No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
 All Forums
 ISA Server - Infrastrutture
 Generale - Infrastrutture Sicure
 Configurazione VPN e ISA Server 2000

Note: You must be registered in order to post a reply.
To register, click here. Registration is FREE!

Screensize:
UserName:
Password:
Format Mode:
Format: BoldItalicizedUnderlineStrikethrough Align LeftCenteredAlign Right Horizontal Rule Insert HyperlinkInsert EmailInsert Image Insert CodeInsert QuoteInsert List
   
Message:

* HTML is OFF
* Forum Code is ON
Smilies
Smile [:)] Big Smile [:D] Cool [8D] Blush [:I]
Tongue [:P] Evil [):] Wink [;)] Clown [:o)]
Black Eye [B)] Eight Ball [8] Frown [:(] Shy [8)]
Shocked [:0] Angry [:(!] Dead [xx(] Sleepy [|)]
Kisses [:X] Approve [^] Disapprove [V] Question [?]

 
   

T O P I C    R E V I E W
Tecno214 Posted - 09/01/2007 : 08:55:50
Riprendendo un post che avevo inseritro nella sezione ISA Server 2000...

HO un Server con istallato Windows Server 2000 sul quale la nostra vecchia ditta che ci teleassistiva ha aperto una VPN ad uso teleassistenza appunto.
Sullo stesso server che fa da Gateway, risiede anche ISA Server 2000 con le relative policy di configurazione.
Affiancato a questo server ce n'è un altro che ha le funzioni di dominio (Utenti e gruppi, DHCP, DNS, WINS, file server, antivirus centralizzato...).
Il mio intento è quello di configurare la VPN in modo da accettare la connessione da mio portatile quando sono in giro per le varie conferenze ecc...
Collegandosi in http all'indirizzo pubblico del gateway è stata inserita una password che non fa capo nè a quelle dei gruppi presenti in dominio, ne a quelle della macchina gateway, quindi pesumo sia una password del router che non conosco!

C'è un modo senza ricorrere a stratagemmi esterni peraltro poco funzionali (leggasi Hamachi con connessione lenta)?
18   L A T E S T    R E P L I E S    (Newest First)
Tecno214 Posted - 11/01/2007 : 15:47:41
Per la cronaca ho risolto anche il doscoros della navigazione internet disabilitando nelle proprietà TCP-Ip della scheda remota il flag su "Ottieni gateway da rete remota"...
E comunque si poteva anche risolvere inserendo il NET BIOS del pc remoto in uno dei criteri "liberi" di ISA Server 2000...

Sto andando avanti con i miei testing su ISA 2004, un bel passo avanti rispetto al 2000 e mi sembra pure un pò adatto ai principianti come me.
Seguiro articoli e news su questa e sulla versione 2006 con molto interesse.

BUON ANNO A TUTTI DI NUOVO!
Tecno214 Posted - 11/01/2007 : 12:51:52
Seguire il forum assiduamente sarà un piacere, in fondo si cresce anche con i forum, questa discussione ne è un esempio lampante!

Per l'invito cercherò di non mancare, impegni famifliari permettendo..
Invito sempre valido se passate in zona Firenze comunque!

IsaCab Posted - 11/01/2007 : 11:03:27
Ciao Tecno214,

quote:
Ti do un bell'+ 2.........
..

Grazie mille

quote:
Una sola cosa ho registrato, molto probabilmente divuta al fatto che il gateway non era ben settato sulla VPN, nel senso che, una volta ottenuto l'indirizzo della VPN il gateway di default del mio pc di casa si è spostato dal mio router al router/Gateway aziendale, inibendomi di fatto la possibilità di navigare in internet.


Si è normale, puoi risolvere anche autorizzando da ISA i client della VPN ad andare su Internet.

Purtroppo ricordo poco si ISA 2000, quindi non riesco a scriverti la regola per bene, ma se passi a ISA2004/2006 allora ......

quote:
Quando passi in zona Firenze fammelo sapere, ti devo ben più di un ringraziamento.


Figurati, è stato un piacere.
Se tieni sotto controllo www.isaserver.it vedrai che prima o poi Luca organizza qualche incontro su Isa Server e magari se ci sei ci incontriamo li anche per un caffè.


Ciao Giulio


------------------------------------------------
Giulio Martino
Avaya IP Office TCLA

Technical Writer e Supporter di ISAServer.it
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
------------------------------------------------
Tecno214 Posted - 11/01/2007 : 10:56:45
Ti do un bell'+ 2...........

Mi sono appena autenticato con successo sulla rete aziendale dal computer di casa che sto controllando in remoto tramite server VNC......
Adesso abiliterò il controllo remoto aprendo la relativa porta sul mio pc, mi sembra che renda un po di più in questo modo!
Il ping oltretutto mi sembra discreto, attorno ai 60 costanti, non paragonabile alla LAN interna ma che ti lascia trasferire tranquillamente i files senza tanti problemi.

Una sola cosa ho registrato, molto probabilmente divuta al fatto che il gateway non era ben settato sulla VPN, nel senso che, una volta ottenuto l'indirizzo della VPN il gateway di default del mio pc di casa si è spostato dal mio router al router/Gateway aziendale, inibendomi di fatto la possibilità di navigare in internet.
Ho disabilitato tramite le proprietà di TCP/IP della connessione VPN il gateway e vedrò se alla prossima riconnessione il problema è scomparso.
PEr intento non so che dirti....
Senza il tuo aiuto adesso sarei a cercare ancora soluzioni alternative e poco sicure.
Quando passi in zona Firenze fammelo sapere, ti devo ben più di un ringraziamento.

Tecno214
IsaCab Posted - 11/01/2007 : 10:25:36
Ciao Tecno214,

quote:
1) Ho cercato nelle regole di Routing e Accesso Remoto quali membri erano abilitati alla VPN notando che non erano membri del dominio (active directory) ma membri del gruppo RAS/VPN del computer gateway..
Ho aggiunto come regola anche l'accesso agli utenti del gruppo Active directory (gestito da un altro server con W2003) nel quale naturalemntecompaio con pieni poteri


ora si che mi piace

quote:
ma, ahime, continuo a non entrare in VPN.


Dopo aver fatto la modifica in RRAS e aver aggiunto il gruppo o l'utente del dominio, devi abilitare gli utenti dalla mmc di AD.

Apri la mmc di AD, seleziona l'utente che vuoi usare per la connessione VPN, nelle proprità -> Tab Chiamate in Ingresso, devi abilitare il flag 'Consenti Accesso'.


quote:
3) Ho infine pensato che il router filtri l'IP del chiamante e lasci passare solo quelli che la famigerata ditta ha bilitato precludendo di fatto l'IP della mia internet personale per esempio.
E' una possibilità o sto sparando a caso?


Certo che è possibile, ma se così fosse, credo che non ti verrebbe fuori neanche la mascherina di autenticazione.


Ciao Giulio

------------------------------------------------
Giulio Martino
Avaya IP Office TCLA

Technical Writer e Supporter di ISAServer.it
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
------------------------------------------------
Tecno214 Posted - 11/01/2007 : 10:12:12
Infatti penso proprio che l'assistenza remota mi sia data tramite questo meccanismo di VPN...

Sono andato oltre, leggendo i vostri consigli..
1) Ho cercato nelle regole di Routing e Accesso Remoto quali membri erano abilitati alla VPN notando che non erano membri del dominio (active directory) ma membri del gruppo RAS/VPN del computer gateway..
Ho aggiunto come regola anche l'accesso agli utenti del gruppo Active directory (gestito da un altro server con W2003) nel quale naturalemntecompaio con pieni poteri ma, ahime, continuo a non entrare in VPN.

2) Ho pensato allora di vedere se su ISa server c'erano regole da editare in merio ma non ho trovato nulla di significativo!
Magari posso verificare qualcosa di specifico?

3) Ho infine pensato che il router filtri l'IP del chiamante e lasci passare solo quelli che la famigerata ditta ha bilitato precludendo di fatto l'IP della mia internet personale per esempio.
E' una possibilità o sto sparando a caso?

4) Non mi viene in mente altro da controllare ma sono sicuro che con il vostro aiuto entrerò in VPN...
Intanto LOG ME IN mi ha piacevolmente sorpreso per la velocità di connessione anche se non sono ancora riuscito a capire come trasferire eventuali files tra hot e guest.
Molto meglio di Hamachi. almeno dietro firewall!

IsaCab Posted - 10/01/2007 : 20:05:47
Ciao Tecno214

quote:
2)Creando una nuova connessione per esempio con Windows XP, impostandola di tipo VPN e digitando l'indirizzo ESTERNO del gateway, ottengo una maschera di autenticazione del tipo NOME UTENTE/PASSWORD/DOMINIO, sulla quale naturalemente mi fermo non disponendo delle relative credenziali.


Da quello che mici ora sembra che il server VPN sia già attivo.
E se è così allora l'utente con cui si entra in VPN puo essere o un utente di AD (Bisogna prima abilitarlo nella mmc di AD), quindi.......


quote:
SE posso fare controlli mirati suggeritemene pure alcuni!



Visto che parli di Routing ed accesso remoto allora hai già tutto quello che ti serve.

quote:
3)ADSL tipo SpeedWay Basic con Telecon Italia Datacom, 4 ip statici


Ok.

quote:
4) Il server ha ben 4 schede di rete ma quella che gestisce la connessione internet riporta....
IP 172.20.80.10 Gateway Predefinito 172.20.80.1 (il router)


A cosa ti servono tutte quelle schede ?? :-))

In tutti i casi la scheda external puo' essere solo una e visto che hanno usato una classe Ip privata 172.20.x.x, allora il router fa anche il NAT versol'esterno (Ma non centra nulla).

quote:
Se faccio un telnet sul router arrivo alla tanto famigerata password!


Il tuo router prevede anche la gestione via web, quindi se non è stata disabilitata dovresti poterci accedere via browser.

Per la password puoi provare quelle di defualt (www.google.it) e se sono state cambiate poco male.

Diciamo che se è confermato che RRAS è installato e dall'esterno una volta configurato il client alla connessione VPN (pptp) riesci ad arrivare alla fase di autenticazione, l'accesso al router per ora non ti serve perchè hanno già impostato il forwarding dall'IP pubblico alla interfaccia external di ISA.


Ciao Giulio


------------------------------------------------
Giulio Martino
Avaya IP Office TCLA

Technical Writer e Supporter di ISAServer.it
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
------------------------------------------------
Tecno214 Posted - 10/01/2007 : 19:28:14
Ti rispondo con piacere....

1) No, non ci sono server pubblicati che mi risultino..
La mia supposizione la verifico anche nella apposita scehrmata di ISA "Publishing/Server publishing Rules" schermata completamente bianca.

2)Creando una nuova connessione per esempio con Windows XP, impostandola di tipo VPN e digitando l'indirizzo ESTERNO del gateway, ottengo una maschera di autenticazione del tipo NOME UTENTE/PASSWORD/DOMINIO, sulla quale naturalemente mi fermo non disponendo delle relative credenziali.
Una volta autenticato con un indirizzo assegnato tramite le regole di "Routing e accesso remoto" credo che il "visitatore diventi membro a tutti gli effetti della LAN nella quale poi, tramite software tipo Real VNC (ne sono testimoni i numerosi server VNC istallati sui client) prende possesso della postazione da assistere..
SE posso fare controlli mirati suggeritemene pure alcuni!

3)ADSL tipo SpeedWay Basic con Telecon Italia Datacom, 4 ip statici

4) Il server ha ben 4 schede di rete ma quella che gestisce la connessione internet riporta....
IP 172.20.80.10 Gateway Predefinito 172.20.80.1 (il router).
Se faccio un telnet sul router arrivo alla tanto famigerata password!

IsaCab Posted - 10/01/2007 : 16:51:37
Ciao Tecno214,

Digicom Michelangelo LAN è un router con integrato firewall.

Più che altro sarebbe utile sapere :

1) Hai server interni pubblicati su internet (www,exchange,.....)
2) Per VPN cosa intendi ? Da quello che ci siamo detti fino ad ora, sembra di più che venga utilizzato un sistema di controllo remoto via Browser, e se è così è facile scoprirlo.
3) Che tipo di ADSL hai e con quale fornitore ?
4) Controlla sul server ISA, che indirizzo ip e che gateway sono inseriti.


Ciao Giulio

------------------------------------------------
Giulio Martino
Avaya IP Office TCLA

Technical Writer e Supporter di ISAServer.it
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
------------------------------------------------
Tecno214 Posted - 10/01/2007 : 16:29:53
Perfetto, e io conto di aggiornarVi ad ogni mia mossa che intenderò fare...

Passo numero uno..
Il router in questione ha più l'aspetto di un modem visto che presenta UN SOLO ATTACCO per eventuali gateway, ma questo poco importa..
Il modello è un Digicom Michelangelo LAN C.

Le sue funzioni penso siano limitate a fornire connettività verso internet e, penso, a nattare verso il server che ospita ISA e che fa da gateway a tutta la struttura tutte le chiamate che provengono dall'esterno sulla VPN..
Questa è la mia supposizione!
Se ci sono software che riescano ad individuarne le attività e volete consigliarmene uno saro un consiglio ben apprezzato...
Se invece vi interessano eventuali configurazioni esistenti su ISA non avete che da chiedermi; naturalmente il "grosso" è stato realizzato dalla vecchia ditta di teleassistenza salvo alcune piccole aggiunte per cui non sarei in grado di dirvi con precisione millimentrica cosa e stato e cosa non è stato fatto!

GRazie di tutto e sopratutto grazie della disponibilità!

IsaCab Posted - 10/01/2007 : 13:18:45
Sorry, ho messo una virgola di troppo :

www.isaserver.it/articoli


Ciao Giulio

------------------------------------------------
Giulio Martino
Avaya IP Office TCLA

Technical Writer e Supporter di ISAServer.it
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
------------------------------------------------
IsaCab Posted - 10/01/2007 : 13:16:53
Ciao Tecno214,

quote:
Innanzitutto un grandioso ringraziamento a tutti, difficilmente riesco a palpare così tanta familiarità in un forum.....


grazie, i complimenti sono sempre graditi. :-)

quote:
Quello che mi preoccupa a che vi siano configurazioni particolari che tengono in piedi la nostra intranet nella sua totalità anche se, a una più attenta analisi, mi sembra che la sola funzione del ruoter incriminato sia quella di garantire la connettività ad internet!


Possiamo preparare una check-list di controlli da fare per verificare cosa fa il tuo router, per poi pter procedere alla sostituzione in maniera indolore.

Es.

1) Connettività internet (cosa, come, quando e perchè..)
2) Servizi interni pubblicati, web,smtp,pop3, vpn ... (Come sopra..)
3) Livello di sicurezza attuale (Il router è anche un firewall ? Se si cosa fa ? )
.... e altre che ora non mi vendono in mente.


quote:
Per quanto riguarda il discorso dei pieni poteri da assegnarmi credo che il problema sia da ricercare in una diatriba che, nel frattempo e cominciata tra la nostra società e la ditta di teleassistenza la quale si è vista tagliare di netto la mole di lavoro una volta inserita all'interno una figura di supporto hardware-software come la mia, che seppur in fase di pieno apprendimento, riesco comunque a risolvere i comuni problemi di una qualsiasi rete LAN, togliendo di fatto importanti fatturati a ditte che prima avevano in gestione questo aspetto..



Purtroppo succede sempre così, la serietà è un opzional. Invece di fare i bambini e negarti la password, potrebbero intrapendere un discorso nuovo con te, e cercare di cambiare gli scenari per rimanere anche se in tono minore, all'interno della tua azienda.
Ma questo discorso è meglio non proseguirlo..........



quote:
P.S.: Sto già testando su macchina virtuale la potenzialità di ISA 2004 abbinata a WServer 2003...
I miei primi pareri sono tutti positivi,


La versione 2004/2006 di ISA è una vera forza. A parte le belle novità in termini di sicurezza che sono state introdotte, ti permette in maniera molto amichevole, di tenere la tua rete sotto controllo e di poter decidere cosa, come e quando fare, in maniera davvero molto semplice ed intuitiva.

Così giusto per discquisire, puoi dare un occhiata su www.isaserver.it/articoli, dove ci sono già diverse news su ISA server e altre ne verranno in futuro.

quote:
Vi chiederò poi lumi su un eventuale futuro e indolore up-grade dei miei sistemi!


Quando vuoi ci trovi qui.

Ciao e buon lavoro

Giulio

------------------------------------------------
Giulio Martino
Avaya IP Office TCLA

Technical Writer e Supporter di ISAServer.it
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
------------------------------------------------
Tecno214 Posted - 10/01/2007 : 12:59:23
Innanzitutto un grandioso ringraziamento a tutti, difficilmente riesco a palpare così tanta familiarità in un forum.....

L'up-grade dei sistemi a versioni più recenti è SENZA OMBRA DI DUBBIO un passo da percorrere partendo neanche troppo da lontano visto che comunque l'informatica va avanti e, sopratutto in ambito di sicurezza e bene rimanere sempre al passo con i tempi.
Certamente la soluzione Hamachi o software similari non è la più ottimale ma è l'unica soluzione che ho trovato percorribile nell'immediato, disconoscendo tra l'altro gli altri software proposti in alternativa.

Agire sul router non credo sia un problema visto che posso anche contare sul vostro appoggio... Quello che mi preoccupa a che vi siano configurazioni particolari che tengono in piedi la nostra intranet nella sua totalità anche se, a una più attenta analisi, mi sembra che la sola funzione del ruoter incriminato sia quella di garantire la connettività ad internet!
Quindi anche la soluzione del cambio router mi sembra percorribile!

Per quanto riguarda il discorso dei pieni poteri da assegnarmi credo che il problema sia da ricercare in una diatriba che, nel frattempo e cominciata tra la nostra società e la ditta di teleassistenza la quale si è vista tagliare di netto la mole di lavoro una volta inserita all'interno una figura di supporto hardware-software come la mia, che seppur in fase di pieno apprendimento, riesco comunque a risolvere i comuni problemi di una qualsiasi rete LAN, togliendo di fatto importanti fatturati a ditte che prima avevano in gestione questo aspetto..
Da li è nato il netto rifiuto di fornirmi le credenziali di accesso del router..

P.S.: Sto già testando su macchina virtuale la potenzialità di ISA 2004 abbinata a WServer 2003...
I miei primi pareri sono tutti positivi, Vi chiederò poi lumi su un eventuale futuro e indolore up-grade dei miei sistemi!
IsaCab Posted - 09/01/2007 : 18:10:57
Buonasera a tutti e ciao Tecno214,

Facciamo un breve riepilogo su cosa fare per realizzare una VPN sicura :

[Teoria]

Una VPN sicura dovrebbe prevedere che sia la fase di autenticazione che le succesive comunicazione siano criptate. Per fare questo gli strumenti che ci occorrono sono :

1) Una autorità di certificazione (CA).

2) Un VPN ti tipo L2TP/IPSEC

3) Un Firewall che monitorizzi le connessioni VPN e permetta di gestirne i criteri.

4) Sistema operativo che supporti IpSec

Riportando il tutto alla famiglia microsoft abbiamo :

1) Autorità di certificazione Microsoft (fornita con i sistemi operativi server) totalmente gratuita.

2) RRAS (Routing and Remote Access Server) fornito sempre con i sistemi operativi server e totalmente gratuita.

3) Isa Server versione 2004 o meglio 2006

4) Windows server 2003


[Tecno214]

Nel tuo caso, per procedere e rendere l'accesso VPN alla tua rete il più sicuro possibile credo che la strada da seguire sia la seguente :

1) Upgrade dei sistemi operativi server alla versione 2003
2) Upgrade di ISA server alla versione 2004/2006
3) Prendere il controllo del router
4) Eliminare altre modalità di accesso di cui tu non hai il pieno controllo.


Capisco che lo sforzo potrebbe essere eccessivo, ma i benefici di una soluzione di questo tipo, avendo tu anche una infrastruttura con AD, sono impagabili.


Tra l'altro, non sei obbligato a farlo tutto di un fiato, ma puoi partire con una soluzione PPTP (poco sicura ma funzionante) e poi un po' per volta iniziare la migrazione.

