Problema con firewall + ISA Server

[Pepe]

Tengo una instalacion, en la cual la delegacion y la sede central estan
unidas con dos firewall DLink. En la sede central, detras del Firewall
DLink, hay un ISA Server 2004, este tiene 3 tarjetas de red, una a la red
interna, y las otras dos al firewall.
La VPN entre los firewall DLink funciona perfectamente, desde la delegacion
llego a la tarjeta externa del ISA. Y desde el ISA llego a los equipos de la
otra red.
El problema esta cuando desde la delegacion, intento acceder a otro de los
servidores de la red interna o si desde otro equipo de la central que no sea
el ISA, intento acceder a uno de los equipos de la delegacion.
En el ISA he creado una red, con el rango de la delegacion y una regla de
red con relacion de ruta. Tambien he creado una directiva que permita el
acceso.

Un saludo

[Rodrigo de los Santos]

No me queda claro porque tenes dos interfaces de red contra el mismo
firewall DLINK...
En el 98% de los casos (no me arriesgo un 2% más...:) suele ser un problema
de ruteo. Asegurate que las rutas estén bien configuradas (los default
gateways mal configurados o configurados a otro lado lo que implica rutas
estáticas)
puedes verificar con Live Logging si el paquete llega al isa y lo descarta
por algúna policy.

Calculo tambien que entre esa Interface y la Red Interna haya una relacíón
de Route (si es una relación de NAT vas a tener que publicar los servicios
que queres ofrecer de los servidores en la interface que le apunta al DLINK)

Estaría bueno si nos dibujas un gráfico como esto

<lan>---<isa>---<dlink>---<otrodlink>---<delegación>
^
|
<internet??>

Cada < ó > ó ^ hace referencia a una placa de red conectada a una red
física.
--

Saludos

Rodrigo de los Santos
rodrigo.delossantos at mug.org.ar
rodrigo at dlssolutions.net
------------------------------------------------
MVP - Windows Server - Group Policy
MCP - CCA - CNA
Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)
------------------------------------------------
Url: http://www.dlssolutions.net
Blog: http://nerdsupport.blogspot.com
------------------------------------------------

"Pepe" <anon...@microsoft.com> wrote in message
news:ucovKw6v...@TK2MSFTNGP03.phx.gbl...

[Pepe]

Lo de las tres tarjetas de red, es por que me lo recomendaron, tampoco lo
tengo muy claro del todo, el porque de esta tercera tarjeta.
Intento dibujar el grafico.

ISA Server DFL-800 Internet
Internet DFL-200 Equipos remotos

>Tarjeta red interna

> Tarjeta red VPN >LAN
>LAN

> Tarjeta red router >DMZ

No se si con esto es suficiente, si necesitas alguna indicacion mas, me lo
indicas.

Gracias

[Rodrigo de los Santos]

NO se si quedo claro quizas se trunco a los 72 caracteres y se te fuie el
dibujo al garete.

Pregunta: esas dos placas de red estan en la misma subnet (digo, tienen un
rango ip igual yu la misma mascara?)
¿el default gateway de tu ISA hacia donde apunta?
¿el equipo dlink es el que te levanta las VPN y además te da internet?
Cual es el default gateway de los servidores ? la ip interna del ISA?

--

Saludos

Rodrigo de los Santos
rodrigo.delossantos at mug.org.ar
rodrigo at dlssolutions.net
------------------------------------------------
MVP - Windows Server - Group Policy
MCP - CCA - CNA
Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)
------------------------------------------------
Url: http://www.dlssolutions.net
Blog: http://nerdsupport.blogspot.com
------------------------------------------------

"Pepe" <anon...@microsoft.com> wrote in message

news:%23ISToSl...@TK2MSFTNGP06.phx.gbl...

[Pepe]

CENTRAL

ISA Server
1ª tarjeta red Interna 172.31.38.15/24
2ª Tarjeta red VPN 192.168.2.10/24
3ª Tarjeta red Router 192.168.1.10/24 Puerta enlace 192.168.1.1

D-Link DFL-800
LAN 192.168.2.1/25
DMZ 192.168.1.1/24

DELEGACION
DFL-200
LAN 192.168.2.129/25

Como indico arriba, solo la tarjeta de red, llamada ROUTER, tiene puerta de
enlace, y apunta al DFL-800.
Efectivamente, los DLink, son los que levantan la VPN.
Y el gateway de los servidores, apunt a la IP interna del ISA.

