No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 ISA Server 2004
 ISA 2004 - Installazione e Configurazione
 ISA tra 2 subnet e un secondo firewall
 New Topic  Reply to Topic
 Printer Friendly
Author Previous Topic Topic Next Topic  

emiliano.cappellini
Starting Member

6 Posts

Posted - 31/10/2011 :  17:12:55  Show Profile  Reply with Quote
Buon giorno a tutti.
Innanzitutto complimenti per il meraviglioso forum.

Spero che qualcuno possa aiutarmi a risolvere un problema con ISA 2004.

DESCRIZIONE AMBIENTE:

subnet1 <---> ISA Server <---> subnet2 <---> firewall-CISCO <--->IP pubblici

La subnet1 è 10.127.5.128-->254 (mask 255.255.255.128)
In questa subnet ci sono i web-server che mi interessa pubblicare.

La subnet2 è 10.127.4.0-->127 (mask 255.255.255.128)
In questa subnet c'è solo il mio server ISA 2004

Il firewall cisco pubblica ip qualunque delle 2 subnet su IP pubblici.
Purtroppo è un firewall di basso livello capace di creare solo regole
del tipo IP porta -- IP porta.
Quindi non posso pubblicare siti tramite la specifica dell'host-header

Per questo ho creato un server ISA 2004 (standard edition...avevo solo questa licenza).
Ho dotato il server ISA 2004 (standard + SP3) di 2 schede di rete.
1)
Una che si interfaccia alla subnet1, configurata così:
Ip 10.127.5.254 (Ip libero che mi sono preso per me)
mask 255.255.255.128
Gateway NO
dns1 8.8.8.8 (quello di google)
dns2 NO
2)
Una che si interfaccia alla subnet2 configurata così:
Ip 10.127.4.60
mask 255.255.255.128
gateway 10.127.4.1 (che è il gw della subnet 4)
dns1 NO
dns2 NO

Poi ho fatto configurare il firewall CISCO in modo da pubblicare tutte le porte del 10.127.4.60 su tutte le porte del 213.X.X.X

Fatto questo ho potuto creare tutte le regole che mi servivano per pubblicare i web server che girano su macchine aventi IP della subnet1. Poi ho creato alcuni A-record (uno per ogni web-server) su un DNs pubblico che puntano tutti all'IP 213.X.X.X. e il gioco è fatto.

Da browser scrivo nome.dominio.it (che viene risolto nell'ip 213.X.X.X) questo va al firewall CISCO, il quale lo porta all'IP 10.127.4.60 e qui il server ISA lo porta alle varie macchine appartenenti alla subnet1 in funzione dell'host-header (quello del record A).
Funziona tutto benissimo.


PROBLEMA:

Adesso ho a disposizione un secondo IP pubblico 213.X.X.Y
Vorrei poterlo associare all'Ip libero 10.127.4.61 e aggiungere quest'ultimo nella scheda di rete del server ISA 2004 già configurata con 10.127.4.60.
Poi vorrei creare regole che mi permettano di pubblicare web server (appartenenti alla solita subnet1 ... 10.127.5....) tramite il 10.127.4.61 che esce tramite il 213.X.X.Y
E' possibile o vaneggio ?

Usare più IP pubblici mi è indispensabile per pubblicare siti certificati (1 certificato si mangia 1 IP, quasi sempre...)

grazie 1000 per l'aiuto

IsaCab
Moderator

4298 Posts

Posted - 02/11/2011 :  09:22:19  Show Profile  Reply with Quote
Ciao,

se non ho capito,puoi farlo senza problemi. Il limite che hai in linea generale e che non puoi creare un listner che abbia la stessa coppia IP+PORTA.

Nel tuo caso cambia l'ip (sia pubblico che privato) e quindi puoi farlo senza problemi.

Sulla External di ISA puoi aggiungere quanti indirizzi vuoi (nel tuo caso divrai aggiungere l'ip 10.127.4.61

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

emiliano.cappellini
Starting Member

6 Posts

Posted - 02/11/2011 :  15:14:17  Show Profile  Reply with Quote
Premetto che non ho ancora fatto il test sul sito certificato perchè prima voglio essere sicuro di poter usare un secondo IP privato sulla scheda external del server ISA.

Ho aggiunto l'ip 10.127.4.61 alla scheda di rete "external" del server ISA.
Ho fatto creare una regola che redireziona tutto il traffico diretto al 213.X.X.Y verso il 10.127.4.61
Ho creato in Isa un Listener uguale a quello che avevo creato con il 10.127.4.60 ma ovviam con il 10.127.4.61
Ho creato una regola che pubblica un sito Y (che gira sulla macchina con ip 10.127.5.151 alla porta 80) sulla porta 80 del 10.127.4.61
Ora però quando dall'esterno cerco di accedere a questo sito Y tramite l'ip pubblico 213.X.X.Y il browser mi va in timeout.

Non capisco. Tra la regola creata per il 10.127.4.60 (listener compreso) e quella creata per il 10.127.4.61 non c'è alcuna differenza, tranne ovviam gli ip che sono diversi:

10.127.5.150:80 ---> 10.127.4.60:80
10.127.5.151:80 ---> 10.127.4.61:80

(poi l'ip privato ...4.60 esce sull'ip pubblico 213.X.X.X
mentre l'ip privato ...4.61 esce sull'ip pubblico 213.X.X.Y)

Dove sbaglio ?

Edited by - emiliano.cappellini on 02/11/2011 15:15:19
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 03/11/2011 :  08:30:19  Show Profile  Reply with Quote
Ciao,

quote:
10.127.5.151:80 ---> 10.127.4.61:80


Verifica che la .151 abbia il default gateway corretto.


quote:
Ho creato una regola che pubblica un sito Y (che gira sulla macchina con ip 10.127.5.151 alla porta 80) sulla porta 80 del 10.127.4.61


Volevi dire il contrario vero ?? 4.61 su 5.151 (porta 80)


Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

emiliano.cappellini
Starting Member

6 Posts

Posted - 03/11/2011 :  11:38:04  Show Profile  Reply with Quote
Si la .151 ha il default gateway corretto (che è il 10.127.5.254).

Il nuovo sito gira sulla porta 80 della macchina 10.127.5.151 e lo ho pubblicato con una regola di ISA facendolo "uscire" sull'IP 10.127.4.61 Quest'ultimo IP a sua volta esce sulla vera rete pubblica tramite l'IP pubblico 213.X.X.Y grazie a una regola creata sul Firewall Cisco che sta tra la rete 10.127.4.0 e la Internet.

Lo schema è semplice:

rete interna 10.127.5.0 con i vari web server da pubblicare
.
.
.
ISA server --- scheda internal 10.127.5.254
ISA server --- scheda external 10.127.4.60
.
.
.
rete interna 10.127.4.0 in cui esiste solo il mio ISA server
.
.
.
Firewall CISCO con scheda "internal" 10.127.4...
Firewall CISCO con scheda "external" 213.X.X....
.
.
.
rete internet

Alla scheda external del server ISA avevo aggiunto il 10.127.4.61 (da Windows) e su ISA avevo creato un secondo Listener che usa non più il 10.127.4.60 ma il 10.127.4.61 e una regola per pubblicare il web-server 10.127.5.151 su esso.

La cosa strana è che tutti i siti pubblicati tramite il 10.127.4.60 (e cioè 213.X.X.X) sono Ok invece quello tramite 10.127.4.61 (e cioè 213.X.X.Y) NON va.


Ho fatto anche il seguente test.
Ho creato una virtual machine w2k8 con ip 10.127.4.106 e da li se scrivo sul browser l'indirizzo http://10.127.4.61 vedo bene il nuovo sito che gira sulla 10.127.5.151

se invece scrivo http://213.X.X.Y allora non lo vedo

(se scrivo http://213.X.X.X invece vedo il sito che gira sulla 10.127.5.150).

Edited by - emiliano.cappellini on 03/11/2011 11:50:41
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 03/11/2011 :  12:11:14  Show Profile  Reply with Quote
Ciao,

quote:
Ho fatto anche il seguente test.
Ho creato una virtual machine w2k8 con ip 10.127.4.106 e da li se scrivo sul browser l'indirizzo http://10.127.4.61 vedo bene il nuovo sito che gira sulla 10.127.5.151


Questo significa che la pubblicazione su ISA (4.61) è ok.

Devi verificare il NAT static sul PIX

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

emiliano.cappellini
Starting Member

6 Posts

Posted - 03/11/2011 :  17:57:28  Show Profile  Reply with Quote
In tal casio mi potete consigliare qualche test da eseguire sugli IP 213.X.X.X (che funziona) e 213.X.X.Y (che non funziona) per capire quali differenze ci sono tra i 2 ?
Perchè in tal caso immagino ci siano differenze tra le regole create per l'uno e per l'altro nel firewall Cisco.

Io ho usato nmap per scandire la porta 80 dell'uno e dell'altro ip ed ho visto che se disabilito tutte le regole di ISA server non risulta più aperta la 80 sull'IP 213.X.X.X mentre la porta 80 del 213.X.X.Y risulta sempre aperta (sia prima che dopo, strano).
Questo può dipendere in qualche modo da ISA ?
(io penso di no ma non conosco molto ISA).
grazie

Edited by - emiliano.cappellini on 03/11/2011 17:58:51
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 04/11/2011 :  08:32:15  Show Profile  Reply with Quote
Ciao,

direi che prima di tutto potresti fare un monitor su ISA e vedere se le richieste inoltrate a 213...y arrivano e si eventualmente il tipo di errore riscontrato.

Per farloapri la mmc di isa e vai in monitor, logging, filtra le richieste per client IP (il tuo pc su internet) o per Destination IP e vediamo cosa succede ...

Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

emiliano.cappellini
Starting Member

6 Posts

Posted - 10/11/2011 :  12:01:40  Show Profile  Reply with Quote
Sono andato su "monitoring" ---> "logging" e ho creato una query(filtro) così:
Destination IP --- equals --- 10.127.4.61

e una così
Destination IP --- equals --- 10.127.4.60

lasciando <log record type>, <log time> e <action> con i valori di default.

Poi provo ad accedere al sito da un pc fuori la rete locale scrivendo
http://213.x.x.y:80, lancio la query, e ritento numerose volte di accedere al sito ma la query non capta nulla : tutto bianco.

Poi provo ad accedere a http://213.X.X.X e lancio la seconda query: vedo tutte le connessioni in verde senza errori.

Ho provato anche a stoppare le regole ISA sul 10.127.4.60 e lanciare un nmap su 213.X.X.X: vedo tutte le porte chiuse.
Poi riattivo le regole ISA e rilancio nmap su 213.X.X.X e vedo aperte solo le porte presenti nelle regole.

Successivamente ho provato a stoppare le regole ISA sul 10.127.4.61 e lanciare un nmap sul 213.X.X.Y: vedo aperta la porta 80 (strano ?). Poi ho riattivato le regole e vedo sempre aperta la porta 80 sul 213.X.X.Y come se ISA non avesse nessun effetto.

Suggerimenti ?
grazie
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 10/11/2011 :  13:10:22  Show Profile  Reply with Quote
Ciao,

quote:
Poi provo ad accedere al sito da un pc fuori la rete locale scrivendo
http://213.x.x.y:80, lancio la query, e ritento numerose volte di accedere al sito ma la query non capta nulla : tutto bianco.

Questo significa che su ISA non arrivano le richieste.
Quindi dovresti concentrarti sul cisco.


quote:
Poi provo ad accedere a http://213.X.X.X e lancio la seconda query: vedo tutte le connessioni in verde senza errori.

Questo significa che il cisco ruota o natta le richieste ad isa correttamente.


quote:
Successivamente ho provato a stoppare le regole ISA sul 10.127.4.61 e lanciare un nmap sul 213.X.X.Y: vedo aperta la porta 80 (strano ?). Poi ho riattivato le regole e vedo sempre aperta la porta 80 sul 213.X.X.Y come se ISA non avesse nessun effetto.


E' normale. E' il fireall cisco che pubblica le porta all'esterno. Quindi puoi anche spegnerlo ISA la porta 80 risulterà sempre aperta.

Se non ho capito male, tu operi un doppio nat :

Il primo nat lo opera il Cisco che accetta le connessioni dall'esterno e le natta su un IP che l'ip di ISA. Se le richieste arrivano su ISA, il listner e la regola di pubblicazione opera un secondo NAT che rigira le richieste al server web vero e poroprio.

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page
  Previous Topic Topic Next Topic  
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso più efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it è parte del network GITCA - Global IT Community Association