No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 ISA Server - Infrastrutture
 Generale - Infrastrutture Sicure
 Problema su routing di classi diverse
 New Topic  Reply to Topic
 Printer Friendly
Author Previous Topic Topic Next Topic  

paolinjo
Junior Member

131 Posts

Posted - 13/11/2007 :  09:56:22  Show Profile  Reply with Quote
Salve
ho installato ISA2006 su un server con 3 schede di rete sul network che allego con l'immagine.

Gli indirizzi IP, per riservatezza, sono immaginari ma le subnet sono esatte.
Partiamo dall'inizio ovvero dai PC nella LAN:
Ogni PC ha il firewall ISA ed ha cone Default gateway l'IP 172.16.0.5 dell'ISA servrer
1)ISA server ha come Default gateway l'IP 89.97.120.49 impostato sulla scheda di rete con IP pubblico
Su ISA ho aggiunto delle rotte permanenti:
-) route add -p 100.100.100.0 mask 255.255.255.0 gateway 89.97.120.54
-) route add -p 10.10.11.0 mask 255.255.255.0 gateway 89.97.120.54
-) route add -p 10.10.12.0 mask 255.255.255.0 gateway 89.97.120.54
2)Il router Cisco C2611_NA fa solo da router (non ha NAT) ed ha le seguenti rotte:
-)default verso l'IP 89.97.120.49
-)172.16.0.0/24 verso l'IP 89.97.129.51
-)10.10.11.0/24 verso tunnel0
-)10.10.12.0/24 verso tunnel1

3) sui router remoti ove terminano i tunnel 0 ed 1 vi è la rotta statica che 172.16.0.0/24 punta il tunnel verso il C2611_NA

Il problema è che se pingo da ISA o da un PC della rete l'IP 10.10.11.254 (indirizzo di LAN del router ove termina il tunnel0) o semplicemente se pingo l'indirizzo 100.100.100.254 0 100.100.100.1 ho come risposta 'host di destinazione irraggiungibile'.
Ho fatto un debug sul C2611_NA ed è come se i pacchetti dall'ISA server non gli arrivassero, ovvero come se ISA non considerasse le rotte statiche.

Tieni presente che:
-) su ISA ho inserito le reti 10.10.11.0/24, 10.10.12.0/24, 100.100.100.0/24 come oggetto ed ho impostato le permissioni massime tra la LAN e tale oggetto.
-) tra queste reti è stata stabilita il criterio di ROUTE o non NAT

Sul monitoraggio ISA di un PING originato da un PC della rete LAN all'host 100.100.100.1 si rileva la connessione avviata e poi rifiutata.
Ti allego anche il risultato del filtro.
grazie 1000 e scusa la lunghezza del POST
ciao
Paolo

RISULTATO DEL FILTRAGGIO:
IP client originale Agente client Client autenticato Servizio Nome server Server di riferimento Nome host destinazione Trasporto Tipo MIME Origine oggetto Proxy di origine Proxy di destinazione Bidirezionale Nome host client Informazioni filtro Interfaccia di rete Intestazione IP Raw Payload Raw Ora registro GMT Porta di origine Tempo di elaborazione Byte inviati Byte ricevuti Codice risultato Codice stato HTTP Informazioni cache Informazioni errore Tipo record registro Server di autenticazione Ora registro IP di destinazione Porta di destinazione Protocollo Azione Regola IP client Nome utente client Rete di origine Rete di destinazione Metodo HTTP URL
172.16.0.156 NETTUNO - ICMP - - 13/11/2007 8.50.39 8 0 0 0 0x0 ERROR_SUCCESS 0x0 0x0 Firewall - 13/11/2007 9.50.39 100.100.100.1 0 PING Connessione avviata Accesso illimitato 172.16.0.156 Interno INVOICE - -
172.16.0.156 NETTUNO - ICMP - - 13/11/2007 8.50.41 8 0 0 0 0xc004002d FWX_E_UNREACHABLE_ADDRESS 0x0 0x0 Firewall - 13/11/2007 9.50.41 100.100.100.1 0 PING Connessione rifiutata 172.16.0.156 Interno INVOICE - -
172.16.0.156 NETTUNO - ICMP - - 13/11/2007 8.50.46 8 0 0 0 0xc004002d FWX_E_UNREACHABLE_ADDRESS 0x0 0x0 Firewall - 13/11/2007 9.50.46 100.100.100.1 0 PING Connessione rifiutata 172.16.0.156 Interno INVOICE - -
172.16.0.156 NETTUNO - ICMP - - 13/11/2007 8.50.52 8 0 0 0 0xc004002d FWX_E_UNREACHABLE_ADDRESS 0x0 0x0 Firewall - 13/11/2007 9.50.52 100.100.100.1 0 PING Connessione rifiutata 172.16.0.156 Interno INVOICE - -
172.16.0.156 NETTUNO - ICMP - - 13/11/2007 8.50.57 8 0 0 0 0xc004002d FWX_E_UNREACHABLE_ADDRESS 0x0 0x0 Firewall - 13/11/2007 9.50.57 100.100.100.1 0 PING Connessione rifiutata 172.16.0.156 Interno INVOICE - -

