ISA Server 2004 - VPN (Ya no doy mas!!!)

09/02/2005 - 18:16 por Mauricio Marin T. | Informe spam
Amigos,

Espero puedan ayudarme y darme una guía para poder solucionar un
problema que me tiene hace semanas trancado sin poder salir de este tema..


el escenario es el siguiente


un ISA SERVER (192.168.12.22)
.- Que tiene una interfaz WAN conectada a u router sin problemas
.- La interfaz lan no tiene puerta de enlace, pero participa de otras redes
de la compañía, de hecho mi PC está en otro segmento de red y tiene como
puerta de enlace un Catalyst que me sirve de enrutador que me lleva hasta un
firewall que actualmente esta en funcionamiento (Que pretendemos migrar).
.- TEngo una ruta creada route -p add 192.168.2.0 MASK 255.255.255.0
192.168.12.1 para que la interfaz LAN del ISA pueda ver mi segmenteo de red
(192.168.2.X)


hasta ahí todo bien. Me veo con el ISA sin problemas, tengo el cliente
instalado y navego, etc, todo bien..

ahora, instale el servicio VPN de ISA Server, que se que trabaja con el
Routing and Remote Access de 2003, hasta ahi todo bien, configure todo como
debía y contesta las llamadas ip, se autentifican los usuarios y hasta el
momento todo bien..

el rango de direcciones IP Asignadas a las VPN es 192.168.100.X

el problema es cuando los usuarios de la VPN quieren acceder a los recursos
de la red.

.- Creé la regla de ruteo desde el segmento de ip's de los Cliente VPN hasta
la INTERNAL
.- Creé la regla de ruteo desde el segmento INTERNAL hacia la RED VPN
.- en acces Policy , di acceso a todos los protocolos desde la internal
hasta la RED VPN
.- Lo mismo desde la VPN hacia la INTERNAL..
.- EL grupo de ip´s de VPN Tambien esta en la regla que da salida FULL a
todos los usuarioa a internet, y aún así no NAVEGAN...




QUE PUEDO HACER!!!!!!!!

Preguntas similare

Leer las respuestas

#1 Ivan [MS MVP]
09/02/2005 - 17:41 | Informe spam
Si el problema unicamente radica en que los clientes VPN no tienen acceso a
internet, creo que te falta una regla de acceso. Debes permitir los
protocolos necesarios desde la red VPN, hacia la red externa a los usuarios
que quieras autorizar.
Ten en cuenta que ISA soporta clientes VPN como clientes SecureNAT y por lo
tanto, en principio, no necesitarias configurar el navegador para usar proxy
ni instalar el cliente firewall siempre y cuando las DNS que utilizan los
clientes VPN puedan resolver nombres en internet. Ten en cuenta ademas, que
en la reglas de acceso puedes utilizar usuarios o grupos del dominio ya que
se utiliza la autentificacion que el cliente ha usado al establecer el tunel
VPN.
Si configuras el navagador para usar proxy, ten en cuenta esto:
http://www.isaserver.org/tutorials/...lient.html

Un saludo.
Ivan
MS MVP ISA Server


"Mauricio Marin T." escribió en el
mensaje news:%
Amigos,

Espero puedan ayudarme y darme una guía para poder solucionar un
problema que me tiene hace semanas trancado sin poder salir de este tema..


el escenario es el siguiente


un ISA SERVER (192.168.12.22)
.- Que tiene una interfaz WAN conectada a u router sin problemas
.- La interfaz lan no tiene puerta de enlace, pero participa de otras
redes de la compañía, de hecho mi PC está en otro segmento de red y tiene
como puerta de enlace un Catalyst que me sirve de enrutador que me lleva
hasta un firewall que actualmente esta en funcionamiento (Que pretendemos
migrar).
.- TEngo una ruta creada route -p add 192.168.2.0 MASK 255.255.255.0
192.168.12.1 para que la interfaz LAN del ISA pueda ver mi segmenteo de
red (192.168.2.X)


hasta ahí todo bien. Me veo con el ISA sin problemas, tengo el cliente
instalado y navego, etc, todo bien..

ahora, instale el servicio VPN de ISA Server, que se que trabaja con el
Routing and Remote Access de 2003, hasta ahi todo bien, configure todo
como debía y contesta las llamadas ip, se autentifican los usuarios y
hasta el momento todo bien..

el rango de direcciones IP Asignadas a las VPN es 192.168.100.X

el problema es cuando los usuarios de la VPN quieren acceder a los
recursos de la red.