[Rodrigo de los Santos]

Si subneteas la red 192.168.2.0/25 te va a quedar parte de la 192.168.1.0/24
dentro de esa subnet...
por ende el router la va a tomar como local y no la va a hacer pasar del
otro lado del router.

No me queda claro tampoco porque desde ambos lados del router tenes la misma
clase. Esa VPN se arma como si fuese un enlace tipo bridge?.... los dlink
los configuraste vos? o te los puso tu proveedor del vinculo?

--

Saludos

Rodrigo de los Santos
rodrigo.delossantos at mug.org.ar
rodrigo at dlssolutions.net
------------------------------------------------
MVP - Windows Server - Group Policy
MCP - CCA - CNA
Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)
------------------------------------------------
Url: http://www.dlssolutions.net
Blog: http://nerdsupport.blogspot.com
------------------------------------------------

"Pepe" <anon...@microsoft.com> wrote in message

news:%23T$ogYmwH...@TK2MSFTNGP06.phx.gbl...

[Pepe]

No entiendo, por que dices, que una red va a quedar dentro de la otra.
La VPN la configure yo en los DLink, y esta funcionado bien, como indique al
principio tanto del servidor ISA, como los puestos de la delegacion se ven
entre ellos, lo que no consigo es acceder a la ren interna de la central. A
la tarjeta VPN del ISA si que llego, pero a la red local no.
"Rodrigo de los Santos" <rodrigo at dlssolutions dot net> escribió en el
mensaje news:29530FF7-2BA2-4188...@microsoft.com...

[Rodrigo de los Santos]

que pasa si haces un tracert desde la delegación a alguna IP interna???
donde se queda el paquete? Trataste de hacer Logging de los paquetes en el
ISA Server para ver si hay alguna regla que lo deniegue?

--

Saludos

Rodrigo de los Santos
rodrigo.delossantos at mug.org.ar
rodrigo at dlssolutions.net
------------------------------------------------
MVP - Windows Server - Group Policy
MCP - CCA - CNA
Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)
------------------------------------------------
Url: http://www.dlssolutions.net
Blog: http://nerdsupport.blogspot.com
------------------------------------------------

"Pepe" <anon...@microsoft.com> wrote in message

news:eAlGyuvw...@TK2MSFTNGP03.phx.gbl...

[Pepe]

Si hago un Tracert, a la IP interna, da Tiempo de espera agotado.
En el ISA no llega nada, creo que es mas bien cosa del DLink, cuando lanzas
algo contra la tarjeta del ISA Externa, no da errores, pero cuando es contra
la interna, estos son algunos de los mensajes que da el logging del DFL-200.

2007-07-11 10:14:55] <6>EFW: IPSEC: prio=1 Phase-2 [initiator] for
ipv4(icmp:0,[0..3]=192.168.2.129) and ipv4(icmp:0,[0..3]=172.31.38.1)
failed; No proposal chosen.

[2007-07-11 10:14:55] <4>EFW: IPSEC: prio=3 Authenticated notify "No
proposal chosen" from 213.201.30.242:4500 for protocol ESP spi[0..4]=78 9c
7a d4

[2007-07-11 10:14:44] <6>EFW: IPSEC: prio=1 Phase-2 [initiator] for
ipv4(icmp:0,[0..3]=192.168.2.129) and ipv4(icmp:0,[0..3]=172.31.38.1)
failed; No proposal chosen

"Rodrigo de los Santos" <rodrigo at dlssolutions dot net> escribió en el

mensaje news:C78939E0-9DAE-4D7E...@microsoft.com...

[Pepe]

Hola Rodrigo.

Estoy con el tema, tan pronto saque algo en claro, te lo hago saber.

Un saludo

"Rodrigo de los Santos" <rodrigo at dlssolutions dot net> escribió en el

mensaje news:AD9E01E6-043F-41A2...@microsoft.com...
> Para mi tiene que ver con la elección de las redes...
> NO entiendo porque de un lado del dlink y del otro tienes el mismo rango
> de
> red (es decir de ambos lados tienes 192.168.2.0/25 - pense que se iba a
> solapar con la 1.0/24 pero esa red estaría desde la 2.0 a la 3.254 pido
> disculpas!)
> Si un paquete con origen 192.168.2.130 (de la delegación) con destino
> (supongamos el ISA) 192.168.2.10... al mandarlo al medio no debería pasar
> por el router DLINK... ya que dicho paquete según la mascara es tratado
> como
> perteneciente a la red
> y no que deba saltar un router.
>
> Tampoco me queda claro porque dos interfaces contra un mismo dispositivo
> (El
> D-Link 800 tiene más de una interface LAN? estas usando Vlans?)
>
> Te adjunto un JPG de lo que yo supongo que vos tenes configurado
> (pepe.jpg)
> y de lo que a mí me parecería que deberías tener configurado...
> (loquepienso.jpg)
>
> Espero que te sirva

