No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 ISA Server 2004
 ISA 2004 - Installazione e Configurazione
 INTEGRAZIONE Access point
 New Topic  Reply to Topic
 Printer Friendly
Author Previous Topic Topic Next Topic  

wassistemy
Junior Member

82 Posts

Posted - 10/03/2011 :  12:23:07  Show Profile  Reply with Quote
Ciao a tutti e ciao Giulio
Ho integrato un AP con ip statico e regolare chiave di accesso in un dominio (2 dc e 1 isa 2004).
L'AP funziona correttamente per le macchine inscritte in AD.
Ho l'esigenza che 3 pc debbano usare wire per sfruttare i servizi LAN e le loro applicazioni interne alla LAN ed hanno istallato il firewall client per le rule di limitazione ai contenuti web.
Vorrei che ogli ospiti esterni momentanei dopo essersi logati con chiave dell'AP potessero usufruire dei servizi web mantenendo le restrizioni del dominio presente ma soprattutto le rule di isa.
Ho già visualizzato un errore 403 http denied da isa (1202).
Consigli?
Grazie

IsaCab
Moderator

4298 Posts

Posted - 10/03/2011 :  12:49:03  Show Profile  Reply with Quote
Ciao,

il massimo sarebbe un AP dedicato messo in una DMZ dedicata con delle rule dedicate.

In questo modo hai il pieno controllo del AP e del traffico da e verso le diverse reti gestite da ISA.

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

wassistemy
Junior Member

82 Posts

Posted - 10/03/2011 :  13:28:13  Show Profile  Reply with Quote
ok cosa devo fare?
Go to Top of Page

wassistemy
Junior Member

82 Posts

Posted - 10/03/2011 :  13:29:32  Show Profile  Reply with Quote
sia su isa che su AP si intende
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 10/03/2011 :  13:36:44  Show Profile  Reply with Quote
Ciao,

tutto sommato è abbastanza semplice :

1) Scheda di rete nuova su ISA
2) La nuova scheda la definisci come DMZ in route con la internal e in NAT con la esternal
3) L'AP lo metti sulla DMZ e gli abiliti il DHCP sulla classe IP definita per la DMZ (differente da tutte le altre)
4) Fai una rule da DMZ verso External per i protocolli che vuoi far utilizzare (es. http, pop3, smtp, ftp)


Quindi quando un ospite ha bisogno di internet gli dai l'SSID e la PWD del tuo AP, si collega, prende l'ip e naviga ed in nessun modo potra comunicare con la LAN a meno di non fare delle Access rule specifiche .

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

wassistemy
Junior Member

82 Posts

Posted - 10/03/2011 :  14:48:47  Show Profile  Reply with Quote
capito. Ma i client interni inscritti a dominio che utilizzano l'AP?
Go to Top of Page

wassistemy
Junior Member

82 Posts

Posted - 10/03/2011 :  16:44:58  Show Profile  Reply with Quote
Più concretamente e nel dettaglio:
1) Scheda di rete nuova su ISA (mancha ma non è un problema installarla)
2) La nuova scheda la definisci come DMZ in route con la internal e in NAT con la esternal (l'ip deve essere pubblico o un ip statico della lan interna oppure un'altro range?)
3) L'AP lo metti sulla DMZ e gli abiliti il DHCP sulla classe IP definita per la DMZ (differente da tutte le altre) a conferma di quato chiedo al punto 2
4) Fai una rule da DMZ verso External per i protocolli che vuoi far utilizzare (es. http, pop3, smtp, ftp)


Go to Top of Page

wassistemy
Junior Member

82 Posts

Posted - 10/03/2011 :  16:46:44  Show Profile  Reply with Quote
scusa se rompo e per ultima cosa.
Come fanno i cliente wire del dominio a lavorare?
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 11/03/2011 :  08:54:43  Show Profile  Reply with Quote
Ciao,

quote:
La nuova scheda la definisci come DMZ in route con la internal e in NAT con la esternal (l'ip deve essere pubblico o un ip statico della lan interna oppure un'altro range?)


Direi che una classe IP Privata diversa da tutte le altre puo' andare bene.

quote:
Come fanno i cliente wire del dominio a lavorare?


Qui hai due strade :

1) Usi lo stesso AP (SSID) e fai regole diverse (un po complicato se devi avere accesso pieno alla LAN)

2) Fai due WiFi differenti : Una per la LAN, magari con un po di sicurezza in più (radius, filtro MAC, no brodcast ssid, etc etc ) e una per gli ospiti in DMZ.

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

ThE_RaV3N
Junior Member

127 Posts

Posted - 22/04/2011 :  00:57:02  Show Profile  Reply with Quote
Abiliti il server radius sul DC e abiliti l'autenticazione radius sull'AP, censisci gli users esterni su AD rendendoli utenti limitati( o ristretti il più possibile) nel dominio.

Crei uno user per la lettura del global catalog di AD (utente limitato che abbia solo i permessi di lettura del catalogo) con il quale l'AP farà delle request di autenticazione verso il DC per verificare le credenziali immesse dall'utente.

Penso che basti se non hai altre esigenze particolari lato security ... tanto senza password del domain admin non si possono joinare al dominio. Altrimenti segmenti fisicamente il tutto e distingui la cosa in due AP; uno per la LAN e uno per gli esterni che devono solo usufruire di internet (come suggerito da Giulio sopra).

Ciauz

- - - - - - - - - - - - -
La personalità non si afferma con le idee ma con le scelte

Edited by - ThE_RaV3N on 22/04/2011 00:57:25
Go to Top of Page
  Previous Topic Topic Next Topic  
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso più efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it è parte del network GITCA - Global IT Community Association