W2003Server Servidor de Seguridad Basico NAT.

27/10/2007 - 16:50 por I.P.- | Informe spam
Estimados Expertos,

Por favor, a ver si alguien me puede dar solucion a un problemilla que
tengo.

Servidor Windows 2003 Server STD
2 Adaptadores de RED: "INTRANET - (192.168.1.X)" e "INTERNET -
(192.168.2.X)"
Router ADSL 192.168.2.X
Configurado Enrutamiento y acceso remoto con Servidor de seguridad basico o
NAT

Todo funciona aparentemente perfecto desde hace unos 2 meses.
Los puestos clientes (5 clientes) pueden navegar perfectamente atraves de la
web, y me imagino que con algo mas de seguridad, que si estuvieramos
haciendolo directamente desde el router.
Soy consciente que el servidor de serguridad, como su propio nombre indica
es BASICO, pero para este entorno en concreto, me parece que cumple
perfectamente su funcion.

Mi problema viene a raiz de que una de las maquinas clientes, necesita hacer
una conexion al puerto 21, a nuestro servidor (ISP externo) de FTP. No hay
manera de conectar. Creia que el problema era el IE, instalando un cliente
de FTP y seguimos con el bloqueo.

Estuve mirando las opciones del RAS pero la verdad, me lia un poco todo eso?
Donde y como tendria yo que dar "salida" al puerto 21? En el adaptador
INTERNET o INTRANET? OJO, no quiero aceptar peticiones al puerto 21 en mi
servidor. NO TENGO SERVIDOR FTP LOCAL. Necesito conectarme a un FTP externo.

Si alguien me puede ayudar, estaria muy agradecido.

Gracias por vuestro tiempo.

Salu2
IP

Preguntas similare

Leer las respuestas

#1 Desiderio Ondo.
29/10/2007 - 10:34 | Informe spam
Hola, I.P.-:

Sinceramente, creo que se trata más de un problema de firewall
al exterior (y/o configuración de tu router externo) antes que el
servicio RAS de tu <server>. No obstante, como es conveniente
cubrir todos los frentes, te recomiendo hagas:

1.- Configuración del servicio RAS en w2k3 server:
http://support.microsoft.com/defaul.../826156/es

2.- En caso en que tengas firewall hardware, revisa las reglas de
acceso al exterior (es posible que tengas denegado explícitamente
el acceso por TCP-21). NOTA: Extensible tambien al caso en que
tengas algún ISA server. Más info:

Control de acceso seguro con ISA server 2k4:
http://www.microsoft.com/spain/isas...eguro.mspx

Whitepapers de acceso con ISA server 2k6 (en inglés):
http://www.microsoft.com/spain/isas...apers.mspx

3.- Revisa los puertos de salida de tu router conectado al WWW.
Es posible que tengas explícitamente des-habilitado el TCP-21.
Puedes hacerte una idea de cómo reconfigurarlo mirando si tu
modelo pertenece a alguno de los listados en: http://www.adslayuda.com
donde hallará mucha información sobre su uso.

NOTA. Si por el contrario, tu modelo es un Cisco, mejor echa un
vistazo en la web pertinente de Cisco:
(http://www.cisco.com/web/LA/productos/routers.html)
·
·
Espero haberte servido de "alluda"
==Desiderio Ondo Oyana.
Ingeniero en Informática.
Microsoft® Certified Systems Engineer
http://pantuflo.escet.urjc.es/~desitech


"I.P.-" wrote:

Estimados Expertos,

Por favor, a ver si alguien me puede dar solucion a un problemilla que
tengo.

Servidor Windows 2003 Server STD
2 Adaptadores de RED: "INTRANET - (192.168.1.X)" e "INTERNET -
(192.168.2.X)"
Router ADSL 192.168.2.X
Configurado Enrutamiento y acceso remoto con Servidor de seguridad basico o
NAT

Todo funciona aparentemente perfecto desde hace unos 2 meses.
Los puestos clientes (5 clientes) pueden navegar perfectamente atraves de la
web, y me imagino que con algo mas de seguridad, que si estuvieramos
haciendolo directamente desde el router.
Soy consciente que el servidor de serguridad, como su propio nombre indica
es BASICO, pero para este entorno en concreto, me parece que cumple
perfectamente su funcion.