> --
>
> Saludos
>
> Rodrigo de los Santos
> rodrigo.delossantos at mug.org.ar
> rodrigo at dlssolutions.net
> ------------------------------------------------
> MVP - Windows Server - Group Policy
> MCP - CCA - CNA
> Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)
> ------------------------------------------------
> Url: http://www.dlssolutions.net
> Blog: http://nerdsupport.blogspot.com
> ------------------------------------------------
>
> "Pepe" <anon...@microsoft.com> wrote in message

> news:%23%23sPzP5w...@TK2MSFTNGP03.phx.gbl...

[Pepe]

Ya esta funcionando. El problema era que en los DLink, habia que añadir la
ruta de la red interna, solo estaba la de tarjeta que miraba al firewall.

Gracias por todo.

[Rodrigo de los Santos]

De nada amigo!! para eso estamos! :D

--

Saludos

Rodrigo de los Santos
rodrigo.delossantos at mug.org.ar
rodrigo at dlssolutions.net
------------------------------------------------
MVP - Windows Server - Group Policy
MCP - CCA - CNA
Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)
------------------------------------------------
Url: http://www.dlssolutions.net
Blog: http://nerdsupport.blogspot.com
------------------------------------------------

"Pepe" <anon...@microsoft.com> wrote in message

news:e6Nj12Yx...@TK2MSFTNGP02.phx.gbl...

[Pepe]

Haber si me puedes ayudar. Cuando intento conectar el Pc de la delegacion al
dominio, da error. En el ISA, da error en el Protocolo CIFS de Microsoft
(TCP), puerto 445, conexion denegada. He probado varias reglas y no he
conseguido nada, que hay que abrir en el ISA, para que el equipo de la
delegacion, pueda unirlo al dominio?

Un saludo.

"Rodrigo de los Santos" <rodrigo at dlssolutions dot net> escribió en el

mensaje news:C9019FD4-AF38-40B5...@microsoft.com...

[Rodrigo de los Santos]

Tenes varios protocols además de CIFS, tenes LDAP, RPC, Kerberos, etc. Te
aconsejo que abras todos y verifiques cuales son las conexiónes que hace y
luego cierres y dejes solamente los protocolos correspondientes.

--

Saludos

Rodrigo de los Santos
rodrigo.delossantos at mug.org.ar
rodrigo at dlssolutions.net
------------------------------------------------
MVP - Windows Server - Group Policy
MCP - CCA - CNA
Miembro del MUG Argentina (suscribite! http://www.mug.org.ar)
------------------------------------------------
Url: http://www.dlssolutions.net
Blog: http://nerdsupport.blogspot.com
------------------------------------------------

"Pepe" <anon...@microsoft.com> wrote in message

news:uld6QJ4x...@TK2MSFTNGP03.phx.gbl...

[Pepe]

He abierto todos los puertos, los que me indicas y mas. He mirado en las
directivas del sistema y no hay forma.Me sigue marcando Conexion denegada,
Puerto 445, protocolo: CIFS de Microsoft (TCP). Cada vez que intento unir el
equipo de la delegacion, me salta el error.
Si se te ocurre alguna idea mas.

Gracias

"Rodrigo de los Santos" <rodrigo at dlssolutions dot net> escribió en el

mensaje news:5D43881E-A0DA-460B...@microsoft.com...

[barb...@gmail.com]

Ya ha llovido desde que se posteó esta conversación pero bueno..

Pepe, tengo casi la misma configuración que tú: LAN1 - ISA - DFL-860 (vpn) -Internet- (vpn)CISCO - LAN2

El ISA se ha añadido después de los "routers vpn" y no estoy seguro de qué reglas crear en el ISA para que la VPN funcione bien. Ahora mismo está completamente cortada entre LAN1 y 2.

A ver si te llegara el mensaje :-)
Un saludo y gracias!

[vic...@asalsido.org]

Por si a alguien le sirve, decir que en su día lo que hice fue:
- usar la interfaz wan1 para el tráfico común de Internet ( Internet - DFL(wan1) - ISA - LAN1 )
- y la interfaz DMZ para el tráfico vpn ( LAN2 - CISCO -vpn--Internet--vpn- DFL(dmz) - LAN1 )

Saludos.