es tu controlador de dominio y tu ISA !? Me queda la duda, porque anteriormente me habias dicho que tus DNS's era 192.168.50.9 y 192.168.50.6 y en el log el movil le esta haciendo consultas al DNS 192.168.50.1 (que tambien es ISA) entonces te recomendaria que revises bien las direcciones IP que le estas asignando al dispositivo...

    Recuerda que el aparato necesita: IP, Mascara de Red, GateWay y por lo menos un DNS (seria bueno tener dos).

    Has las pruebas y nos comentas...

     

    Saludos,


    Jimcesse
    martes, 28 de junio de 2011 19:49
    Moderador
  • Que tal Jim,

     

    En estos momentos los DNS del dispositivo son los mismo que google.  La configuracion del dispo en estos momentos es la sig:

    ip: 192.168.50.173

    Netmask: 255.255.255.0

    gateway: 192.168.50.1 (mi ISA)

    DNS1:8.8.8.8

    yDNS2:  8.8.4.4

    asi es como me da salida a internet

     

    martes, 28 de junio de 2011 19:56
  • Exacto, pero comentas que no puedes ingresar a la Intranet !? Posiblemente el tema sea porque los DNS de google con conozca el alias de tu intranet, por ejemplo si tu dominio es miempresa.com y tienes la intranet publicada con el alias intranet.miempresa.com los DNS's de google no pueden resolver la IP de intranet.miempresa.com y por eso el explorador no te redirecciona al sitio... Bueno es solo una teoria :)

    Mi recomendación es que uses tus DNS's internos en los dispositivos y no tengas mayor problema con el tema...

     

    Saludos,


    Jimcesse
    martes, 28 de junio de 2011 20:03
    Moderador
  • La configuracion de todas las computadoras de mi dominio son de la siguiente manera:

    ip: 192.168.50.xx

    netmask:255.255.255.0

    gateway:192.168.50.9

    dns1:192.168.50.9

    dns2:192.168.50.6

     

    Ahora, la configuracion que inicialmente le habia puesto a mi dispositivo movil fue

    ip: 192.168.50.173

    netmask:255.255.255.0

    gateway:192.168.50.9

    dns1:192.168.50.9

    dns2:192.168.50.6

    Cuando me dijiste que cambiara como gateway y poner a mi ISA quedo asi

    ip: 192.168.50.xx

    netmask:255.255.255.0

    gateway:192.168.50.1

    DNS1:8.8.8.8

    yDNS2:  8.8.4.4

    de esta forma pude sacarla a internet, pero al parecer el problema reside en la autenticacion para navegar en la intranet

     

    martes, 28 de junio de 2011 20:03
  • Justo te iba a sugerir que la validación podria estar afectando... Yo haria la prueba de configurar en el movil los DNS's Internos y probar, si aun no funciona habria que descartar otras cosas a nivel de la aplicacion de intranet como tal :)

     

    Saludos,


    Jimcesse
    martes, 28 de junio de 2011 20:06
    Moderador
  • Utilice esta configuracion nuevamente

    ip: 192.168.50.173

    netmask:255.255.255.0

    gateway:192.168.50.9 (Controlador de dominio)

    dns1:192.168.50.9

    dns2:192.168.50.6

    y no puedo navegar ni por intranet ni por internet =(

    martes, 28 de junio de 2011 20:37
  • Hola Valentinr

    Efectivamente esa configuacion no te funcionará porque tu gateway debe ser unica y exclusivamente ISA Server: Prueba con esta configuración:

    ip: 192.168.50.173

    netmask:255.255.255.0

    gateway:192.168.50.1 (ISA Server)

    dns1:192.168.50.9

    dns2:192.168.50.6


    Jimcesse
    martes, 28 de junio de 2011 20:50
    Moderador
  • Ok

    Ya configure el dispositivo tal cual, pero no me da ni intranet ni internet y en el analisis de trafico tampoco me muestra nada.

    Será que debo modificar mi regla por la que esta saliendo? esta es la configuracion de mi regla

    "Moviles"-> Action "Allow" -> Protocols "All outbound traffic"-> from "192.168.50.173" (direccion IP Fija de mi dispositivo)-> to "External","all networks", "internal","anywhere"->Content types "all content types"

    Tiene ISA alguna opcion para excluir equipos que no cuenten con autenticacion o cliente ISA sin crear regla?

    martes, 28 de junio de 2011 22:13
  • No hay forma mas la que hemos comentado.... Me gustaria ver un pantallazo de la pantalla donde formulas el filtro para estar completamente seguro que esta bien formulado, ya que si deberia de generar trafico...
    Jimcesse
    martes, 28 de junio de 2011 22:20
    Moderador
  • si existe trafico, sin embargo en la mayoria del trafico aparece la leyenda "a connection was gracefully closed in an orderly shutdown process with a three-way FIN-initiated handshake"

    Como puedo mostrarte un pantallazo aqui?

    miércoles, 29 de junio de 2011 0:08
  • El filtro se deberia de ver asi... Mira este link

     


    Jimcesse

    • Propuesto como respuesta Ismael Borche viernes, 1 de julio de 2011 2:25
    • Marcado como respuesta Ismael Borche lunes, 4 de julio de 2011 15:47
    miércoles, 29 de junio de 2011 2:14
    Moderador
  • Hola Jim.. ya hace tiempo qe no habia mostrado avances en esto eh

     

    Mira te comento que la regla en isa fue todo un exito, y con algunos trucos como instalar una pequeña aplicacion proxy y organizando mis reglas en isa, por fin logre explorar mi intranet y con internet =D, la regla quedó como te había explicado arriba dando permiso a "all users" y con ip especificas para los dispositivos, pero ahora tengo un pequeño problema, al momento de ingresar una direccion de intranet no me resuelve el nombre del servidor web, es decir si quiero entrar a http://miintranet.com

    tengo que entrar asi http://192.168.1.5, conclui que son mis DNS, por lo que mi dispositivo movil lo configure de la siguiente manera

    ip: 192.168.50.173

    netmask:255.255.255.0

    gateway:192.168.50.9 (controlador de dominio)

    dns1:192.168.50.9 (Controlador de dominio)

    dns2:192.168.50.6 (Controlador de dominio2)

    pero no me resuelve la direccion. Crees que tenga que modificar algo a mis DNS??

    martes, 12 de julio de 2011 1:51
  • Hola Valentinr

    Que bueno que hayas salido con el tema en ISA... Con respecto a lo que mecionas de tus DNS's te recomendaria que hicieras una pregunto en los foros de Windows Server (especificamente en AD) http://social.technet.microsoft.com/Forums/es-ES/wsades/threads y expongas ahi tus dudas.

     

    Saludos,


    Jimcesse
    martes, 12 de julio de 2011 2:32
    Moderador