[DIVAGAZIONE]
...lo so che non sono affari miei, ma credo che come amministratore della rete tu debba pretendere il pieno controllo della tua infrastruttura in modo tale che come sistemista ed admin della rete tu possa garantirne l'affidabilità e la sicurezza. Tieni conto che le operazioni da fare sul router sono abbastanza semplici, quindi una volta ottenuto l'accesso (se non telo danno, cambia il router :-)), qui possiamo sempre aiutarti noi.


Ciao e buon lavoro

------------------------------------------------
Giulio Martino
Avaya IP Office TCLA

Technical Writer e Supporter di ISAServer.it
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
------------------------------------------------
lconte Posted - 09/01/2007 : 16:37:45
Se non hai il controllo del router allora non puoi raggiungere il tuo server VPN che gli sta dietro.

La soluzione percorribile temporaneamente e' quella con tool terze parti, quali LogMeIn, disponibile anche in versione Free. https://secure.logmein.com/welcome/get_logmein_free/signup.asp

Nota: LogMeIn ha preso il controllo anche di Hamachi.

Altro prodotto e' GoToMyPC:
https://www.gotomypc.com

Farei una prova utilizzando LogMeIn Free che sicuramente e' progettato meglio e piu' performante di Hamachi.

Luca Conte
MCSE:Security MCT MCSA:Security
Ideatore di ISAServer.it

**********************************************
- Analisi e Progettazione di infrastrutture sicure
- Consulenza tecnica e affiancamento
- Security Testing
- Training on the Job
- Seminari tecnici su tecnologie Microsoft

per ulteriori info scrivi una mail a lconte<at>isasever<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
Tecno214 Posted - 09/01/2007 : 16:05:25
Si, il router fa anche da NAT ma, come ripeto, non posso amministrarlo direttamente in quanto proprietà della ditta (password comprese) che ci ha fornito assistenza fino a sei mesi fa.
Il contratto con loro acedrà a Marzo, quindi vorrei trovare una momentanea soluzione che avevo intravisto nell'usare la VPN che sta ancora in piedi tra loro e noi inserendo eventualmente delle policy che mi autorizzino ad accedere da remoto come voglio io...

Ma credo che anche così si debba intervenire sul router!
lconte Posted - 09/01/2007 : 12:37:25
Ciao Tecno214,
per la VPN con ISA2000 puoi seguire le indicazioni - link - che ti ha fornito Giulio nel tuo precedente post su forum dedicato a ISA 2000.

La tua infrastruttura e' cosi' schematizzabile:

LAN <-> ISA <-> R <->Internet

Il Router - R - ti fa da NAT? In questo caso puoi utilizzare, se non aggiorni il tuo server Win2K+ISA2K a Win2K3+ISA2k4/ISA2K6 solo PPTP.

Inoltre e' necessario che lavori sul tuo router affinche' crei una associazione statica, IP-Porta, fra l'IP interfaccia Esterna di ISA e l'IP Pubblico del Router; cosi' che tutto il traffico indirizzato all'IP del router venga inoltrato all'interfaccia esterna di ISA. In questo modo puoi anche pubblicare servizi interni - es. Server di posta, FTP Server, Web Server ecc. - con il tuo ISA 2000.

Se vuoi invece pubblicare ISA 2000 SOLO come server VPN devi inoltrare, sul tuo router, almeno il seguente traffico:

Source: Any
Destination: IP ISA Esterna
Direction: Inbound
Protocol: TCP
Port: 1723

Source: Any
Destination: IP ISA Esterna
Direction: Inbound
Protocol: GRE (IP Protocol ID=47)

Per ulteriori info sui filtri guarda qui:
http://support.microsoft.com/kb/324262/en-us

Luca Conte
MCSE:Security MCT MCSA:Security
Ideatore di ISAServer.it

**********************************************
- Analisi e Progettazione di infrastrutture sicure
- Consulenza tecnica e affiancamento
- Security Testing
- Training on the Job
- Seminari tecnici su tecnologie Microsoft

per ulteriori info scrivi una mail a lconte<at>isasever<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
Tecno214 Posted - 09/01/2007 : 08:57:28
Doveroso post scriptum...

Sono amministratore della rete da poco tempo, sei mesi, quindi disconosco tutte le configurazioni fatte sulla VPN un annetto e mezzo fa quando è stata aperta.

ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso più efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it è parte del network GITCA - Global IT Community Association