No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 ISA Server - Infrastrutture
 Virtualizzare ISA / TMG e SBS
 Simulazione firewall proxy su macchina virtuale...
 New Topic  Reply to Topic
 Printer Friendly
Author Previous Topic Topic   

fabribit
Junior Member

132 Posts

Posted - 14/02/2007 :  10:39:12  Show Profile  Reply with Quote
Ciao a tutti,
sto cercando di creare un ambiente virtuale per testare Isa server 2006 sia come firewall che come web proxy...
premesso che una versione di prova si pu scaricare qui
http://www.microsoft.com/downloads/details.aspx?displaylang=it&FamilyID=84504CAD-893B-4212-9AB2-999AD1D8FE68

dove, una volta installata possibile avere una guida in italiano...

come mi ha suggerito Luca Conte:
per simulare il funzionamento del firewall + Proxy occorre una macchina con un bel po' di RAM min. 2GB ed una buona CPU CORE DUO.

La configurazione che ti permette di fare i test puo' essere:

VM1 con Client XP
VM2 con Windows Server 2003
VM3 con ISA Server 2006
VM4 con Windows Server 2003

VM1+VM2+VM3 rappresentano la LAN

VM4 rappresentano Internet

VM1,VM2,VM4 le configuri con una NIC

VM3 la configuri con due NIC 1xInternal, 1xExternal

In questo modo crei una struttura tipo:
VM1+VM2 <-> VM3 <-> VM4

---------- LAN -----|------- INTERNET

Se poi vuoi far uscire la tua infrastruttura virtuale sulla LAN puoi configurare VM3 con la NIC external che si aggancia sulla rete fisica.

Il mio obiettivo semplicemente fare dei test con isa sia per firewall che proxy...ecco perch ho scelto un ambiente virtuale...





lconte
Amministratore del Forum

2017 Posts

Posted - 14/02/2007 :  11:32:08  Show Profile  Reply with Quote
Se vuoi fare i test tutto in un ambiente virtuale l'infrastruttura che ti ho indicato e' quella minimale.
Con VM intendo Virtual Machine
VM1 il tuo client Windows XP SP2 membro del tuo dominio di test - es. isatest.com -.
VM2 il tuo DC; su questa macchina ci installi anche IIS 6.0 - IIS 6.0 ti serve per simulare un sito web corporate, server di posta POP3 e SMTP -.
VM3 il tuo server ISA configurato come Edge firewall.
VM4 un server Windows 2003 con IIS 6.0 - IIS ti server per simulare server Web pubblici e server di posta POP3, SMTP -. Inoltre VM4 la puoi utilizzare per simulare le connessioni client Internet - es. VPN, accesso al sito corporate ecc. -.

Se hai risorse sulla tua macchina host puoi anche implementare una VM con Exchange e testare OWA. Volendo Exchange, visto che si tratta di un LAB, lo puoi anche installare su VM2.

Tutte le VM devono essere isolate dalla tua rete di produzione; quindi configurale per utilizzare l'impostazione LOCAL ONLY o SOLO LOCALE. L'ambiente in cui far girare le VM a cui si fa riferimento VPC 2007 in Beta e scaricabile dal sito Microsoft nell'area connect - http://connect.microsoft.com.

Le VM devono essere configurate con le seguenti NIC virtuali:
VM1 - 1 NIC
VM2 - 1 NIC
VM3 - 2 NIC
VM4 - 1 NIC

Nota: Se poi vuoi anche implementare una DMZ allora ti server una nuova VM con 1 NIC, devi modificare VM3 affinche' utilizzi 3 NIC e configurare ISA per il three-legs.

Detto questo, la configurazione degli ambienti Guest lo stesso come se si operasse su OS installati su Server FISICI. Gli OS guest non sono una simulazione degli OS fisici; quindi, se non hai tutto sotto controllo, evita di far dialogare le VM con la rete di produzione - es. rischio di conflitti di IP, Nomi macchina, Nomi di dominio ecc. -.


