Despues de trabajar durante 2 años con isa 2000 sin problemas con todo tipo
de filtros, vpn y configuraciones y despues de 12 horas peleandome con el
isa 2004 no consigo hacerlo funcionar a nivel basico, me explico:
- Hago una copia total del sistema Windows 2000 server+Isa 2000 con el V2i
protector.
-Utilizo el asistente del isa 2004 para exportar la configuracion.
-Tomo nota de las rutas estaticas creadas manualmente configuradas en el
"enrutamiento y acceso remoto"
-Mi equipo tiene instaladas de tarjetas de red, una para la red interna y
otra para uso exclusivo con el router adsl configurado en monopuesto (La
direccion ip de la segunda tarjeta de red es la ip publica de internet)
Con todo el isa 2000 funcionando al 100% sin problemas, me dispongo a migrar
a isa 2004.
- Formateo el disco duro
- Hago una instalacion limpia de Windows 2003 Server Standard
- Configuro las dos tarjetas de red con los mismos valores de la antigua
instalacion.
- Hago que la maquina con Windows 2003 Server recien instalado sea miembro
del controlador principal de domio de mi red interna (Asi era como estaba
configurado anteriormente).
- Instalo el Isa 2004 de forma que los clientes firewall sean compatibles
con la instalacion del isa 2004
- Importo la configuracion del fichero .xml generado a partir del isa 2000
- Reinicio el equipo.
Conclusiones:
-El host local no navega
-Los clientes no navegan
-El ping a la puerta de enlace del router adsl no contesta. (Realizado desde
el servidor isa)
Entonces hago lo siguiente:
-Restauro la configuracion del isa 2004 a la original justo despues de la
instalacion.
-Creo una regla para permitir todo a todos.
-Desligo al servidor del isa como miembro del dominio principal.
-Reinicio el equipo.
Conclusiones:
-El host local no navega
-Los clientes no navegan
-El ping a la puerta de enlace del router adsl no contesta.(Realizado desde
el servidor isa)
Pruebo entonces lo siguiente:
Como tengo un segundo router adsl configurado como multipuesto donde la
puerta de enlace es una direccion ip de mi red interna, modifico los valores
de la tarjeta de red externa con una direccion ip de mi red interna y la
puerta de enlace de la segunda adsl.
Resultado:
-El host local navega
-Los clientes pueden ahora navegar
-El ping a la nueva puerta de enlace del router adsl si contesta (Realizado
desde el servidor isa)
-El servidor genera errores de configuracion porque la red externa incluye
rutas que pertenecen a la red interna.
Despues de mas de 12 horas de pruebas y leyendo la documentacion del isa
2004 me planteo las siguientes preguntas:
1.- ¿Debe el servidor isa 2004 configurarse como miembro de un controlador
primario de dominio?.
2.- Para que el servidor isa 2004 pueda validarse como miembro de un dominio
debe tener configurada la su dns en el adaptador de red interno.
¿ en isa 2004 afecta esto negativamente en la configuracion?.
3.-El router adsl que conecta con internet en isa 2004 ¿debe configurarse
como monopuesto o multipuesto?.
4.-Para que pueda hacer ping a la puerta de enlace del router adsl y por
tanto tener conectividad para navegar desde el host local y los clientes, he
comprobado que debes definir la direccion ip de la puerta de enlace como
parte del rango de las direcciones ip de la red interna. ¿Es esto correcto?.
5.-En isa 2000 los clientes externos cuando accedian a mi red interna via
vpn se auntentificaban con un usuario y contraseña ubicado en el A.D del
dominio principal del cual era miembro isa 2000. ¿Debe seguirse el mismo
procedimiento para isa 2004?.
En isa 2000 me funciona perfectamente esta configuracion:
Tarjeta de Red Interna
IP: 192.168.1.236
MASCARA: 255.255.255.0
GATEWAY: NINGUNA
DNS PRIMARIA: 192.168.1.246 (IP DEL CONTROLADOR PRIMARIO DE DOMINIO)
Tarjeta de Red Externa
IP: 80.47.69.57 (ip inventada en este post para ilustrar
la configuracion)
MASCARA 255.255.255.0
GATEWAY: 80.47.69.1
LAT DEL ISA 2000
De 192.168.1.0 a 192.168.6.255
De 53.0.0.0 a 53.255.255.255 (Red remota en el perimetro de mi red
unida via router frame relay)
Tambien tengo configuradas ciertas rutas estaticas para redirigir ciertas
peticiones a internet para que se enruten contra un servidor proxy ubicado
en la red 53.x.x.x
La tarjeta de red externa esta conectada al router adsl y este a la linea
telefonica, la ip del adaptador de red externo es la del isp, de este modo
el router trabaja en monopuesto, no existe nat y cualquier paquete que llega
al router adsl es pasado sin ningun tipo de filtro al servidor isa que debe
hacer todo el trabajo de cortafuegos. Esta era la configuracion recomendada
en isa 2000.
Con la misma configuracion para isa 2004 en los adaptadores de red interno y
externo no tengo respuesta de ping desde el host local a la ip 80.47.69.1
Para tenerlo tuve que definir la direccion ip 80.47.69.1 como ip asociada a
la red interna.¿Es correcto?.
Les ruego una ayuda con los procedimientos practicos iniciales para tener
conectividad y sin errores de clientes firewall en el visor de eventos y en
las alertas.
Una vez conseguido esto, podre configurar las reglas para afinar la
configuracion.
P.D.: Siempre que hablo de isa 2004 es partiendo de una instalacion limpia
de Windows 2003 Server+Isa 2004.
Espero sus comentarios.
Gracias.
Leer las respuestas