Mi problema viene a raiz de que una de las maquinas clientes, necesita hacer
una conexion al puerto 21, a nuestro servidor (ISP externo) de FTP. No hay
manera de conectar. Creia que el problema era el IE, instalando un cliente
de FTP y seguimos con el bloqueo.

Estuve mirando las opciones del RAS pero la verdad, me lia un poco todo eso?
Donde y como tendria yo que dar "salida" al puerto 21? En el adaptador
INTERNET o INTRANET? OJO, no quiero aceptar peticiones al puerto 21 en mi
servidor. NO TENGO SERVIDOR FTP LOCAL. Necesito conectarme a un FTP externo.

Si alguien me puede ayudar, estaria muy agradecido.

Gracias por vuestro tiempo.

Salu2
IP



Respuesta Responder a este mensaje
#2 Cmte SPY
29/10/2007 - 13:55 | Informe spam
Hola Desiderio,
MUCHAS GRACIAS POR TU ATENCION Y RESPUESTA!!!
La cosa no es tan simple. Contesto tus comentarios y a ver si podemos
seguir con el tema:

-
Sinceramente, creo que se trata más de un problema de firewall
al exterior (y/o configuración de tu router externo) antes que el
servicio RAS de tu <server>. No obstante, como es conveniente
cubrir todos los frentes, te recomiendo hagas:


-
Hummm...el RAS, funciona aparentemente todo correcto. VPN OK, enruta las
2 redes LAN y WAN correctamente. No he visto nada raro en el visor de
sucesos. De todos modos lo repasaré esta tarde.




2.- En caso en que tengas firewall hardware, revisa las reglas de
acceso al exterior (es posible que tengas denegado explícitamente
el acceso por TCP-21). NOTA: Extensible tambien al caso en que
tengas algún ISA server. Más info:


No tengo ni FIREWALL hardware ni el ISA. Un Win 2003 STD normal y
corriente. Mi router, tambien del monton. Los que pone el operador de
DSL. Para que tengas un idea, desde el mismo servidor, SI PUEDO
CONECTARME A UN FTP sin problemas. Mi problema es desde los clientes.
Ten en cuenta que mi puerta de enlace es la IP de mi Server y el DNS
tambien. Ya el ROUTER y el Servidor se comunican atraves de otro rango
de IPs. Me da la sensacion que es ese NAT el que me bloquea la salida a
FTP externo.
Te digo mas, desde los clientes, puedo navegar, meterme en web de bancos
con java y rollos que normalmente utilizan puertos raros de seguridad y
ningun problema. Todo perfecto. Es la salida al FTP la que me falla.

Volviendo al tema del Router...como te comento, es un router normal de
la operadora DSL. Igual que tenemos todos en casa. Lleva los puertos de
entrada a la LAN cerrados, pero de salida todo lo que quieras. De hecho,
si el router tuviera algun problema, desde el servidor, que esta en el
mismo rando de IPs que el router...no me dejaria salir tampoco.

He visto que puedo aplicar filtros y puertos a mis "dispositivos" LAN y
WAN del RAS / NAT. Por ejemplo en el dispositivo WAN, hay puertos
predeterminados para abrir, como por ejemplo el FTP, que es el 1º de la
lista. Pero aun que no controle mucho este tema, me da la sensacion que
esos puertos serian para habilitar ENTRADA desde internet a la red
local...y no es eso lo que necesito.

Buen amigo, no quiero machacarte aqui con un texto de 5 paginas... (creo
que ya lo he hecho)...

Esperaré tu proximo comentario a respeto, ahora que ya dispones de mas
informacion.

Un Saludo y MUCHISIMAS GRACIAS.

IP




Desiderio Ondo. escribió:
Hola, I.P.-:

Sinceramente, creo que se trata más de un problema de firewall
al exterior (y/o configuración de tu router externo) antes que el
servicio RAS de tu <server>. No obstante, como es conveniente
cubrir todos los frentes, te recomiendo hagas:

1.- Configuración del servicio RAS en w2k3 server:
http://support.microsoft.com/defaul.../826156/es

2.- En caso en que tengas firewall hardware, revisa las reglas de
acceso al exterior (es posible que tengas denegado explícitamente
el acceso por TCP-21). NOTA: Extensible tambien al caso en que
tengas algún ISA server. Más info:

Control de acceso seguro con ISA server 2k4:
http://www.microsoft.com/spain/isas...eguro.mspx

Whitepapers de acceso con ISA server 2k6 (en inglés):
http://www.microsoft.com/spain/isas...apers.mspx

3.- Revisa los puertos de salida de tu router conectado al WWW.
Es posible que tengas explícitamente des-habilitado el TCP-21.
Puedes hacerte una idea de cómo reconfigurarlo mirando si tu
modelo pertenece a alguno de los listados en: http://www.adslayuda.com
donde hallará mucha información sobre su uso.

NOTA. Si por el contrario, tu modelo es un Cisco, mejor echa un
vistazo en la web pertinente de Cisco:
(http://www.cisco.com/web/LA/productos/routers.html)
Respuesta Responder a este mensaje
#3 Cmte SPY
29/10/2007 - 14:05 | Informe spam
Desiderio,

IP, IP2000 y Cmte SPY somos la misma persona.
Sorry...un poco follon...pero estuve ajustando el mail, se me duplicaron
los mensajes...despues me equivoque en la config del cliente de mails...
Vamos...un desastre.
Creo que ya esta todo arreglado.

Puede llamarme IP o Cmte o Alex... rs

Muy amable.


Desiderio Ondo. escribió:
Hola, I.P.-:

Sinceramente, creo que se trata más de un problema de firewall
al exterior (y/o configuración de tu router externo) antes que el
servicio RAS de tu <server>. No obstante, como es conveniente
cubrir todos los frentes, te recomiendo hagas:

1.- Configuración del servicio RAS en w2k3 server:
http://support.microsoft.com/defaul.../826156/es

2.- En caso en que tengas firewall hardware, revisa las reglas de
acceso al exterior (es posible que tengas denegado explícitamente
el acceso por TCP-21). NOTA: Extensible tambien al caso en que
tengas algún ISA server. Más info:

Control de acceso seguro con ISA server 2k4:
http://www.microsoft.com/spain/isas...eguro.mspx

Whitepapers de acceso con ISA server 2k6 (en inglés):
http://www.microsoft.com/spain/isas...apers.mspx

3.- Revisa los puertos de salida de tu router conectado al WWW.
Es posible que tengas explícitamente des-habilitado el TCP-21.
Puedes hacerte una idea de cómo reconfigurarlo mirando si tu
modelo pertenece a alguno de los listados en: http://www.adslayuda.com
donde hallará mucha información sobre su uso.

NOTA. Si por el contrario, tu modelo es un Cisco, mejor echa un
vistazo en la web pertinente de Cisco:
(http://www.cisco.com/web/LA/productos/routers.html)
Respuesta Responder a este mensaje
#4 Desiderio Ondo.
29/10/2007 - 16:44 | Informe spam
Hola, Cmte SPY:

"Mi puerta de enlace es la IP de mi <server>...(..)" Es un detalle que me ha
llamado mucho la atención, ya que configurar la IP de un <server> como la
puerta de enlace es precisamente una de las 3 maneras de configurar un PC
como cliente PROXY/ISA (generalmente, dicho <server> suele ser PROXY).