Luca Conte
MCSE:Security MCT MCSA:Security

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserve.it/forum

per ulteriori info scrivi una mail a lconte<at>isasever<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni.
Go to Top of Page

fabribit
Junior Member

132 Posts

Posted - 14/02/2007 :  14:33:02  Show Profile  Reply with Quote
quote:
Originally posted by info@isaserver.it

Se vuoi fare i test tutto in un ambiente virtuale l'infrastruttura che ti ho indicato e' quella minimale.
Con VM intendo Virtual Machine
VM1 il tuo client Windows XP SP2 membro del tuo dominio di test - es. isatest.com -.
VM2 il tuo DC; su questa macchina ci installi anche IIS 6.0 - IIS 6.0 ti serve per simulare un sito web corporate, server di posta POP3 e SMTP -.
VM3 il tuo server ISA configurato come Edge firewall.
VM4 un server Windows 2003 con IIS 6.0 - IIS ti server per simulare server Web pubblici e server di posta POP3, SMTP -. Inoltre VM4 la puoi utilizzare per simulare le connessioni client Internet - es. VPN, accesso al sito corporate ecc. -.

Se hai risorse sulla tua macchina host puoi anche implementare una VM con Exchange e testare OWA. Volendo Exchange, visto che si tratta di un LAB, lo puoi anche installare su VM2.

Tutte le VM devono essere isolate dalla tua rete di produzione; quindi configurale per utilizzare l'impostazione LOCAL ONLY o SOLO LOCALE. L'ambiente in cui far girare le VM a cui si fa riferimento VPC 2007 in Beta e scaricabile dal sito Microsoft nell'area connect - http://connect.microsoft.com.

Le VM devono essere configurate con le seguenti NIC virtuali:
VM1 - 1 NIC
VM2 - 1 NIC
VM3 - 2 NIC
VM4 - 1 NIC

Nota: Se poi vuoi anche implementare una DMZ allora ti server una nuova VM con 1 NIC, devi modificare VM3 affinche' utilizzi 3 NIC e configurare ISA per il three-legs.

Detto questo, la configurazione degli ambienti Guest lo stesso come se si operasse su OS installati su Server FISICI. Gli OS guest non sono una simulazione degli OS fisici; quindi, se non hai tutto sotto controllo, evita di far dialogare le VM con la rete di produzione - es. rischio di conflitti di IP, Nomi macchina, Nomi di dominio ecc. -.


Luca Conte
MCSE:Security MCT MCSA:Security

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserve.it/forum

per ulteriori info scrivi una mail a lconte<at>isasever<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni.


ti ringrazie per la risposta...
non appena arriveranno i pc prover a mettere in pratica questa piccola guida...
grazie e a presto
Go to Top of Page

fabribit
Junior Member

132 Posts

Posted - 21/05/2007 :  15:12:46  Show Profile  Reply with Quote
Sono arrivate le macchine..
Come descritto sopra mi sembra un p complicato (non sono esperto)..dal momento che per ora vorrei utilizzare isaserver come proxy.
Mi spiego: ho un server windows 2003 sul quale ho installato VMware server sul quale, a sua volta, ho installato Windows Server 2003 Enterprise Edition su cui gira ISA SERVER..Quest'ultimo server ha 2 schede di rete (scheda interna (no configurato) e scheda esterna (configurata)...
Al momento Isa ha solo la regola di default (deny all)..
quello che ho intenzione di fare presto detto:
con un client xp qualsiasi voglio navigare utilizzando il proxy in questione..quindi il server di riferimento quello "virtuale"..

supponendo che il server su cui gira isa ha indirizzo 192.168.10.100...e supponendo che il mio client ha indirizzo 10.10.52.89 (quindi st su un altra rete), come dovrei fare affinch il mio client possa navigare con il proxy in oggetto?
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 21/05/2007 :  16:10:44  Show Profile  Reply with Quote
Ciao fabribit,

se vuoi usare con una sola scheda di rete, (proxy cache) allora le due macchine devono essere visibili, quindi stessa LAN.


Ciao Giulio

Giulio Martino
Avaya IP Office TCLA

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni.
Go to Top of Page

fabribit
Junior Member

132 Posts

Posted - 21/05/2007 :  16:21:14  Show Profile  Reply with Quote
quindi il mio client lo devo mettere sulla stessa rete del server isa? e cio 192.168...

Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 21/05/2007 :  16:45:01  Show Profile  Reply with Quote
CIao fabribit,

diciamo che sarebbe pi giusto :

1) Disabilitare l'interfaccia external di ISA
2) Abilitare la Internal
3) Mettere una classe ip della propria LAN sulla Internal.

Ciao Giulio

Giulio Martino
Avaya IP Office TCLA

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni.
Go to Top of Page

fabribit
Junior Member

132 Posts

Posted - 21/05/2007 :  18:06:42  Show Profile  Reply with Quote
non capisco..
cerco di essere il pi chiaro possibile:

la macchina host in risorse di rete ha:
una scheda di reta Lan: con ip 10.198.27.180
sub 255.255.255.0
gw 10.198.27.1
una scheda chiamata Posta: non interessa
vmnet1 (host only): ip: 192.168.112.1
255.255.255.0
vmnet (Nat): ip 192.168.196.1
255.255.255.0
gw 192.168.196.2
questo server host un server di prova che connesso in rete ma non v su internet....

isa server installato su windows server virtuale come detto sopra:
tale server ha 2 schede di rete : internel (no configurato) ed esternal con:
ip: 10.198.47.143
sub: 255.255.255.224
gw: 10.198.47.129
dns:10.1.198.100

isa server ha una regola che consente (al momento) a localhost di andare verso "external" ma non v...
considerando che in internet option come proxy metto l'ip 10.198.47.143:8080...
mi d l'errore; "Internet Explorer could not open search page"
da cosa dipende?


Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 21/05/2007 :  18:21:22  Show Profile  Reply with Quote
Vediamo di fare chiarezza; quando parliamo di HOST facciamo riferimento alla macchina fisica (hardware+OS), quando parliamo di GUEST facciamo riferimento alla macchina virtuale (VM).
L'infrastruttura che vuoi realizzare la seguente?

HOST XP <--- Rete fisica ---> VM ISA 2006 PROXY

Per prima cosa devi mettere sulla stessa subnet sia la tua VM ISA 2006 che il tuo HOST XP. La tua VM ISA 2006 deve essere configurata - operazione che fai in VMWare Server - con le interfacce di rete in modalit BRIDGED; in questo modo VMWARE Server mette in comunicazione DIRETTA la tua VM ISA 2006 con la rete fisica. In questo modo la tua VM ISA 2006 e' in rete!




Luca Conte
MCSE:Security MCT MCSA:Security

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum

per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni.
Go to Top of Page

fabribit
Junior Member

132 Posts

Posted - 22/05/2007 :  13:05:30  Show Profile  Reply with Quote
Esatto..lo scopo esattamente questo.
Per prima di cambiare subnet al mio client host voglio che la macchina guest sulla quale installato isa vada su internet.
al momento non posso navigare e non capisco perch; mi spiego:

il server guest di isa ha 2 schede di rete:
1 host-only --> chiamata Interna e non configurata (no ip)
2 bridge --> chiamata esterna con ip 10.198.47.143

tale server guest (su cui si trova isa) st sulla stessa subnet della macchina host, hanno lo stesso gateway...

io al momento non vado su internet sia con la macchina guest che il server host che la ospita..
Lasciamo stare i client xp, a questo ci arriveremo...
Come mai non esco? considerando che su Isa ho impostato una sola regola: cio localhost che da source=localhost ha come destination "external" e poi c' la regola di default...

Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 22/05/2007 :  15:51:59  Show Profile  Reply with Quote
Prima di proseguire con la configurazione della VM ISA 2006 devi essere certo che il tuo server HOST su cui hai installato VMWare Server possa uscire su Internet.
quote:

io al momento non vado su internet sia con la macchina guest che il server host che la ospita..


In questo modo siamo certi dell'esistenza di connettivita' verso Internet. Una volta assodato che esiste connettivit fra l'HOST ed Internet e' possibile pensare di dare connettivita' anche alla VM ISA 2006.

Controlla i parametri del TCP/IP del tuo server 2003 cosi' come la configurazione del server DNS. Utilizza per i tuoi test il PING e NSLOOKUP.