IsaCab
Moderator

4298 Posts

Posted - 13/11/2007 :  12:24:51  Show Profile  Reply with Quote
Ciao Paolo,

complimenti per la completezza di informazioni.

Complimenti anche per la scelta voip (avaya Ipo) :-)

Non ho ben capito chi gestisce i tunnel, ed inoltre dallo schema che hai postato, i tunnel risultano a valle di ISA, quindi esterni ?

Iniziamo a chiarire questo aspetto e poi andiamo avanti.

Ancora una cosa, appena ci legge Luca, facciamo spostare il post su infrastrutture sicure.

Ciao Giulio



Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Blog - http://giuliomartino.blogspot.com/
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 13/11/2007 :  16:06:17  Show Profile  Reply with Quote
Ciao Giulio
ok su una infrastruttura sicura così saro anche più preciso.
Comunque i tunnel IP-IP sono gestiti dal router C2611_NA.
I tunnel sono esterni e non li gestisce ISA.
I tunnel servono per collegare in rete chiusa dei telefoni IP5602SW direttamente sull'IPO500.
Il problema è l'accessibilità a questo network dalla ns. LAN dietro ISA.
ciao
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 13/11/2007 :  18:08:48  Show Profile  Reply with Quote
Ciao Paolo,

dal disegno e da quanto descritto, non credo si apossibile che la LAN e le reti in Tunnel possano vedersi.

Il problema è che di mezzo hai degli Ip Pubblici, che non possono ruotare classi ip private.

E' un po' come se dalla tua lan volessi pingare la mia.

Dimmi se ho capito bene ?

Ciao Giulio



Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Blog - http://giuliomartino.blogspot.com/
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 13/11/2007 :  19:16:32  Show Profile  Reply with Quote
Questo sarebbe vero se io non utilizassi il Tunnel.
Lo stesso esperimento l'ho fatto mettendo IPO401 (configurando le rotte statiche e disabilitando la NAT) e le classi erano tra loro visibili.
A rigor di logica se dal mio pc 172.16.0.130 pingo (per es) il 10.10.11.254 (router sede remota) il processo dell'instradamento dovrebbe essere questo:
1) il mio default gateway instrada i pacchetti verso il C2611_NA (89.97.120.54) grazie alla rotta statica su ISA 10.10.11.0/24 --> 89.97.120.54 (ma credo che essa non funzioni)
2) Il C2611_NA instrada i pacchetti versoil tunnel0 (esso ha rotta statica ip route 10.10.11.0 255.255.255.0 tunnel0 ed ha rotta statica ip route 172.16.0.0 255.255.255.0 eth 0/0 89.97.120.51 per instradare i pacchetti di ritorno alla mia LAN)

la stessa cosa dovrebbe accadere se io provassi a pingare il 100.100.100.254 che è l'IPO500.

Tieni presente che prima avevo uno Small Office (grandi apparati e ci lavoriamo tantissimo !!!) che aveva su LAN 1 la mia rete interna e su LAN 2 la pubblica. All'interno di esso vi era una rotta statica che indirizzava i pacchetti 10.10.11.0/24 verso il router C2611_NA.

