GuilleSQL :: Microsoft SQL Server, SSIS, y más !!

ISA Server 2004 enrutar subredes remotas con rutas persistentes (route add -p)


Habitualmente, utilizamos ISA Server como servidor Proxy, configurando nuestros navegadores con la dirección del mismo (o también utilizando el cliente Firewall o por SecureNat, esto es, enrutando). Sin embargo, puede ocurrir que en alguna ocasión deseemos utilizar nuestro ISA Server para enrutar. Esta configuración no esconde ningún secreto cuando las subredes a enrutar corresponden a las subredes propias de las tarjetas del servidor ISA. Sin embargo, ¿cómo configurar ISA Server para enrutar peticiones de subredes remotas?

Vamos a poner un ejemplo sencillo. Supongamos una red muy simple, con un único servidor ISA, con dos tarjetas de red:

  • Una tarjeta de red externa, con direccionamiento IP 192.168.1.0/24. A través de esta interfaz, se consigue acceso a Internet.
  • Una tarjeta de red interna, con direccionamiento IP 10.0.0.0/24.

Todos los equipos clientes, tienen configurado como puerta de enlace (Gateway) la IP interna de ISA Server, en particular, la dirección IP 10.0.0.1 (doy por hecho, que también son capaces de resolver nombres DNS externos, es decir, nombres DNS de Internet). De este modo, los equipos clientes pueden salir a Internet como clientes SecureNat, al margen, de que también podrían salir a Internet como clientes Firewall o Proxy. Pero en nuestro caso de ejemplo, son clientes SecureNat.

Pasado un tiempo, la empresa de nuestro ejemplo ha crecido, y necesita incorporar dos segmentos de red adicionales, a los cuales se llega a través de un nuevo router ubicado en la red interna (este router podría ser otra servidor ISA, pero para no liarnos, pensemos que es un router corriente). Los segmentos de red que se han incorporado son los siguientes:

  • Segmento 10.0.1.0/24.
  • Segmento 10.0.2.0/24.

De tal modo, que el router utilizado dispone de tres interfaces, con el siguiente direccionamiento IP: 10.0.0.2, 10.0.1.1, y 10.0.2.1. Además, este router tiene configurada como puerta de enlace la dirección IP del ISA Server, en particular, la 10.0.0.1.

Así, todos los clientes del segmento 10.0.1.0/24 utilizan como puerta de enlace la dirección IP 10.0.1.1, y todos los clientes del segmento 10.0.2.0/24 utilizan como puerta de enlace la dirección IP 10.0.2.1.

El escenario en cuestión, queda como se muestra en la siguiente imagen:

Sin embargo, los equipos clientes del segmento 10.0.0.0/24 no saben como llegar a las dos nuevas subredes internas, y el servidor ISA (que es su puerta de enlace) tampoco. ¿Qué pasos hay que seguir ahora para conseguir que ISA Server sea capaz de enrutar tráfico de las nuevas subredes remotas? Pues los siguientes:

  • Agregar dos rutas persistente en el servidor ISA para indicarle como llegar a las subredes remotas, utilizando el comando route add desde una ventana de símbolo del sistema (ej: route add -p 10.0.1.0 mask 255.255.255.0 10.0.0.2 y route add -p 10.0.2.0 mask 255.255.255.0 10.0.0.2).

  • Modificar la interfaz interna de ISA Server para incluir las dos nuevas subredes remotas internas. Esta configuración la realizaremos con la herramienta administrativa ISA Server Management. Para ello, seleccionaremos el nodo Networks, y desde la pestaña Networks, editaremos las propiedades de la Red Internal.

Seguidamente, en el diálogo de Propiedades, en la pestaña Addresses, dejaremos configuradas las Subredes internas de nuestra red, tanto las locales (conectadas directamente a través de una red) como las remotas (aquellas a las que se accede a través de un router, gracias a las rutas persistentes que acabamos de crear).

  • Agregar una regla para permitir el tráfico con las nuevas subredes remotas. No nos olvidemos de que ISA Server es un Firewall. Por lo tanto, deberemos crear una nueva Regla de Acceso, utilizando la herramienta administrativa ISA Server Management, desde el nodo Firewall Policy.

Seguiremos los pasos del asistente de creación de la nueva Regla de Acceso, seleccionando el tipo de acción (Permitir o Denegar, es decir, Allow o Deny, y en nuestro caso concreto Allow), el tipo de tráfico al que se aplica la regla (seleccionar All outbound traffic, o bien, los protocolos específicos que se deseen), seleccionar el Origen y Destino al que se aplica la regla (la forma más sencilla es utilizar Internal tanto como Origen como Destino), seleccionar los usuarios a que se aplica la regla (la forma más sencilla, utilizar All user), y finalmente crear la regla y aplicar los cambios.

Realizados estos pasos, la comunicación entre dos dispositivos de red cualquiera de nuestro escenario, será posible, siempre y cuando no exista una regla de el ISA Server que se aplique denegando dicho tráfico.

Por último, aunque esta configuración la he probado sobre ISA Server 2004, evidentemente funcionará también en ISA Server 2006. Del mismo modo, entiendo que si en vez de utilizar enrutamiento estático en base a rutas persistentes, se hubiese utilizado enrutamiento dinámico en base a protocolos de enrutamiento (ej: RIP), el resultado debería haber sido idéntico.


[Fecha del Artículo (UTC): 14/07/2009]
[Autor: GuilleSQL]


Comentarios

gmorataya - 29/06/2011 (UTC)
Tengo una subred 10.10.1.0 mask 255.255.255.0 gateway 10.10.1.1 con este gateway me conecto, por medio de un servicio de fibra optica rentado, hacia otra subred 10.10.2.0 mask 255.255.255.0 gateway 10.10.2.1 en un punto remoto. Instale un ISA server 2004, en la primera subred y funciona muy bien, pero no me funciona para la segunda subred. El servicio de internet esta contratado con un proveedor diferente al de la fibra óptica y esta conectado unicamente el isa en él. Como expliqué, el isa funciona muy bien para la primera subred pero no funciona con la subred remota. Ya he configurado las subredes en el isa.


daniel87 - 23/08/2015 (UTC)
Gracias por la publicacion está muy buena, un saludo desde Cuba,quisiera que me explicaras que sucederia si en vez de un simple router como mencionas en el ejemplo la subred tuviese otro ISA instalado como es mi caso.espero respuesta si pudieras



Escribir un Comentario

Para poder escribir un comentario, debe Iniciar Sesión con un usuario.

Si no dispone de un usuario, puede Registrarse y hacerse miembro.

Si dispone de un usuario, pero no recuerda sus credenciales de acceso, puede Restablecer su Contraseña.

Miembros de
Miembros de GITCA (Global IT Community Association)

Menu de Usuario
  Iniciar Sesión
  Registrarse
  Restablecer Contraseña
  Ventajas de Registrarse

Acerca de
  Contigo desde Oct 2007
  771 usuarios registrados
  86146 pageloads/mes
  Ranking Alexa 498160

Social Networks
Sigue a Portal GuilleSQL en Linkedin !!
Sigue a Portal GuilleSQL en Twitter !!



Archivo

Mayo de 2018 (4)
Abril de 2018 (3)
Marzo de 2018 (2)
Febrero de 2018 (7)
Enero de 2018 (1)
Diciembre de 2017 (15)
Noviembre de 2017 (7)
Junio de 2017 (3)
Mayo de 2017 (1)
Marzo de 2017 (3)
Enero de 2017 (4)
Junio de 2016 (1)
Mayo de 2016 (2)
Abril de 2016 (2)
Septiembre de 2015 (2)
Agosto de 2015 (2)
Junio de 2015 (10)
Mayo de 2015 (4)
Abril de 2015 (8)
Marzo de 2015 (11)
Octubre de 2014 (3)
Septiembre de 2014 (7)
Agosto de 2014 (5)
Julio de 2014 (2)
Mayo de 2014 (4)
Abril de 2014 (4)
Marzo de 2014 (4)
Febrero de 2014 (1)
Enero de 2014 (5)
Diciembre de 2013 (8)
Noviembre de 2013 (2)
Octubre de 2013 (7)
Septiembre de 2013 (6)
Agosto de 2013 (1)
Julio de 2013 (6)
Junio de 2013 (11)
Mayo de 2013 (7)
Abril de 2013 (6)
Febrero de 2013 (5)
Enero de 2013 (7)
Diciembre de 2012 (12)
Noviembre de 2012 (13)
Octubre de 2012 (5)
Septiembre de 2012 (3)
Agosto de 2012 (6)
Julio de 2012 (4)
Junio de 2012 (1)
Mayo de 2012 (2)
Abril de 2012 (7)
Marzo de 2012 (16)
Febrero de 2012 (9)
Enero de 2012 (5)
Diciembre de 2011 (10)
Noviembre de 2011 (10)
Octubre de 2011 (4)
Septiembre de 2011 (5)
Agosto de 2011 (2)
Julio de 2011 (2)
Junio de 2011 (4)
Mayo de 2011 (2)
Abril de 2011 (6)
Marzo de 2011 (4)
Febrero de 2011 (10)
Enero de 2011 (5)
Diciembre de 2010 (6)
Noviembre de 2010 (4)
Octubre de 2010 (8)
Septiembre de 2010 (4)
Agosto de 2010 (1)
Julio de 2010 (3)
Mayo de 2010 (5)
Abril de 2010 (6)
Marzo de 2010 (8)
Febrero de 2010 (3)
Enero de 2010 (1)
Diciembre de 2009 (9)
Noviembre de 2009 (14)
Octubre de 2009 (2)
Septiembre de 2009 (8)
Agosto de 2009 (2)
Julio de 2009 (10)
Junio de 2009 (9)
Mayo de 2009 (10)
Abril de 2009 (9)
Marzo de 2009 (3)
Febrero de 2009 (2)
Enero de 2009 (3)
Noviembre de 2008 (2)
Octubre de 2008 (2)
Septiembre de 2008 (2)
Agosto de 2008 (5)
Julio de 2008 (5)
Junio de 2008 (1)
Mayo de 2008 (3)
Abril de 2008 (2)
Marzo de 2008 (2)
Febrero de 2008 (2)
Enero de 2008 (5)
Noviembre de 2007 (2)
Octubre de 2007 (2)






Esta información se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This information is provided "AS IS" with no warranties, and confers no rights.

Copyright © 2007 GuilleSQL, todos los derechos reservados.
GuilleSQL.com y GuilleSQL.net son también parte de Portal GuilleSQL.

Visitas recibidas (Page Loads) en GuilleSQL (fuente: StatCounter):

screen resolution stats
Visitas