.- Creé la regla de ruteo desde el segmento de ip's de los Cliente VPN
hasta la INTERNAL
.- Creé la regla de ruteo desde el segmento INTERNAL hacia la RED VPN
.- en acces Policy , di acceso a todos los protocolos desde la internal
hasta la RED VPN
.- Lo mismo desde la VPN hacia la INTERNAL..
.- EL grupo de ip´s de VPN Tambien esta en la regla que da salida FULL a
todos los usuarioa a internet, y aún así no NAVEGAN...




QUE PUEDO HACER!!!!!!!!







Respuesta Responder a este mensaje
#2 Ivan [MS MVP]
09/02/2005 - 22:01 | Informe spam
No, para nada, volver a ISA 2000 es andar para atras como los cangrejos ;-)
ni se te ocurra. ISA 2004 es superior en todos los aspectos a ISA 2000 y ami
modo de ver mucho mas sencillo y versatil a la hora de administrar. Si me
dajas decirte algo, creo que tu fallo ha sido ponerte a implementar algo en
produccion sin antes probarlo y las prisas son malas compañeras. Usando
por ejemplo Virtual PC/Server o VMware, podrias haber simulado todo este
entorno perfectamente y una vez teniendo claro como hay que realizar la
implementacion, es mucho mas dificil equivocarse.

Lo primero que debes verificar es que los clientes VPN reciben en su
configuracion IP los DNS y WINS del dominio interno, es asi ?
Si la respuesta es si, puedes hacer un ping a estas IPs ? si tal como dices,
permites tosdos los protocolos desde la red VPN hacia la red interna,
deberias poder. En caso contrario, puede ser por dos motivos
principalmante:
1-Los permisos en la regla de acceso VPN clients- red interna. Prueba
primero a permitir a todos los usuarios.
2-Los DNS y WINS internos no tienen como default gateway la IP interna del
ISA.

Has probado a usar los logs en tiempo real de ISA ? si filtras para ver solo
las peticiones de lo clientes VPN, podras ver si alguna regla deniega las
peticiones y esto te facilitaria mucho la labor.

Otra cuestion. Cuando dices:
.- Creé la regla de ruteo desde el segmento de ip's de los Cliente VPN
hasta la INTERNAL
.- Creé la regla de ruteo desde el segmento INTERNAL hacia la RED VPN



Te refieres a que has creado dos reglas de red nuevas: VPN clients-Red
interna y Interna-VPN ? quizas aqui tienes el problema. Por defecto estas
reglas existen y ya estan creadas, NO debes configurar nada. Tampoco
necesitas crear una red que agrupe a las IPs de los clientes VPN ya que ISA
genera esta red de forma dinamica.

Te recomiendo que si has creado alguna regla de red, la elimines y si has
definido alguna red eliminala tambien.Elimina las reglas de acceso que esten
utilizando estas redes. Realiza un backup del ISA antes. Una vez que estan
eliminadas, crea estas reglas de acceso:
1-Una regla que permite todos los protocolos desde la red Interna hacia la
red VPNClients a todos los usuarios.
2-Una regla que permite todos los protocolos desde la red Interna hacia la
red Externa a todos los usuarios.
3-Una regla que permite todos los protocolos desde la red VPNClients hacia
la red Interna a todos los usuarios.
4-Una regla que permite todos los protocolos desde la red VPNClients hacia
la red Externa a todos los usuarios.

Basicamente, lo que trato de decirte es que no debes crear ninguna red ni
regla de red y utilices las que por defecto proporciona ISA. Si con esto te
funciona, luego tendras que afinar las reglas y pemritir solo lo necesario.