Ho l'impressione che ISA i pacchetti diretti al 100.100.100.0/24 o al 10.10.11.0/24 non li instrada verso il C2611_NA come impostato dalle rette statiche ma li manda al suo default gateway che è il router di fastweb (e qui si perdono nel pubblico...).

Lo so che non è semplice risolvere ma domani che ho un po' più di tempo mi faccio altri debug con i LOG.

Pensavo che il servizio di routing ed accesso remoto sul server ISA fosse utilizzabile ma invece ISA lo inibisce. Sai se su ISA2006 è possibile configurare le rotte direttamente o lo si può fare solo con il comando route ?
grazie 1000 ed al prossimo POST
Paolo
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 13/11/2007 :  19:43:16  Show Profile  Reply with Quote
Ciao Paolo,

quote:
A rigor di logica se dal mio pc 172.16.0.130 pingo (per es) il 10.10.11.254 (router sede remota) il processo dell'instradamento dovrebbe essere questo:
1) il mio default gateway instrada i pacchetti verso il C2611_NA (89.97.120.54) grazie alla rotta statica su ISA 10.10.11.0/24 --> 89.97.120.54 (ma credo che essa non funzioni)
2) Il C2611_NA instrada i pacchetti versoil tunnel0 (esso ha rotta statica ip route 10.10.11.0 255.255.255.0 tunnel0 ed ha rotta statica ip route 172.16.0.0 255.255.255.0 eth 0/0 89.97.120.51 per instradare i pacchetti di ritorno alla mia LAN)


Magari fosse così semplice. A meno di non essermi perso qualcosa, in questo modo ho paura che non funzioni. Di fatto la external di ISA ha un IP pubblico e il C2611_NA ha un ip pubblico, dietro il quale si celano le reti private (Tunnel).

Le soluzioni che vedo sono :

1) Sposti l'interfaccia pubblica del C2611_NA su un object (Ip Privato) di ISA.

2) Crei un tunnel tra C2611_NA e ISA (IsSec)


quote:
Pensavo che il servizio di routing ed accesso remoto sul server ISA fosse utilizzabile ma invece ISA lo inibisce

Perchè dici questo. ISA consente l'uso di RRAS, anzi vi si appoggia in caso di VPN.

quote:
è possibile configurare le rotte direttamente o lo si può fare solo con il comando route ?

ISA non è un router, e le rotte verso una classe IP Privata attraverso una classe IP Pubblica non sono una best pratice, anzi io le toglierei subito.

Le rotte stati permanenti su ISA 2004/2006 hanno un'altro senso, ed è quello di informare (LAT) ISA della esistenza di altre classi IP Private non direttamente connesse.
Da questo vedi come non è logico (per ISA) avere delle classi IP private da considerare interne (LAN) che però si trovano dietro la External (quindi pubbliche).

Ciao Giulio


Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Blog - http://giuliomartino.blogspot.com/
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 14/11/2007 :  10:00:23  Show Profile  Reply with Quote
ciao Giulio
chiaro. prima funzionava probabilmente per le capacità di routing diverse delle macchine interposte.
provo a fare un tunnel tra ISA ed il C2611_NA.
mai fatto ma mi informo ed ingegno (qui ho trovato qcosa) nell'impostarlo.
Quindi tolgo le route statiche impostate su ISA da shell dos?
Io ho provato ad usare routing ed accesso remoto per configurare il routing del server con le rotte statiche ma quando si riavviava il servizio ISA il servizio di Routing ed accesso remoto era sconfigurato...
Ti faccio sapere
grazie e ciao
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 14/11/2007 :  10:30:10  Show Profile  Reply with Quote
Ciao Paolo,

Per ISA tutto quello che non è dichiarato internal, diventa external e viene sottoposto ad un rigido controllo.

In tutti i casi per poter fare il ping verso la external devi :

1) Client SecureNat
2) Enable Ip Routing (COnfiguration->General->COnfigure Ip Protection)
3) Access rule Internal to External

Ciao Giulio

Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]

Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Blog - http://giuliomartino.blogspot.com/
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni.
Go to Top of Page
  Previous Topic Topic Next Topic  
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso più efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it è parte del network GITCA - Global IT Community Association