none
Rotte statiche su Isa 2006 RRS feed

 > 

  • Domanda

  • Question
    Registrati per votare
    0
    Registrati per votare

    Buondi a tutti e buon ferragosto passato,

    ho un problema da quasi due settimane senza trovare una soluzione. Sapreste dirmi come posso dire a Isa 2006 di non bloccare RRAS?

    mi spiego meglio, ho delle vpn con un'altra device nella rete, quindi la mia rete ha due gateway uno è isa e l'altro è un'appliance fisica rispettivamente con ip (es) 192.168.10.1 e 192.168.10.2. Tutti i client hanno come gateway isa quindi 192.168.10.1.

    Quando dall'esterno faccio una vpn con l'appliance i pacchetti arrivano (questo e dato di fatto) ad un server interno tipo 192.168.10.20 che poi invia la risposta a isa la quale dovrebbe essere, tramite RRAS, indirizzata a 192.168.10.2 in quanto esiste una rotta statica creata su isa del tipo route add 10.0.1.0 mask 255.255.255.248 192.168.10.2

    La classe di rete della vpn è (es) 10.0.1.4. da notare che l'appliance ha una scheda di rete WAN (ip pubblico) e sulla scheda di rete LAN due ip ovvero 192.168.10.2 e 10.0.1.1 e quest'ultimo fa bridge con 192.168.10.2.

     

    Con Isa 2004 tutto funziona mentre con isa 2006 sembra che RRAS non venga tenuto conto

    Come posso fare?

    lunedì 16 agosto 2010 18:25
    |

Risposte

Tutte le risposte

  • Question
    Registrati per votare
    0
    Registrati per votare

    Quando dall'esterno faccio una vpn con l'appliance i pacchetti arrivano (questo e dato di fatto) ad un server interno tipo 192.168.10.20 che poi invia la risposta a isa la quale dovrebbe essere, tramite RRAS, indirizzata a 192.168.10.2 in quanto esiste una rotta statica creata su isa del tipo route add 10.0.1.0 mask 255.255.255.248 192.168.10.2


    Potresti mettere una route statica direttamente sul server, applicando il tuo comando di route a lui invece che ad ISA....

    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    • Proposto come risposta Fabrizio Volpe lunedì 16 agosto 2010 20:15
    • Proposta come risposta annullata Fabrizio Volpe martedì 17 agosto 2010 06:22
    lunedì 16 agosto 2010 20:15
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    si questo l'ho fatto per vedere di chi era la colpa ma ho 12 server e 20 vpn con altrettanti instradamenti ip.....quindi dovrei aggiungere 20 route per ogni server senza pensare poi ad alcune device che controllano dei plc, telecamere e altro.

    c'è una soluzione diretta su isa?

    lunedì 16 agosto 2010 21:20
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    Premesso che con ISA 2004 mi dici che il tutto funzionava (mi domando : stesso hardware e stesso sistema operativo di base ?) quello che cerchi di fare è routing su una singola scheda che ha due ip (primario e secondario) su una macchina che contemporaneamente fa da firewall.

    Si tratta di una configurazione che non mi sentirei di consigliare e a mio avviso sarebbe tutto più "gestibile" avendo (almeno) una scheda dedicata alla tua rete 10.x.y.z

    Se per tue esigenze devi mantenere invariata la situazione, prima di andare avanti ti domando : sei sicuro che il problema non sia di routing prima ancora che di firewall ?

    Ovvero, a parte RRAS (che poi, immagino, sarà PPTP o L2TP e anche questo andrebbe chiarito) riesci a far arrivare un qualsiasi tipo di pacchetto dal client all'appliance passando per il firewall ?

    Scusami per la lunga serie di domande, ma a questo punto, visto che lo scenario non è banale, va capito.

    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    • Proposto come risposta Fabrizio Volpe martedì 17 agosto 2010 06:34
    • Proposta come risposta annullata Fabrizio Volpe martedì 17 agosto 2010 19:41
    martedì 17 agosto 2010 06:32
    |
  • Question
    Registrati per votare
    0
    Registrati per votare
    puoi riportare qui la regola che viene intercettata nel log di isa e che droppa il traffico dal server con ip 192.168.10.20  ?
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    martedì 17 agosto 2010 06:35
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Cerco di fare chiarezza in quanto non è proprio immediata la configurazione.

    Premesso che

    nella struttura coesistono due firewall entrambi con due schede di rete fisiche du cui a parte gli indirizzi ip di wan quelli di lan sono rispettivamente isa 2006 (su server 2003r2) 192.168.10.1 e l'atro appliance (presumo linux) ip di lan 192.168.10.2

    nella struttura ci sono circa 10 server ma ne prenderemo uno soltanto in questione ovvero quello di posta con 192.168.10.20 e tutti presentano come gateway 192.168.10.1 (isa)

    l'appliance è il concentratore di tutte le vpn (openvpn di base se non erro) questo appliance crea una scheda virtuale chiamara tap12 il cui indirizzo è 10.0.1.1

    inserisco una route statica sul server di posta dove gli dico che tutto il traffico di 10.0.1.0 viene dirottato sul gateway 192.168.10.2 (appliance linux)

    adesso

    se creo una vpn da un client esterno e faccio ping o apro owa (ad esempio) funziona tutto

    MA MA MA

    se tolgo la route statica dal server di posta i pacchetti andranno a finire ad isa e con una route statica vorrei che questi pacchetti venissero ruotati sull'altro gateway. Con isa 2000 e 2004 agendo su RRAS e facendo rotte statiche funzionava tutto mentre su isa 2006 non va un tubo

    tra l'altro isa nei log non mi dice un cavolo!!!!!

    martedì 17 agosto 2010 17:47
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    tra l'altro isa nei log non mi dice un cavolo!!!!!


    Il che depone (ulteriormente) a favore della mia tesi di problemi legati al routing.

    Devi procedere così :

    a) definire un oggetto di rete che sarà la subnet 10.a.b.c come internal (in aggiunta alla 192.x.y.z già esistente che dovrà essere internal anche lei)

    b) Definire una network rule di "route" fra i due oggetti di rete (la 192 e la 10) che va a rimpiazzare la route statica

    c) Definire la firewall policy per far passare il traffico.

    Con ISA 2006 (al contrario delle versioni precedenti) il routing non va gestito da RRAS o da linea di comando.

    http://technet.microsoft.com/en-us/library/bb794774.aspx

    P.S.

    Se la procedura ti risulta poco chiara, ti prego di considerare che su ISA sono un po' "arruginito" :-P

    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    martedì 17 agosto 2010 19:40
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    se tolgo la route statica dal server di posta i pacchetti andranno a finire ad isa e con una route statica vorrei che questi pacchetti venissero ruotati sull'altro gateway. Con isa 2000 e 2004 agendo su RRAS e facendo rotte statiche funzionava tutto mentre su isa 2006 non va un tubo

    tra l'altro isa nei log non mi dice un cavolo!!!!!


    dopo aver aggiunto la rotta statica sul server con isa 2006 ti sei ricordato di aggiungere la sottorete alla rete internal di isa ?

    ref: http://www.eggheadcafe.com/software/aspnet/31476751/isa-server-2006-static-route-problem.aspx

    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 18 agosto 2010 11:17
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare


    dopo aver aggiunto la rotta statica sul server con isa 2006 ti sei ricordato di aggiungere la sottorete alla rete internal di isa ?

    @ Edoardo : vedo che siamo orientati alla stessa soluzione, però sono convinto che serva anche la network rule di "route" e la firewall policy per far passare il traffico, altrimenti non credo passerà nulla :-P
    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    mercoledì 18 agosto 2010 11:42
    |
  • Question
    Registrati per votare
    0
    Registrati per votare
    @ Edoardo : vedo che siamo orientati alla stessa soluzione, però sono convinto che serva anche la network rule di "route" e la firewall policy per far passare il traffico, altrimenti non credo passerà nulla :-P


    le route si applicano sulle networks di isa, ovviamente su due networks diverse, ma se io metto due sottoreti dentro alla network internal sono nella stessa network e non ho bisogno (neppure posso farlo) di creare alcuna regola di route.

    ciao.

    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 18 agosto 2010 12:07
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Edoardo, sempre premesso che da qualche tempo non uso ISA (e quindi rischio di seguire logiche di firewalling diverse :-P) , mi sembra siamo nello scenario seguente :

    As an Internal network segment firewall. In this scenario, ISA Server is located between two Internal networks, configured with two network adapters. It routes and filters traffic between the networks, while effectively isolating them from each other.

    Penso che senza una regola specifica il traffico non passi, sicuramente a livello di filtri firewall sui protocolli e (probabilmente) anche a livello di routing.

    Sempre nell'articolo che ho già citato, viene detto che l'unico host autorizzato per default verso le internal networks sia ISA server stesso.

    Anche perchè, fra l'altro, definendo la 10.x.y.z come internal, mancherebbe ancora il passaggio di definire il gateway da utilizzare.

    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    mercoledì 18 agosto 2010 12:16
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    Edoardo, sempre premesso che da qualche tempo non uso ISA (e quindi rischio di seguire logiche di firewalling diverse :-P) , mi sembra siamo nello scenario seguente :

    As an Internal network segment firewall. In this scenario, ISA Server is located between two Internal networks, configured with two network adapters. It routes and filters traffic between the networks, while effectively isolating them from each other.

    Penso che senza una regola specifica il traffico non passi, sicuramente a livello di filtri firewall sui protocolli e (probabilmente) anche a livello di routing.

    Sempre nell'articolo che ho già citato, viene detto che l'unico host autorizzato per default verso le internal networks sia ISA server stesso.

    Anche perchè, fra l'altro, definendo la 10.x.y.z come internal, mancherebbe ancora il passaggio di definire il gateway da utilizzare.


    forse la vediamo da due punti di vista diversi.

    quello che intendo dire io e che in isa2k6 posso mettere quante subnet voglio dentro la network definita internal, per comunicare da due sottoreti diverse dentro la network internal non ho bisogno di una network rule di route (che non posso creare perchè la network è una sola) ma posso, se non l'ho fatto, aver bisogno di una firewall rule (che io ho sul mio isa2k6 enterprise di test a casa) che permette tutto il traffico inbound e outbound tra internal e internal.

    anche nell'esempio di scenario che hai citato la cosa funziona se io ho due nics ed attribuisco ciascuna nic ad una network diversa (ad esempio internal1 e internal2) perchè voglio che isa intervenga nel traffico tra queste due networks distinte, ma posso altresì inserire entrambe le nics all'interno di una sola network internal qualora non me ne freghi nulla di vaidare o gestire il traffico tra le due sottoreti (che, a quel punto, potevo anche non segmentare almeno dal punto di vista di isa).

    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 18 agosto 2010 12:51
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Ok, però nel caso della domanda specifica ho una sola scheda (la 192.168.10.1) che farà routing dei pacchetti diretti verso la 10.x.y.z girandoli su 192.168.10.2

    In una situazione non ISA, andrei a mettere RRAS e userei il server come router.

    Con ISA, però, mi sembra di capire che RRAS viene spezzettato tra i vari strati del firewall.

    Allora la domanda che mi pongo è : basta mettere tutte e due le reti (192.168.10.x e 10.x.y.z) in un unico "calderone" (la network internal, appunto) oppure devo configurare i vari livelli di ISA per ottenere un lavoro di routing (che, in effetti, non è esattamente il lavoro di un firewall).

    In genere su altri firewall, a meno che le subnet non siano configurate tutte sulla stessa scheda come "secondary ip", anche le reti "sicure" vanno gestite e impostate a livello di routing.

    Sfrutto biecamente il tuo laboratorio, visto che io ho a disposizione altre tipologie di apparato :-)

    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    mercoledì 18 agosto 2010 12:59
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

     

    Allora la domanda che mi pongo è : basta mettere tutte e due le reti (192.168.10.x e 10.x.y.z) in un unico "calderone" (la network internal, appunto) oppure devo configurare i vari livelli di ISA per ottenere un lavoro di routing (che, in effetti, non è esattamente il lavoro di un firewall).


    la prima che hai detto è quella buona: quando collego il palmare al mio server win2k3 ent con isa2k6 ent per fare la sincronizzazione con outlook, il palmare prende un'indirizzo apipa e, fino quando non avevo incluso il range degli apipa nella internal ovviamente non funzionava una cippa (francesismo), ma quando ho aggiunto la subnet degli apipa alla internal tutto è andato... like a charm.
    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    mercoledì 18 agosto 2010 13:09
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare
    Se la logica di ISA è questa, capisco perchè faticavo a capirla :-P
    -- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Professional (FCNSP) Fortinet Certified Network Security Administrator (FCNSA)
    mercoledì 18 agosto 2010 13:39
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    Risolto grazie alle vostre spiegazioni varie.....comunque tra poco provo a toglierla ho trovato nei criteri di RRAS che sente prima le regole di ISA (quindi con tutti i blocchi del caso)  e poi quelli di RRAS.

    Alla fine ho risolto come avete detto voi aggiungendo la classe 10.0.1.0/28 nella rete internal ho creato una route a "manina" e cambiato i parametri a RRAS.....risultato funziona tutto.

     

    Grazie poi vi aggiorno sulla policy di RRAS se è essenziale oppure no

    mercoledì 18 agosto 2010 18:47
    |