Un saludo.
Ivan
MS MVP ISA Server
""Mauricio Marín T."" escribió en el
mensaje news:eru%
Ivan ,

Muchas gracias por tu ayuda. Hize las pruebas, di los accesos y
efectivamente los clientes VPN navegan en internet, pero como NO pueden
tener acceso a los recursos de la LAN, no pueden resolver nombre, ya que
en la lan tengo los DNS y el WINS.

Aún no puedo hacer para que los clientes VPN tengan acceso a los recursos
de la LAN. Mañana reinstalo el server, el ISA, y todo para crear de
nuevo el server y seguir los pasos como corresponde.

¿Será mejor instalar ISA SErver 2000 que es mas simple en el tema de
Networking?


Saludos!

Ivan [MS MVP] wrote:
Si el problema unicamente radica en que los clientes VPN no tienen acceso
a internet, creo que te falta una regla de acceso. Debes permitir los
protocolos necesarios desde la red VPN, hacia la red externa a los
usuarios que quieras autorizar.
Ten en cuenta que ISA soporta clientes VPN como clientes SecureNAT y por
lo tanto, en principio, no necesitarias configurar el navegador para usar
proxy ni instalar el cliente firewall siempre y cuando las DNS que
utilizan los clientes VPN puedan resolver nombres en internet. Ten en
cuenta ademas, que en la reglas de acceso puedes utilizar usuarios o
grupos del dominio ya que se utiliza la autentificacion que el cliente ha
usado al establecer el tunel VPN.
Si configuras el navagador para usar proxy, ten en cuenta esto:
http://www.isaserver.org/tutorials/...lient.html

Un saludo.
Respuesta Responder a este mensaje
#3 Mauricio Marín T.
09/02/2005 - 22:25 | Informe spam
Ivan ,

Muchas gracias por tu ayuda. Hize las pruebas, di los accesos y
efectivamente los clientes VPN navegan en internet, pero como NO pueden
tener acceso a los recursos de la LAN, no pueden resolver nombre, ya que
en la lan tengo los DNS y el WINS.

Aún no puedo hacer para que los clientes VPN tengan acceso a los
recursos de la LAN. Mañana reinstalo el server, el ISA, y todo para
crear de nuevo el server y seguir los pasos como corresponde.

¿Será mejor instalar ISA SErver 2000 que es mas simple en el tema de
Networking?


Saludos!

Ivan [MS MVP] wrote:
Si el problema unicamente radica en que los clientes VPN no tienen acceso a
internet, creo que te falta una regla de acceso. Debes permitir los
protocolos necesarios desde la red VPN, hacia la red externa a los usuarios
que quieras autorizar.
Ten en cuenta que ISA soporta clientes VPN como clientes SecureNAT y por lo
tanto, en principio, no necesitarias configurar el navegador para usar proxy
ni instalar el cliente firewall siempre y cuando las DNS que utilizan los
clientes VPN puedan resolver nombres en internet. Ten en cuenta ademas, que
en la reglas de acceso puedes utilizar usuarios o grupos del dominio ya que
se utiliza la autentificacion que el cliente ha usado al establecer el tunel
VPN.
Si configuras el navagador para usar proxy, ten en cuenta esto:
http://www.isaserver.org/tutorials/...lient.html

Un saludo.
Respuesta Responder a este mensaje
#4 Ivan [MS MVP]
09/02/2005 - 22:42 | Informe spam
Respecto a esta frase:
Si me dajas decirte algo, creo que tu fallo ha sido ponerte a implementar
algo en produccion sin antes probarlo y las prisas son malas
compañeras.



Disculpame, no me habia fijado en tu primer post y, por tu idea de volver a
ISA 2000, he pensado que quizas estabas un poco presionado. Lo dicho, mis
disculpas.

Un saludo.
Ivan
MS MVP ISA Server

"Ivan [MS MVP]" escribió en el mensaje
news:
No, para nada, volver a ISA 2000 es andar para atras como los cangrejos
;-) ni se te ocurra. ISA 2004 es superior en todos los aspectos a ISA 2000
y ami modo de ver mucho mas sencillo y versatil a la hora de administrar.
Si me dajas decirte algo, creo que tu fallo ha sido ponerte a implementar
algo en produccion sin antes probarlo y las prisas son malas
compañeras. Usando por ejemplo Virtual PC/Server o VMware, podrias
haber simulado todo este entorno perfectamente y una vez teniendo claro
como hay que realizar la implementacion, es mucho mas dificil equivocarse.

Lo primero que debes verificar es que los clientes VPN reciben en su
configuracion IP los DNS y WINS del dominio interno, es asi ?
Si la respuesta es si, puedes hacer un ping a estas IPs ? si tal como
dices, permites tosdos los protocolos desde la red VPN hacia la red
interna, deberias poder. En caso contrario, puede ser por dos motivos
principalmante:
1-Los permisos en la regla de acceso VPN clients- red interna. Prueba
primero a permitir a todos los usuarios.
2-Los DNS y WINS internos no tienen como default gateway la IP interna del
ISA.

Has probado a usar los logs en tiempo real de ISA ? si filtras para ver
solo las peticiones de lo clientes VPN, podras ver si alguna regla deniega
las peticiones y esto te facilitaria mucho la labor.

Otra cuestion. Cuando dices:
.- Creé la regla de ruteo desde el segmento de ip's de los Cliente VPN
hasta la INTERNAL
.- Creé la regla de ruteo desde el segmento INTERNAL hacia la RED VPN



Te refieres a que has creado dos reglas de red nuevas: VPN clients-Red
interna y Interna-VPN ? quizas aqui tienes el problema. Por defecto estas
reglas existen y ya estan creadas, NO debes configurar nada. Tampoco
necesitas crear una red que agrupe a las IPs de los clientes VPN ya que
ISA genera esta red de forma dinamica.

Te recomiendo que si has creado alguna regla de red, la elimines y si has
definido alguna red eliminala tambien.Elimina las reglas de acceso que
esten utilizando estas redes. Realiza un backup del ISA antes. Una vez que
estan eliminadas, crea estas reglas de acceso:
1-Una regla que permite todos los protocolos desde la red Interna hacia la
red VPNClients a todos los usuarios.
2-Una regla que permite todos los protocolos desde la red Interna hacia la
red Externa a todos los usuarios.
3-Una regla que permite todos los protocolos desde la red VPNClients hacia
la red Interna a todos los usuarios.
4-Una regla que permite todos los protocolos desde la red VPNClients hacia
la red Externa a todos los usuarios.

Basicamente, lo que trato de decirte es que no debes crear ninguna red ni
regla de red y utilices las que por defecto proporciona ISA. Si con esto
te funciona, luego tendras que afinar las reglas y pemritir solo lo
necesario.

Un saludo.
Ivan
MS MVP ISA Server
""Mauricio Marín T."" escribió en el
mensaje news:eru%
Ivan ,

Muchas gracias por tu ayuda. Hize las pruebas, di los accesos y
efectivamente los clientes VPN navegan en internet, pero como NO pueden
tener acceso a los recursos de la LAN, no pueden resolver nombre, ya que
en la lan tengo los DNS y el WINS.

Aún no puedo hacer para que los clientes VPN tengan acceso a los recursos
de la LAN. Mañana reinstalo el server, el ISA, y todo para crear de
nuevo el server y seguir los pasos como corresponde.

¿Será mejor instalar ISA SErver 2000 que es mas simple en el tema de
Networking?


Saludos!

Ivan [MS MVP] wrote:
Si el problema unicamente radica en que los clientes VPN no tienen
acceso a internet, creo que te falta una regla de acceso. Debes permitir
los protocolos necesarios desde la red VPN, hacia la red externa a los
usuarios que quieras autorizar.
Ten en cuenta que ISA soporta clientes VPN como clientes SecureNAT y por
lo tanto, en principio, no necesitarias configurar el navegador para
usar proxy ni instalar el cliente firewall siempre y cuando las DNS que
utilizan los clientes VPN puedan resolver nombres en internet. Ten en
cuenta ademas, que en la reglas de acceso puedes utilizar usuarios o
grupos del dominio ya que se utiliza la autentificacion que el cliente
ha usado al establecer el tunel VPN.
Si configuras el navagador para usar proxy, ten en cuenta esto:
http://www.isaserver.org/tutorials/...lient.html

Un saludo.






email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida