none
Problemas con VPN ISA SERVER 2004 RRS feed

  • Pregunta

  • Buenas tardes:

    Tengo instalado un Isa Server 2004 Standar, el problema que tengo es que los clientes vpn que se conectan al Isa no llegan al resto de Servidores.
    En el firewall he creado una regla que permite todo el trafico desde los cliente VPn a la Red interna.
    No llego por ping a ningún equipo.
    He configurado las IP´s de los cliente con un rango distinto al que tengo en mi Lan y tambien he probado a que sea mi servidor DHCP quien de las direcciones IP a los clientes con el rango de mi Lan.

    Tambien he probado a quitar la regla de permitir todo y solo dejar los puertos que me interesan. Estos puertos son los que veo en el Log que son Denied, aunque tenía la regla que permitía todo el tráfico.

    Tambien he probado a abrir el puerto Citrix con un citrix que tengo en mi Lan, y lo que veo curioso es que es la IP Publica de mi tarjeta vodafone de mi cliente vpn quien hace la petición citrix en vez de ser la Ip que le ha asignado mi DHCP y aunque permito trafico citrix desde la externa a la lan me sigue denegando en el FW.

    No sé por donde pillarlo. Gracias
    jueves, 23 de abril de 2009 14:51

Respuestas

  • Hola Rulo1968!

    Es normal que el propio ISA server llegue a destino, ya que él mismo conoce la ruta de salida. Intenta desde algún cliente agregar una ruta estática (debes hacerlo en ambos extremos)

    Por ej., suponiendo que en el site 1 tienes un rango IP 192.168.1.x(con gateway 200) y en el site 2 192.168.2.x (con gateway 200), la forma sería la siguiente:

    En la PC del site 1: route add 192.168.2.0 mask 255.255.255.0 192.168.1.200 metric 1 /p

    En la PC del site 2: route add 192.168.1.0 mask 255.255.255.0 192.168.2.200 metric 1 /p

    Luego haz un ping entre site's para verificar. En caso que de resultados negativos, cuál es el error?

    - Request timed out
    - Negotiating IP Security
    - Access denied

    Si tienes problemas para hacerlo, por favor, indícanos los rangos de red para poder armarte el route a medida. Haz un route print en ambos extremos y pega los resultados aquí.

    Espero haber podido ayudarte!

    Saludos,
    Pablo Alejandro Fain MCP, MCSA+M, MCTS, MCITP, CCA
    • Marcado como respuesta Ismael Borche martes, 24 de mayo de 2011 19:49
    martes, 28 de abril de 2009 14:51

Todas las respuestas

  • Hola Rulo1968! Has intentado agregando una ruta estática en los clientes?

    Por ej.,

    route add 192.168.1.0 mask 255.255.255.0 192.168.1.200 metric 1 /p

    Esto agrega la subred 1.x, con mask 255.255.255.0, y default gateway 200. Si tienes dudas, por favor, indícame la subred que estás utilizando, y la IP interna del default gateway.

    Asi, intenta hacer un ping a alguno de los servidores o equipos de tu red.

    Saludos,
    Pablo Alejandro Fain MCP, MCSA+M, MCTS, MCITP, CCA
    sábado, 25 de abril de 2009 18:12
  • buenos días Pablo:



    estoy utilizando el dhcp de mi lan. El problema es que conecto bien a la VPN , miro el log y me dice que está conectado. Cuando hago un ping al servidor ISA me contesta sin ningún problema pero al hacer ping a otro servidor no me contesta.
    cuando hago una petición a uno de los serviores citrix , en el log me da denies por la regla predeterminada de denegar todo y me deniega el puerto udp 1604 citrix, aunque tenga todo permitido en una regla , incluso ese puerto udp.
    algo rarísimo, me da a pensar que puede ser un fallo del propio ISA que no aplica bien las reglas del FW.
    martes, 28 de abril de 2009 10:04
  • Hola Rulo1968!

    Es normal que el propio ISA server llegue a destino, ya que él mismo conoce la ruta de salida. Intenta desde algún cliente agregar una ruta estática (debes hacerlo en ambos extremos)

    Por ej., suponiendo que en el site 1 tienes un rango IP 192.168.1.x(con gateway 200) y en el site 2 192.168.2.x (con gateway 200), la forma sería la siguiente:

    En la PC del site 1: route add 192.168.2.0 mask 255.255.255.0 192.168.1.200 metric 1 /p

    En la PC del site 2: route add 192.168.1.0 mask 255.255.255.0 192.168.2.200 metric 1 /p

    Luego haz un ping entre site's para verificar. En caso que de resultados negativos, cuál es el error?

    - Request timed out
    - Negotiating IP Security
    - Access denied

    Si tienes problemas para hacerlo, por favor, indícanos los rangos de red para poder armarte el route a medida. Haz un route print en ambos extremos y pega los resultados aquí.

    Espero haber podido ayudarte!

    Saludos,
    Pablo Alejandro Fain MCP, MCSA+M, MCTS, MCITP, CCA
    • Marcado como respuesta Ismael Borche martes, 24 de mayo de 2011 19:49
    martes, 28 de abril de 2009 14:51