none
Accesso al Web tramite GateWay remoto RRS feed

  • Domanda

  • Ciao a tutti

    Ho uno scenario di questo tipo

    Sede A Lan con indirizzi 192.168.3.X - Gtw su Web 192.168.3.1 - Router Vpn PointToPoint 192.168.3.250 controllato con ISA2004 su SBS2003 

    Sede B Lan con indirizzi 192.169.30.X - Router Vpn PointToPoint 192.168.30.120

    Come vedi la Sede B non accede ad Internet ma, tramite una semplice route e i router PointToPoint, vede ed entra a far parte della rete
    della Sede A.

    Domanda: che impostazioni devo fornire ai Client della Sede B perchè possano accedere (sempre che possano) ad Internet utilizzando il Gateway della LAN della Sede A?

    Grazie

     


    Danielito
    venerdì 17 dicembre 2010 09:44

Risposte

  • ho faticato un po' a trovare una guida semplice che ti facesse configurare il proxy su ISA ma l'ho trovata, eccola:

    http://www.ehow.com/how_7498993_configure-isa-2004-proxy.html

    ora oltre a questo dovresti metterti in questa situazione:

    1) tutti i clients della rete 192.168.3.x e 192.168.30.y dovrebbero avere come gateway la scheda interna di isa

    2) la scheda esterna di isa dovrebbe essere l'unica ad essere collegata al router e dovrebbe avere come gateway l'ip del router

    3) tutti i client di entrambe le reti che giustamente sono inserite nella network internal di isa dovrebbero essere configurati nel browser per navigare attraverso il proxy (escludendo magari il proxy per la navigazione nei siti interni alla internal.

    con questa configurazione

    i protocolli http,https e ftp passeranno per il proxy

    per tutti gli altri protocolli che passeranno ugualmente tramite isa potrai configurare sui clients il securenat o il firewall client di isa e si dovranno aggiungere le opportune firewall rules su isa per permettere ai clients il traffico dei protocolli ritenuti necessari.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 22 dicembre 2010 09:47
    Moderatore
  • E' ritornata la linea.

    Dunque, facendo mettere nel gateway della rete .30.x l'ip 192.168.3.1 non si accede al web.

    Ho fatto pingare dalla rete .30.x il router della rete .3.250  che comunica con loro e viene visto.

    Vengono visti anche tutti i client della rete .3.x a cui è stato lanciata la route verso la rete .30.x

    Non sono molto esperto, puoi tradurmi quello che vi siete detti con Diego ?

    ci siamo detti che usare ISA messo solo per presidiare la vpn site-to-site è un po' uno spreco, ISA potrebbe fare molto di più oltre a presidiare la connessione vpn potrebbe anche fare da proxy per navigare in internet e in questo modo, configurando il browser in maniera opportuna (wpad) o utilizzando il firewall client di ISA, potresti far navigare i pc presenti su entrambe le reti attraverso il proxy senza preoccuparti di modifcare il gateway. questa soluzione è descritta qui

    http://www.isaserver.org/tutorials/ISA_Server_Configuring_the_Web_Proxy_Firewall_and_SecureNAT_clients.html

    HTH


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 21 dicembre 2010 09:35
    Moderatore

Tutte le risposte

  • Su ISA puoi definire varie reti e relative regole.

    La sede che si collega in VPN su ISA deve essere abilitata anche all'instradamento verso Internet.

    http://www.isaserver.org/tutorials/Creating-Networks-ISA-2004-Part1.html


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    venerdì 17 dicembre 2010 09:55
  • non mi è chiaro se isa controlla solo il router pointtopoint su 192.168.3.250 oppure se isa fa anche da proxy per i clients della rete 192.168.3.x ossia

    i clients della rete 192.168.3.x navigano andando direttamente al gateway o passano attraverso isa per tutti i protocolli o almeno per l'http,https,ftp ?


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    venerdì 17 dicembre 2010 10:16
    Moderatore
  • I client della rete 192.168.3.x per accedere ad Internet non passano attraverso il server (192.168.3.15)  ma attraverso un router a parte.

    Probabilmente , come dici tu, nelle regole relative alla rete Point to Point devo verificare che sia "aperto" l'accesso al Web, però non so come configurare i client della rete 192.168.30.x per fare in modo che possano utilizzare il gateway .3.1.

    Grazie

    Daniele

     


    Danielito
    venerdì 17 dicembre 2010 10:30
  • I client della rete 192.168.3.x per accedere ad Internet non passano attraverso il server (192.168.3.15)  ma attraverso un router a parte.

    Probabilmente , come dici tu, nelle regole relative alla rete Point to Point devo verificare che sia "aperto" l'accesso al Web, però non so come configurare i client della rete 192.168.30.x per fare in modo che possano utilizzare il gateway .3.1.