A raíz de éstos nuevos datos, te recomiendo eches un buen vistazo a la conf.
de red (y de paso, DNS) de tu red corporativa, ya que posiblemente haya algo
raro por ahí. Recuerda que, como puerta de enlace se suele asignar la IP del
switch que interconecta el <server> con el resto de los nodos de la red,
mientras
que como DNS es muy recomendable configurar tanto en el <server> como en
los clientes únicamente la IP del servidor DNS de tu red corporativa (que, a
menos que hayas definido alguno explícitamente, suele ser el/los <DC> de la
red corporativa). Para más info, te recomiendo eches un vistazo a:

Configuración correcta del DNS:
http://www.microsoft.com/technet/pr...x?mfr=true

Configuración de un servidor DNS para usarlo con Active Directory:
https://www.microsoft.com/technet/p...c3a0a.mspx

Configuración de un gateway predeterminado:
http://www.microsoft.com/technet/pr...x?mfr=true
·
·
Espero haberte servido de "alluda"
==Desiderio Ondo Oyana.
Ingeniero en Informática.
Microsoft® Certified Systems Engineer
http://pantuflo.escet.urjc.es/~desitech


"Cmte SPY" wrote:

Hola Desiderio,
MUCHAS GRACIAS POR TU ATENCION Y RESPUESTA!!!
La cosa no es tan simple. Contesto tus comentarios y a ver si podemos
seguir con el tema:

-
Sinceramente, creo que se trata más de un problema de firewall
> al exterior (y/o configuración de tu router externo) antes que el
> servicio RAS de tu <server>. No obstante, como es conveniente
> cubrir todos los frentes, te recomiendo hagas:
-
Hummm...el RAS, funciona aparentemente todo correcto. VPN OK, enruta las
2 redes LAN y WAN correctamente. No he visto nada raro en el visor de
sucesos. De todos modos lo repasaré esta tarde.




2.- En caso en que tengas firewall hardware, revisa las reglas de
> acceso al exterior (es posible que tengas denegado explícitamente
> el acceso por TCP-21). NOTA: Extensible tambien al caso en que
> tengas algún ISA server. Más info:
No tengo ni FIREWALL hardware ni el ISA. Un Win 2003 STD normal y
corriente. Mi router, tambien del monton. Los que pone el operador de
DSL. Para que tengas un idea, desde el mismo servidor, SI PUEDO
CONECTARME A UN FTP sin problemas. Mi problema es desde los clientes.
Ten en cuenta que mi puerta de enlace es la IP de mi Server y el DNS
tambien. Ya el ROUTER y el Servidor se comunican atraves de otro rango
de IPs. Me da la sensacion que es ese NAT el que me bloquea la salida a
FTP externo.
Te digo mas, desde los clientes, puedo navegar, meterme en web de bancos
con java y rollos que normalmente utilizan puertos raros de seguridad y
ningun problema. Todo perfecto. Es la salida al FTP la que me falla.

Volviendo al tema del Router...como te comento, es un router normal de
la operadora DSL. Igual que tenemos todos en casa. Lleva los puertos de
entrada a la LAN cerrados, pero de salida todo lo que quieras. De hecho,
si el router tuviera algun problema, desde el servidor, que esta en el
mismo rando de IPs que el router...no me dejaria salir tampoco.

He visto que puedo aplicar filtros y puertos a mis "dispositivos" LAN y
WAN del RAS / NAT. Por ejemplo en el dispositivo WAN, hay puertos
predeterminados para abrir, como por ejemplo el FTP, que es el 1º de la
lista. Pero aun que no controle mucho este tema, me da la sensacion que
esos puertos serian para habilitar ENTRADA desde internet a la red
local...y no es eso lo que necesito.

Buen amigo, no quiero machacarte aqui con un texto de 5 paginas... (creo
que ya lo he hecho)...

Esperaré tu proximo comentario a respeto, ahora que ya dispones de mas
informacion.

Un Saludo y MUCHISIMAS GRACIAS.

