Jugando con el ISA y Windows 2003
-
Buenas,
Tengo montada esta red en VmWare:
http://www.telefonica.net/web2/webhard/Server2003/Dibujo.JPGLa puerta de enlace de los PCs cliente como del DC es el ISA, la puerta de enlace del Isa es el Router en multipuesto. Los puertos están mapeados, en teoria bien… ya que hay 2 formas de hacerlo por lo que veo, la primera es abrir el puerto hacia el exchange y la otra es abrir el puerto hacia el ISA, y el ISA hace una redirección.
Antes de poner el ISA, todo funcionaba bien, ahora tengo un problema que no se como solucionar.
Cuando envio un correo desde el exchange, se envia una petición de dns (comprobado por el log), y parece que no le vuelve la respuesta. Es más, la única "cosa" que recibo al enviar forzar el envio por el exchange es esto:
http://www.telefonica.net/web2/webhard/Server2003/Trafico%20OVNI.JPGHe probado muchas cosas, todas las IPs posibles y no hay manera que rule.
Más tarde me di cuenta que esto pasa con todo, cualquier cosa (menos en la navegación web, el PC cliente hace una petición de DNS al servidor de DC y si no resuelve, el mismo servidor lo pregunta fuera y esto funciona bien), haga peticiones de fuera de la red a telnet como ping, todo llega, pero mal, igual que la captura anterior.
Decir que internamente todo funciona bien, pero parece que el salto del router al Isa no sienta bien. Todo lo que he visto por el google con una configuración como la mia, lo hacen sin "router", cogen la IP directamente con un router en monopuesto. (seguramente me funcionaría bien asi, pero no puedo ponerlo asi, que sinó dejo sin internet a mi hermano xD)
Es chungo eh xD Pero esto ya no se como solucionarlo.
-
ISA Server por defecto bloquea todo el trafico entre todas las interfaces de red que no pertenezcan al mismo rango (externa e internas); asi que sino has habilitado explicitamente el trafico DNS entre las interfaces, seguro que esta bloqueado.
Otra cosa es que hayas creado alguna regla de las "predefinidas" como el acceso a la web y demas o que este permitido todo el trafico al DC y como por defecto en un AD todos los equipos clientes tienen como DNS Primario al controlador de dominio…..por eso puedes habrir paginas y demas.
En el exchange, sino tienes alguna configuracion FrontEnd-BackEnd solo necesitas el puerto 25; aunque te recomiendo que uses el asistente para publicar el servidor de correo.
-
Ya está solucionado, me olvidé de actualizar el post. hice un cambio de IPs internas y me olvide de hacer el cambio en el ISA. Ahora funciona todo perfecto.
Lo que quiero hacer ahora es pasarlo todo a la "S", es decir, https, smtps … Pero los certificados me tienen negro...
-
Si tienes montado el AD el resto es facil. Instala en algun servidor miembro o en el propio DC la entidad emisora de certificados y asi puedes emitir certificados para cifrar. Si por ejemplo tienes el OWA hacia fuera es bastante util porque asi cifras la conexion.
El cifrado tienes que hacerlo desde el IIS que es el que sirve la pagina web.
Por cierto, que yo sepa no hay smtps, solo smtp.Otra cosa, al cifrar los puertos de conexion cambian; por ejemplo el https no utiliza el 80 sino el 443, etc..
EDITO: Acabo de ver una de las imagenes que has puesto y veo que los rango de red que utilizas son clase B. Utilizas mascara de red /16 verdad???
-
Si tienes montado el AD el resto es facil. Instala en algun servidor miembro o en el propio DC la entidad emisora de certificados y asi puedes emitir certificados para cifrar. Si por ejemplo tienes el OWA hacia fuera es bastante util porque asi cifras la conexion.
El cifrado tienes que hacerlo desde el IIS que es el que sirve la pagina web.
Por cierto, que yo sepa no hay smtps, solo smtp.Otra cosa, al cifrar los puertos de conexion cambian; por ejemplo el https no utiliza el 80 sino el 443, etc..
EDITO: Acabo de ver una de las imagenes que has puesto y veo que los rango de red que utilizas son clase B. Utilizas mascara de red /16 verdad???
Son clase C, pero desde siempre he tenido (cuando me vino el router tenia este rango y me he acostumbrado a tenerlo asi), la mascara que le meto luego a los PCs es de 255.255.255.0.
Probare eso de los certificados
Thanks!
-
Es que si todo es clase C "pierdes" la gracia del ISA, es decir si cualquier usuario le da por poner como puerta de enlace el propio router cualquier regla de prohibicion de ciertas paginas, etc… se las saltará. Lo ideal es que el equipo que tiene el firewall tenga dos interfaces de red (o mas, ya dependerá de lo que montes) en rangos de red diferentes y que todo salga por el ISA.
-
el isa tiene dos tarjetas de red con IPs diferentes de redes diferentes, aunque ahora que lo pienso, realmente es clase B, ya que las internas son 127.16.0.x y la externa es la 172.16.1.x.