    1) quindi isa è messo solo a "presidiare" il router pointtopoint ?

    2) qual'è il gateway della rete B ?


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    venerdì 17 dicembre 2010 10:42
    Moderatore
  • Si, è messo a presidiare la Point to Point.

    Il gateway della rete B non esiste in quanto non hanno alcun router (a parte quallo della point to Point), però nella route che è stata fatta su ogni client , il gateway è proprio quello del router PtP (192.168.30.120).

    Per essere più preciso la route fornita sui cliente della SEDE B è:

    route add -p 192.168.3.0 mask 255.255.255.0 192.168.30.120 metric 5

    Ciao

    Daniele

     


    Danielito
    venerdì 17 dicembre 2010 11:12
  • Si, è messo a presidiare la Point to Point.

    Il gateway della rete B non esiste in quanto non hanno alcun router (a parte quallo della point to Point), però nella route che è stata fatta su ogni client , il gateway è proprio quello del router PtP (192.168.30.120).

    Per essere più preciso la route fornita sui cliente della SEDE B è:

    route add -p 192.168.3.0 mask 255.255.255.0 192.168.30.120 metric 5

    quindi le macchine della rete 192.168.30.y riescono a pingare il gateway della rete A ossia il 192.168.3.1 ?

    la teoria direbbe che nella configurazione della vpn site-to-site dovresti indicare che la rete 192.168.30.y dovrebbe prendere come gateway il fefault gateway sulla rete remota ossia il 192.168.3.1

    inoltre con la configurazione appena descritta non avresti dovuto aggiungere alcuna rotta statica sulle macchine della rete 192.168.30.y

    però, siccome non ho mai provato, mi incuriosisce sapere cosa accade se metti nelle proprietà della scheda di rete di una macchina della rete 192.168.30.y come gateway il 192.168.3.1. puoi provare ?

     


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    venerdì 17 dicembre 2010 13:41
    Moderatore
  • Ci proverei subito se non fosse che da stamani la linea VPN non funziona (sarà per la neve ?).

    Ho aperto il ticket, appena sistemato ti faccio sapere.

    Grazie Mille.

    Daniele

    PS. Nella tua foto piccola sembra che ti metta le dita nel naso....


    Danielito
    venerdì 17 dicembre 2010 14:55
  • PS. Nella tua foto piccola sembra che ti metta le dita nel naso....

    e infatti è quello che sto facendo :)
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    venerdì 17 dicembre 2010 16:55
    Moderatore
  • Usare isa come proxy, configurando i client della rete 30 per puntare a lui come proxy in internet explorer e poi con proxycfg -u oppure con netsh winhttp set proxy (vista e sucessivi)?

    Non potendo fornire un IP non della stessa subnet all'interno della conf. scheda di rete, questa è la soluzione più veloce.

    dovrai configurare una rete apposita su ISA per i client dell'altra sede e attivare il web proxying per quella rete nelle sue proprietà, poi potrai usare il firewall client o le policy di dominio per configurare i clients.

     

    Ho visto che nessuno te lo aveva ancora proposto... può andare bene?

    io direi che il firewall client è la strada migliore.

    Ciao!


    Diego Castelli - MCSA 2003, MCP ISA 2004, MCTS Forefront. ITA: Questo post è fornito "così com'è". Non conferisce garanzie o diritti di alcun tipo. Ricorda di usare la funzione "segna come risposta" per i post che ti hanno aiutato a risolvere il problema e "deseleziona come risposta" quando le risposte segnate non sono effettivamente utili. Questo è particolarmente utile per altri utenti che leggono il thread, alla ricerca di soluzioni a problemi similari. ENG: This posting is provided "AS IS" with no warranties, and confers no rights. Please remember to click "Mark as Answer" on the post that helps you, and to click "Unmark as Answer" if a marked post does not actually answer your question. This can be beneficial to other community members reading the thread.
    lunedì 20 dicembre 2010 10:05
  • Ho visto che nessuno te lo aveva ancora proposto... può andare bene?

    io l'avevo pensato ma non l'avevo proposto perchè, dopo essermi accertato che isa è messo solo davanti alla vpn, ho desunto (forse sbagliando) che la posizione e l'uso di isa è frutto di una specifica riflessione.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    lunedì 20 dicembre 2010 10:17
    Moderatore
  • E' ritornata la linea.

    Dunque, facendo mettere nel gateway della rete .30.x l'ip 192.168.3.1 non si accede al web.

    Ho fatto pingare dalla rete .30.x il router della rete .3.250  che comunica con loro e viene visto.

    Vengono visti anche tutti i client della rete .3.x a cui è stato lanciata la route verso la rete .30.x

    Non sono molto esperto, puoi tradurmi quello che vi siete detti con Diego ?

    Cosa dovrei provare a fare ?

    Grazie

     


    Danielito
    martedì 21 dicembre 2010 09:07
  • E' ritornata la linea.

    Dunque, facendo mettere nel gateway della rete .30.x l'ip 192.168.3.1 non si accede al web.

    Ho fatto pingare dalla rete .30.x il router della rete .3.250  che comunica con loro e viene visto.

    Vengono visti anche tutti i client della rete .3.x a cui è stato lanciata la route verso la rete .30.x

    Non sono molto esperto, puoi tradurmi quello che vi siete detti con Diego ?

    ci siamo detti che usare ISA messo solo per presidiare la vpn site-to-site è un po' uno spreco, ISA potrebbe fare molto di più oltre a presidiare la connessione vpn potrebbe anche fare da proxy per navigare in internet e in questo modo, configurando il browser in maniera opportuna (wpad) o utilizzando il firewall client di ISA, potresti far navigare i pc presenti su entrambe le reti attraverso il proxy senza preoccuparti di modifcare il gateway. questa soluzione è descritta qui

    http://www.isaserver.org/tutorials/ISA_Server_Configuring_the_Web_Proxy_Firewall_and_SecureNAT_clients.html

    HTH


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 21 dicembre 2010 09:35
    Moderatore
  • Caspita Edoardo, ho dato una occhiata alla documentazione e ti chiedo umilmente supporto.

    Partendo dalle Policy ISA dovrei creare un nuova regola ?

    Considera che su ISA2004 la rete .30.x è inserita fra le Internal in cui è presente anche la LAN locale .3.x.

    Poi sui client occorre impostare la connessione proxy sul Web Browser. E' cosi?

    Scusa ma non ho mai affrontato un problema simile.

     


    Danielito
    martedì 21 dicembre 2010 10:36
  • aspetta, prima di cominciare a darti suggerimenti ho bisogno di capire cosa siamo in grado di fare con questo supporto a distanza.

    quell'ISA server chi l'ha configurato? tu ? quanto conosci isa ?


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 21 dicembre 2010 11:06
    Moderatore
  • L'ho configurato io con il  tuo supporto tempo fa.

    ISA lo conosco poco ma comprendo tutte le regole che sono in questo momento impostate.


    Danielito
    martedì 21 dicembre 2010 11:12
  • con il mio supporto ? purtroppo non mi ricordo comunque...

    1) quale versione di isa hai ?

    2) in quale tipo di configurazione è settato al momento ?


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 21 dicembre 2010 11:35
    Moderatore
  • Beh si sono passati almeno 4 anni.

    ISA 2004 era stata settata per permettere connessioni VPN dalle reti Point to Point .

    Infatti tali reti sono state definite insieme alla LAN locale come Internal.

    Quindi Sk esterna sulla .1.x e Sk Esterna sulla .3.x.

    Tramite ISA 2004 si accettavano VPN in ingresso per girarle sulla lan .3.x.

    Ora, senza effettuare alcuna connessione VPN, siamo in grado di far vedere un client remoto della POint to Point (.30.x)  ad un client della rete locale (.3.x). Questo, penso, senza che ISA2004 ne sappia qualcosa, ma impostando obbligatoriamente una route sia sul client remoto che sul client locale.

    Quindi per fare in modo che i 2 client si vedano occorre impostare sul remoto:

    route  add -p 192.68.3.0 mask 255.255.255.0 192.168.30.120 metric 5   && sapendo che il .30.120 è l'IP del router PtP

    sul client locale imposto invece:

    route  add -p 192.68.30.0 mask 255.255.255.0 192.168.3.250 metric 5   && sapendo che anche qui il .3.250 è l'IP del router PtP

    In questo modo il client remoto puo accedere a quello locale per esempio per una connessione RDP.

    Ora, dato che la rete remota non può avere connessioni al WEB del tipo DSL (per problemi di localizazione) volevo utilizzare la PtP per fare in modo che esca sul WEB tramite il gateway Interno.

    Forse dovrebbe bastare configurare il ns Gateway (che è un Firewall) per accettare connessioni dalla rete remota.

    Spero di aver descritto bene il quadro.

    ciao

     

     


    Danielito
    martedì 21 dicembre 2010 13:32
  • ho faticato un po' a trovare una guida semplice che ti facesse configurare il proxy su ISA ma l'ho trovata, eccola:

    http://www.ehow.com/how_7498993_configure-isa-2004-proxy.html

    ora oltre a questo dovresti metterti in questa situazione:

    1) tutti i clients della rete 192.168.3.x e 192.168.30.y dovrebbero avere come gateway la scheda interna di isa

    2) la scheda esterna di isa dovrebbe essere l'unica ad essere collegata al router e dovrebbe avere come gateway l'ip del router

    3) tutti i client di entrambe le reti che giustamente sono inserite nella network internal di isa dovrebbero essere configurati nel browser per navigare attraverso il proxy (escludendo magari il proxy per la navigazione nei siti interni alla internal.

    con questa configurazione

    i protocolli http,https e ftp passeranno per il proxy

    per tutti gli altri protocolli che passeranno ugualmente tramite isa potrai configurare sui clients il securenat o il firewall client di isa e si dovranno aggiungere le opportune firewall rules su isa per permettere ai clients il traffico dei protocolli ritenuti necessari.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 22 dicembre 2010 09:47
    Moderatore
  • Voto di utilità ad Edoardo, già solo per lo sforzo di trovare qualcosa su ISA che non sia scritto in klingon.
    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    mercoledì 22 dicembre 2010 09:52
  • OK. Quindi , invece di uscire sul Web tramite Firewall-Router Internet usciamo tutti passando attraverso ISA fornendo come gateway l'IP della sche Interna del Server. Ho capito bene ?
    Danielito
    mercoledì 22 dicembre 2010 17:33
  • esattamente
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    giovedì 23 dicembre 2010 12:03
    Moderatore
  • Ok Edoardo.

    Diciamo che non funziona ma penso che siamo molto vicini.

    Ho seguito passo passo la configurazione e la Rule su ISA2004.

    La Rule è del tipo Alllow   Protocol: FTP, HTTP, HTTPS    From: Internal    To:External    Conditions:Utenti Proxy

     

    Il client remoto con cui effettuare la prova l'ho configurato così:

    IP: 192.168.30.101 MASK:255,255,255,0  GATEWAY:192.168.3.15 (L'IP della Sk Interna di ISA)

    Riguardo al  proxy della Connessione in Explorer non mi hai detto nulla su quale IP inserire.

    Ho impostato inizialmente sempre 192.168.3.15 ma non si naviga , successivamente  ho messo 192.168.30.120 che è il router PtP della rete remota. In questo modo viene richesta una autenticazione.

    Ho fatto impostare User e Password relativi all'utente inserito nelle regole di ISA2004 nel gruppo Utenti Proxy

    Così facendo però continua sempre a richiedere User e Password come se non fossero corrette , ma lo sono certamente perchè ho verificato e sono stato molto attento.

    Ciao

     

     


    Danielito
    giovedì 23 dicembre 2010 16:15
  • @dnaiele : Edoardo è estremamente cortese ma praticamente ti stai facendo fare una configurazione "su misura" e passo passo il che non è lo scopo di questo forum.

    Si tratta di una mia opinione MA dovresti procedere un po' per tuo conto ed eventualmente segnalare anomalie o dubbi specifici.


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    venerdì 24 dicembre 2010 08:18
  • Il client remoto con cui effettuare la prova l'ho configurato così:

    IP: 192.168.30.101 MASK:255,255,255,0  GATEWAY:192.168.3.15 (L'IP della Sk Interna di ISA)

    Riguardo al  proxy della Connessione in Explorer non mi hai detto nulla su quale IP inserire.

    Ho impostato inizialmente sempre 192.168.3.15 ma non si naviga , successivamente  ho messo 192.168.30.120 che è il router PtP della rete remota. In questo modo viene richesta una autenticazione.

    1) sul client remoto non devi modificare la configurazione tcp/ip

    2) sul client remoto devi solo modificare le impostazioni del browser andando in IE su menu strumenti, opzioni internet, scheda connessione, in basso connessione lan, impostazioni proxy.

    3) è importante che tu sappia su quale ip e su quale porta è in ascolto il proxy che hai configurato su isa.

    4) tieni presente quanto ti ha scritto Fabrizio qui sotto

    5) tieni presente che fra poco è Natale e capodanno.

    grazie :)


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    venerdì 24 dicembre 2010 08:35
    Moderatore
  • Risposta x Fabrizio

    Fabrizio, infatti i link con le istruzioni indicate le metto in atto e cerco di affrontare anche punti che non mi sono chiari verificando che i risultati siano corretti.

    Non mi sembra di essere "passivo", e mi dispiace che tu lo pensi.

    Edoardo, circa 4 anni fa mi ha fornito le indicazioni su come settare ISA2004. Da allora tutte le implementazioni le ho fatte in base alle indicazioni di allora. E anche in questo caso non mi sembra di essere stato "passivo".

    Edoardo, ora leggerò le tue indicazioni ma se ritieni che stia andando oltre dimmelo pure perchè non mi sembra di essere proprio il tipo che Fabrizio pensa che io sia.

     

     


    Danielito
    venerdì 24 dicembre 2010 10:00
  • Grazie per l'aiuto.

    Buon Natale e Buon Anno Nuovo a voi tutti.

     


    Danielito
    venerdì 24 dicembre 2010 10:04