ISA SERVER

[gundam_gdm]

Salve...
Ho dei problemi con Isa Server che vado a cercare di spiegare:
La rete è così configurata:
circa 5 pc in una rete locale che usano Isa server per "uscire" usano la posta regolarmente e navigano felicemente tramite un router ciso 1600 ISDN.
Un'altra rete è connessa tramite un altro router cisco 1600 ISDN a quest'ultima e tramite ISA devono poter navigare e usare la posta come la rete "principale" (circa 6 pc) ora il fatto è che la seconda rete non riesce ad usare la posta.
Immagino che ISA debba "nattare" gli indirizzi della seconda rete (cosa necessaria al fatto che la seconda rete deve uscire con un solo indirizzo IP).
Ora la mia domanda è questa:
ISA Server può nattare gl indirizzi della seconda rete?
Non posso mettere mano al router principale ma solo a quello con cui le 2 reti sono connesse.
Ho impostato ISA per far passare tutto il traffico possibile eliminando anche le "regole" di default di ISA
Come si può fare?
Grazie a tutti coloro vogliano rispondermi.
Se avete bisogno di altre info no esitate a chiedere
Grazie

[Einstein]

Gli indirizzi della seconda rete sono nella Local Address Table? Le due reti fanno parte dello stesso dominio?

[gundam_gdm]

Quote:

Originally posted by "Einstein"

Gli indirizzi della seconda rete sono nella Local Address Table? Le due reti fanno parte dello stesso dominio?

-gli indirizzo sono nella LAT
-non c'è dominio

Grazie per la risposta

[gundam_gdm]

nessuno che risponde?
grazie

[Einstein]

Il router Cisco dell'altra rete, connette ad Intenet o verso ISA?

[gundam_gdm]

verso isa

[Einstein]

Com'è la configurazione dell'ISA? E' quella "classica" con 2 schede di rete?
Qual è il default gateway sull'ISA? Quali sono le classi IP delle due sottoreti?

[gundam_gdm]

si, è quella classica con 2 sk di rete

comunque allego una immagine dove è riassunto lo schema.
Spero possa aiutarti a risolvere il problema...a questo punto ti chiederei come deve essere configurato ISA

Grazie

[Einstein]

La cosa strana è che il l'ISA ha due schede di rete private.
Se devi esegure NAT verso Intenet (quindi ISA di deve fare sia da firewall, sia da proxy), l'ISA deve avere una scheda di rete pubblica e una privata. Tutti gli host devono raggiugere l'ISA attraverso la scheda privata e collegarsi ad Internet tramite il suo servizio, quindi solo lui deve vedere il router verso Internet.
Il tuo contratto prevede ip statici o ti vengono assegnati dinamicamente dal provider?

[gundam_gdm]

il fatto è che isa deve connettersi al router per uscire fuori, quindi ecco perchè 2 indirizzi "privati"...
pensi che con questa configurazione no funzioni?
grazie

[gundam_gdm]

e poi perchè il router fa passare solo gli indirizzi della rete 192.168.1.xxx

isa mi server solo come proxy e che mi dia i log, e che tutti i client di tutte le reti usino outlook express per le mail...



grazie

[Einstein]

La configurazione può anche funzionare. Però fare in modo che il router verso internet "veda" anche tutti gli host della Lan non è il massimo della sicurezza...
Il tuo router verso Internet ha un unico IP privato, oppure ha due schede di rete con un IP privato e uno pubblico?
Quando dici che "ISA ti serve solo come proxy", vuoi dire che hai un altro dispositivo che ti fa da Firewall (tipo il router verso Internet)?

Scusa se ti sto tartassando di domande, invece di darti una soluzione...

[gundam_gdm]

il router verso internet ha un' interfaccia privata sulla mia lan e un'altra interfaccia che da su un'altra lan che è poi protetta da firewall verso il web. tutto quello che è dall'altra parte non è di mia competenza , nè conoscibile visto che il router verso internet è protetto da password. L'unica cosa che so è che mi consente il passaggio di tutti i protocolli che a me servono, solo se li riconosce con indirizzo ip sorgente appartenente alla rete 192.168.1.X.

[Einstein]

Allora forse ti conviene installare ISA con una sola scheda di rete e configurare solo il modulo Proxy, visto che il firewall ce l'hai già.
Sinceramente non ha molto senso avere ISA con due schede di rete con IP privato.
Inoltre i Branch Offices non appartengono alla 192.168.1.x per cui il router verso il Web non li lascerà mai passare.
Inoltre non puoi fare NAT di indirizzi che appartengono alla Local Address Table.
Secondo me hai un bel limite sul router.

[gundam_gdm]

il fatto è che per far funzionare i client di posta elettronica (outlook express) bisogna per forza di cose intsallare il firewall di isa (come dice Microsoft) e per quanto riguarda le sottoreti...le fa passare, anche perchè il grosso problema non è il proxy quanto i client di posta...

[Einstein]

Infatti il problema è che i client di posta non passano attraverso il proxy. La cosa importante secondo me è quella di ridurti ad avere un unico firewall (a meno che tu non voglia implementare una DMZ, ma non penso sia il tuo caso).
Il problema più grosso sembra essere il dispositivo verso Internet, al quale tu non puoi mettere mano. Il fatto di accettare connessioni solo da 192.168.1.x mi sembra un bel limite.