No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 ISA Server 2000
 ISA 2000 - Installazione e configurazione
 ISA 2000 Dietro VPN CISCO
 New Topic  Reply to Topic
 Printer Friendly
Author Previous Topic Topic Next Topic  

mauamb79
Starting Member

3 Posts

Posted - 16/05/2008 :  09:54:53  Show Profile  Reply with Quote
Buongiorno a tutti, sono nuovo di questo forum ed volevo subito iniziare con una questione piuttosto complicata, almeno dal mio punto di vista
Il mio problema è il seguente:
Schema:

clients 10.0.0.0 -- ISA 2000 --- CISCO 800 A ---VPN--- CISCO 800 B --- clients 192.168.10.0

Su pc di isa ho impostato una rotta statica per fare uscire direttamente i clients della network 10.0.0.0 attraverso il router cisco 800 A.
Ottengo il seguente risultato:
Faccio un ping dalla 10.0.0.0 da qualsiasi client verso la 192.168.10.0 e ricevo i pacchetti di ritorno.
Dalla 192.168.10.0 qualsiasi cosa pingo non ricevo risposta.
Allora ho pensato che ISA blocca il ping poichè è una rete esterna e non trusted.
Ho aggiunto nella LAT di ISA 2000 la network 192.168.10.0 ed a questo punto non pingavo più niente.
Sapreste consigliarmi che regole dovrei creare su isa per far funzionare il tutto ??
Grazie Mille
Mauro
quote:

quote:

IsaCab
Moderator

4298 Posts

Posted - 16/05/2008 :  11:43:09  Show Profile  Reply with Quote
Ciao,

se la VPN si trova sulla external normale che il ping da B verso A non funzioni.

La rete external e la rete internal sono in NAT.

La rete B perch l'hai messa sulla esternal di ISA ?

Ciao Giulio

Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it

===== Prossimi Eventi Tecnici riservati alla Commmunity ======
ISA Server Jumpstart 2008 - Per conoscere davvero Microsoft ISA Server

Virtual Discovery 2008 - Una visione a 360 sulle soluzioni di virtualizzazione di Microsoft & VMware

Data e sede: dal 19 al 23 maggio - Reggio Emilia
Organizzazione: ISAserver.it, VOIPexperts.it
Sponsor: Microsoft, StoneVoice
Community: ISAserver.it, VMexperts.org, VOIPexperts.it
================================================
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

mauamb79
Starting Member

3 Posts

Posted - 16/05/2008 :  12:53:57  Show Profile  Reply with Quote
Ciao Giulio,
in realtà precedentemente avevo fatto la stessa riflessione:
FastEhternet 1 (router CISCO) per voip
FastEthernet 2 (CISCO) diretta ad ISA
FastEhternet 3 (CISCO) va allo switch/hub 3com
Essendo un cisco 830 non è possibile assegnare porta per porta gli ip così telecom ha assegnato un secondary alla FastEth1 (10.0.0.100)
Avendo collegato direttamente la porta 3 sulla rete e configurando nel LAT la rete 10.0.0.0 mi aspettavo di aver incluso la 10.0.0.0 sull'internal e nelle reti trusted ma ho ottenuto sempre lo stesso risultato.
Da tener presente che dalla rete B pingo tranquillamente il 10.0.0.100 quindi la VPN cisco-cisco è ok.
Quello che mi viene da pensare che con il Cisco 830 non potendo dividere fisicamente le reti c'è qualche impasto sul routing.
Se provi a forzare la route sul cisco naturalmente non lo permette dicendo che già conosce le route.
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 17/05/2008 :  11:06:20  Show Profile  Reply with Quote
Ciao,

quello che ti cerchi di fare contro natura (passami il termine)

Una rete External poco sicura e il compito di un firewall di proteggerla. A questo poi aggiungiamoci anche il NAT.

Tu riesci a fare il ping alla VPN Cisco semplicemnete perch come se tu facessi il ping ad un qualsiasi host posto su internet.

Il contrario non possibile (tranne forzature pericolose).

Quello che continup a non capire :

1) Questa VPN a cosa ti serve e cosa fa
2) Perch si trova a valle (Extarnal) di ISA


Se ho capito bene A e B sono due sedi e la VPN ti serve per mettere in WAN le sedi e fare VOCE + DATI.

Bene in questo caso la VPN va spostata a Monte di ISA e poi nella LAT devi semplicemente aggiungere la classe IP della sede remota.

Dove avessi capito male sarebbe utile che tu spiegassi meglio il tuo scenario.

Ciao Giulio

Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it

===== Prossimi Eventi Tecnici riservati alla Commmunity ======
ISA Server Jumpstart 2008 - Per conoscere davvero Microsoft ISA Server

Virtual Discovery 2008 - Una visione a 360 sulle soluzioni di virtualizzazione di Microsoft & VMware

Data e sede: dal 19 al 23 maggio - Reggio Emilia
Organizzazione: ISAserver.it, VOIPexperts.it
Sponsor: Microsoft, StoneVoice
Community: ISAserver.it, VMexperts.org, VOIPexperts.it
================================================
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

mauamb79
Starting Member

3 Posts

Posted - 19/05/2008 :  09:58:39  Show Profile  Reply with Quote
Ciao

credevo che dal mio secondo post si capisse che avevo gi probato a mettere sull'internal la rete 192.168.10.0 e inserendo nel LAT questa rete.

Provo a descrivere lo scenario:

SEDE A:

clients (10.0.0.0)--- ISA (10.0.0.2) --- CISCO 830
| |
| 10.0.0.100
switch 3com |----------------------|

L'interfaccia del cisco a cui stata assegnato l'ip 10.0.0.100
collegato direttamente sulla rete tramite lo switch di rete.
Quindi sulla rete interna. Teoricamente la 192.168.10.0 dovrebbe arrivare da questa interfaccia secondo telecom
Quindi mi aspettavo che il tutto funzionasse senza troppi problemi.
Avete idee o meglio suggerirmi cosa sto sbagliando ???
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 19/05/2008 :  20:23:36  Show Profile  Reply with Quote
Ciao,

dal disegno sembrava che la VPN fosse sulla external.

e la VPN sulla internal e non gestita da ISA sufficente mettere il range della sede remota nella LAT.

Chiaramente il defualt gateway deve in entrambe le sedi deve essere in grado di fare il suo lavoro.

Prova a fare un tracert dalla sede remota e vedi che strada prende.

Ciao Giulio

Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it

===== Prossimi Eventi Tecnici riservati alla Commmunity ======
ISA Server Jumpstart 2008 - Per conoscere davvero Microsoft ISA Server

Virtual Discovery 2008 - Una visione a 360 sulle soluzioni di virtualizzazione di Microsoft & VMware

Data e sede: dal 19 al 23 maggio - Reggio Emilia
Organizzazione: ISAserver.it, VOIPexperts.it
Sponsor: Microsoft, StoneVoice
Community: ISAserver.it, VMexperts.org, VOIPexperts.it
================================================
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page
  Previous Topic Topic Next Topic  
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso pi efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it  parte del network GITCA - Global IT Community Association