Luca Conte
MCSE:Security MCT MCSA:Security

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum

per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni.
Go to Top of Page

fabribit
Junior Member

132 Posts

Posted - 22/05/2007 :  16:27:13  Show Profile  Reply with Quote
il server host v su internet se metto l'IP del proxy di produzione.
sia chiaro che questo proxy (sempre isa) st da qualche parte e non s neanche dove..
una rete di produzione abbastanza complessa..
io vorrei mettere l'IP di ISA (isa mio che st sulla macchina guest)
come proxy per il server host e poi procedere con i client xp....

il ping e nslookup del server guest (dove st isa) ok..
sia nei confronti del gw e del dns e anche del server host

quando apro una pagina internet...la carica ma all'improviso nella barra in basso si legge mns.search...=http:\\www.google.it
dopo un p mi d l'errore Explore could not search ...


Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 22/05/2007 :  16:48:58  Show Profile  Reply with Quote
Se hai connettivita' di rete fra il tuo HOST ed il tuo ISA PROXY PROD - vedi schema seguente -, allora ti basta configurare la VM ISA 2006 affinche' inoltri le richieste al server ISA PROXY PROD.; per farlo ti basta andare nella sezione Networking della consolle di gestione di ISA Server 2006 e configurare la regola di default del Web Chaining. Temporaneamente disabilita l'interfaccia di rete che server i client sull'HOST Windows Server 2003 dove e' in esecuzione VMware Server. In questo modo sei certo che la configurazione BRIDGED NETWORKING utilizza la scheda di rete fisica corretta.

HOST XP <---> VM ISA 2006 PROXY <---> ISA PROXY PROD. <---> INTERNET

In questa configurazione tutto il traffico HTTP/HTTPS viene inoltrato al server ISA PROXY PROD.


Luca Conte
MCSE:Security MCT MCSA:Security

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum

per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni.
Go to Top of Page

fabribit
Junior Member

132 Posts

Posted - 22/05/2007 :  17:26:43  Show Profile  Reply with Quote
il server guest del mio Isa v su Internet perch ho messo il proxy di produzione;
premesso che devo stare attento a quello che faccio, poich su vm ware server oltre a Isa server ci sono altre macchine virtuali e premesso che sul server host che ospita vmware ho le seguenti schede di rete:
Lan
Posta
Vmware Network Adapter vmnet1
Vmware Network Adapter vmnet8

qual' quella che devo disabilitare?
perch se su un client qualsiasi metto come proxy l'IP del mio Isa virtuale non navigo su Internet?


Go to Top of Page

lconte
Amministratore del Forum

2017 Posts

Posted - 22/05/2007 :  18:02:39  Show Profile  Reply with Quote
Le reti con prefisso VM non interessano, mentre invece interessano le due schede di rete fisiche LAN e POSTA. LAN e' connessa alla subnet che permette il dialogo con il tuo ISA PROXY PROD mentre invece POSTA e' connessa alla subnet dei client XP.

HOST XP <---> POSTA[HOST W2k3]LAN <---> ISA PROXY PROD.

Visto che hai altre VM in esecuzione dovresti verificare se le altre VM in esecuzione usano una configurazione BRIDGED. VMWare Server gestisce in maniera autonoma ed automatica la selezione della scheda di rete fisica da utilizzare per comunicare in rete. Verifica come sono configurate le altre VM dopodiche' ci possiamo ragionare sopra.

Ora stacco...riprendiamo domani!

Luca Conte
MCSE:Security MCT MCSA:Security

Fondatore di ISAServer.it
**********************************************
- Blog: http://www.isaserver.it/blog
- Articoli: http://www.isaserver.it/articoli
- Forum: http://www.isaserver.it/forum

per ulteriori info scrivi una mail a lconte<at>isaserver<d0t>it.
---------------------------------------------------------
Sito web personale: http://www.lucaconte.it
**********************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo consentito solo accettando le presenti condizioni.
Go to Top of Page
  Previous Topic Topic   
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso pi efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it  parte del network GITCA - Global IT Community Association