IP




Desiderio Ondo. escribió:
> Hola, I.P.-:
>
> Sinceramente, creo que se trata más de un problema de firewall
> al exterior (y/o configuración de tu router externo) antes que el
> servicio RAS de tu <server>. No obstante, como es conveniente
> cubrir todos los frentes, te recomiendo hagas:
>
> 1.- Configuración del servicio RAS en w2k3 server:
> http://support.microsoft.com/defaul.../826156/es
>
> 2.- En caso en que tengas firewall hardware, revisa las reglas de
> acceso al exterior (es posible que tengas denegado explícitamente
> el acceso por TCP-21). NOTA: Extensible tambien al caso en que
> tengas algún ISA server. Más info:
>
> Control de acceso seguro con ISA server 2k4:
> http://www.microsoft.com/spain/isas...eguro.mspx
>
> Whitepapers de acceso con ISA server 2k6 (en inglés):
> http://www.microsoft.com/spain/isas...apers.mspx
>
> 3.- Revisa los puertos de salida de tu router conectado al WWW.
> Es posible que tengas explícitamente des-habilitado el TCP-21.
> Puedes hacerte una idea de cómo reconfigurarlo mirando si tu
> modelo pertenece a alguno de los listados en: http://www.adslayuda.com
> donde hallará mucha información sobre su uso.
>
> NOTA. Si por el contrario, tu modelo es un Cisco, mejor echa un
> vistazo en la web pertinente de Cisco:
> (http://www.cisco.com/web/LA/productos/routers.html)

Respuesta Responder a este mensaje
#5 Desiderio Ondo.
29/10/2007 - 16:50 | Informe spam
Hola, Cmte SPY:

Ah! En la comunidad del foro, somos muchos los que respondemos
a preguntas formuladas por usuarios, administradores, ingenieros...
y varias de las respuestas a veces no son al 100% correctas o, en
ocasiones existen otras posibilidades más viables de cara a la persona
que hace la consulta.

Con ésto, lo que quiero decirte es que por descracia, mis respuestas no
siempre son las más indicadas, y te ruego tengas también en cuenta lo
que pudieran recomendarte otros colaboradores del foro (especialmente
aquellos que tengan el reconocimiento MVP de Microsoft, que para algo
se lo han "currado").

No obstante, siempre que me sea posible, trataré de aportar mi granito
de arena, indicando soluciones que yo mismo aplicaría en tu situación. Si
en alguno de los casos notas un fallo en mis respuestas, te ruego trates de
corregirme y disculparme, ya que nadie es perfecto.
·
·
Espero haberte servido de "alluda"
==Desiderio Ondo Oyana.
Ingeniero en Informática.
Microsoft® Certified Systems Engineer
http://pantuflo.escet.urjc.es/~desitech


"Cmte SPY" wrote:

Desiderio,

IP, IP2000 y Cmte SPY somos la misma persona.
Sorry...un poco follon...pero estuve ajustando el mail, se me duplicaron
los mensajes...despues me equivoque en la config del cliente de mails...
Vamos...un desastre.
Creo que ya esta todo arreglado.

Puede llamarme IP o Cmte o Alex... rs

Muy amable.


Desiderio Ondo. escribió:
> Hola, I.P.-:
>
> Sinceramente, creo que se trata más de un problema de firewall
> al exterior (y/o configuración de tu router externo) antes que el
> servicio RAS de tu <server>. No obstante, como es conveniente
> cubrir todos los frentes, te recomiendo hagas:
>
> 1.- Configuración del servicio RAS en w2k3 server:
> http://support.microsoft.com/defaul.../826156/es
>
> 2.- En caso en que tengas firewall hardware, revisa las reglas de
> acceso al exterior (es posible que tengas denegado explícitamente
> el acceso por TCP-21). NOTA: Extensible tambien al caso en que
> tengas algún ISA server. Más info:
>
> Control de acceso seguro con ISA server 2k4:
> http://www.microsoft.com/spain/isas...eguro.mspx
>
> Whitepapers de acceso con ISA server 2k6 (en inglés):
> http://www.microsoft.com/spain/isas...apers.mspx
>
> 3.- Revisa los puertos de salida de tu router conectado al WWW.
> Es posible que tengas explícitamente des-habilitado el TCP-21.
> Puedes hacerte una idea de cómo reconfigurarlo mirando si tu
> modelo pertenece a alguno de los listados en: http://www.adslayuda.com
> donde hallará mucha información sobre su uso.
>
> NOTA. Si por el contrario, tu modelo es un Cisco, mejor echa un
> vistazo en la web pertinente de Cisco:
> (http://www.cisco.com/web/LA/productos/routers.html)

Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida