Discussione:
Configurazione VPN MPLS ISA 2004
(troppo vecchio per rispondere)
Ginopino
2007-01-23 13:01:47 UTC
Permalink
Ciao a tutti,
ho un SBS 2003 con ISA 2004 con una LAN 192.168.16.0/24
Fastweb ci ha dato, con le filiali, una connessione VPN MPLS con 4 filiali
alle quali hanno dato classe 192.168.1.0/30 a un'altra 192.168.2.0/30 etc.
Il router entra direttamente negli switch della rete e per l'accesso ad
internet viene usato un altro router collegato alla seconda scheda di rete
del server.
Leggendo e chiedendo sui NG ho fatto queste due operazioni:
Ho dato un "route -p add 192.168.1.0 mask 255.255.255.0 192.168.16.254
metric 1 (dove il 192.168.16.254 è il router VPN) per tutte le filiali e poi
ho inserito le stesse classi in ISA - Networks Internal - Addresses -
Private.
Il problema è questo: gli utenti delle filiali sono andati a dominio e
sfogliano la rete però dal server e dalla sede non si vedono i client
esterni (Cliente furente! ) in più non riesco a fare nessuna operazione su
questi client da remoto (tipo visualizzare il registro eventi).
Ho notato che nel DNS le filiali appaiono correttamente nella zona di
ricerca diretta ma non in quella inversa.
Non so più cosa fare...
Qualcuno mi saprebbe aiutare?
Grazie mille
---
.
Ginopino
.
Edoardo Benussi [MVP]
2007-01-23 14:46:58 UTC
Permalink
Post by Ginopino
Ciao a tutti,
ho un SBS 2003 con ISA 2004 con una LAN 192.168.16.0/24
Fastweb ci ha dato, con le filiali, una connessione VPN MPLS con 4
filiali alle quali hanno dato classe 192.168.1.0/30 a un'altra
192.168.2.0/30 etc. Il router entra direttamente negli switch della
rete e per l'accesso ad internet viene usato un altro router
collegato alla seconda scheda di rete del server.
Ho dato un "route -p add 192.168.1.0 mask 255.255.255.0 192.168.16.254
metric 1 (dove il 192.168.16.254 è il router VPN) per tutte le
filiali e poi ho inserito le stesse classi in ISA - Networks Internal
- Addresses - Private.
Isacab in microsoft.public.it.networking
ti aveva suggerito:

************************************************************
Quindi facendo finta che il router VPN abbia IP 192.168.16.254 dovrai
inserire tre route permaneti sulla macchina ISA così come nell'esempio :

route -p ADD 192.168.17.0 MASK 255.255.255.0 192.168.16.254 metric 1
route -p ADD 192.168.18.0 MASK 255.255.255.0 192.168.16.254 metric 1
route -p ADD 192.168.19.0 MASK 255.255.255.0 192.168.16.254 metric 1
*************************************************************

ora cosa c'entra route -p add 192.168.1.0 ?
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Ginopino
2007-01-23 14:58:06 UTC
Permalink
Ciao Edoardo,
Post by Edoardo Benussi [MVP]
Post by Ginopino
ho un SBS 2003 con ISA 2004 con una LAN 192.168.16.0/24
Fastweb ci ha dato, con le filiali, una connessione VPN MPLS con 4
filiali alle quali hanno dato classe 192.168.1.0/30 a un'altra
192.168.2.0/30 etc. Il router entra direttamente negli switch della
rete e per l'accesso ad internet viene usato un altro router
collegato alla seconda scheda di rete del server.
Ho dato un "route -p add 192.168.1.0 mask 255.255.255.0 192.168.16.254
metric 1 (dove il 192.168.16.254 è il router VPN) per tutte le
filiali e poi ho inserito le stesse classi in ISA - Networks Internal
- Addresses - Private.
Isacab in microsoft.public.it.networking
************************************************************
Quindi facendo finta che il router VPN abbia IP 192.168.16.254 dovrai
route -p ADD 192.168.17.0 MASK 255.255.255.0 192.168.16.254 metric 1
route -p ADD 192.168.18.0 MASK 255.255.255.0 192.168.16.254 metric 1
route -p ADD 192.168.19.0 MASK 255.255.255.0 192.168.16.254 metric 1
*************************************************************
ora cosa c'entra route -p add 192.168.1.0 ?
Mi hanno cambiato le classi in corsa.... per cui non ho usato qui valori di
cui ti avevo scritto ma direttamente questi.
Ora ho
192.168.1.0/30
192.168.2.0/30
192.168.3.0/30 e
192.168.4.0/30 che deve partire

Grazie per la solita gentilissima sollecitudine.
---
.
Ginopino
.
2007-01-23 15:08:43 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao Edoardo,
Post by Edoardo Benussi [MVP]
Post by Ginopino
ho un SBS 2003 con ISA 2004 con una LAN 192.168.16.0/24
Fastweb ci ha dato, con le filiali, una connessione VPN MPLS con 4
filiali alle quali hanno dato classe 192.168.1.0/30 a un'altra
192.168.2.0/30 etc. Il router entra direttamente negli switch della
rete e per l'accesso ad internet viene usato un altro router
collegato alla seconda scheda di rete del server.
Ho dato un "route -p add 192.168.1.0 mask 255.255.255.0
192.168.16.254
metric 1 (dove il 192.168.16.254 è il router VPN) per tutte le
filiali e poi ho inserito le stesse classi in ISA - Networks Internal
- Addresses - Private.
Isacab in microsoft.public.it.networking
************************************************************
Quindi facendo finta che il router VPN abbia IP 192.168.16.254 dovrai
route -p ADD 192.168.17.0 MASK 255.255.255.0 192.168.16.254 metric 1
route -p ADD 192.168.18.0 MASK 255.255.255.0 192.168.16.254 metric 1
route -p ADD 192.168.19.0 MASK 255.255.255.0 192.168.16.254 metric 1
*************************************************************
ora cosa c'entra route -p add 192.168.1.0 ?
Mi hanno cambiato le classi in corsa.... per cui non ho usato qui valori
di cui ti avevo scritto ma direttamente questi.
Ora ho
192.168.1.0/30
192.168.2.0/30
192.168.3.0/30 e
192.168.4.0/30 che deve partire
Grazie per la solita gentilissima sollecitudine.
---
.
Ginopino
.
La differenza è abissale tra /24 e /30, cambia la subnetmask quindi :

route -p ADD 192.168.1.0 MASK 255.255.255.252 192.168.16.254 metric 1
route -p ADD 192.168.2.0 MASK 255.255.255.252 192.168.16.254 metric 1
route -p ADD 192.168.3.0 MASK 255.255.255.252 192.168.16.254 metric 1
route -p ADD 192.168.4.0 MASK 255.255.255.252 192.168.16.254 metric 1

Queste sono le nuove route per ISA server.

Cmq, giusto per correttezza, il multipost andrebbe evitato!!!

Ciao Giulio

--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-23 15:25:55 UTC
Permalink
Ciao IsaCab,
scusami ma sono in piena confusione, sono a 600 Km dall'ufficio e non so che
pesci prendere...
Ti confermo il "barra 24" per i dati che mi hanno passato e quindi era
giusta la tua prima indicazione
[cut]
Post by Ginopino
Il problema è questo: gli utenti delle filiali sono andati a dominio e
sfogliano la rete però dal server e dalla sede non si vedono i client
esterni in più non riesco a fare nessuna operazione su questi client da
remoto (tipo visualizzare il registro eventi).
Ho notato che nel DNS le filiali appaiono correttamente nella zona di
ricerca diretta ma non in quella inversa.
Post by
Cmq, giusto per correttezza, il multipost andrebbe evitato!!!
Hai perfettamente ragione e me ne scuso ancora.
---
.
Ginopino
.
2007-01-23 15:46:53 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao IsaCab,
scusami ma sono in piena confusione, sono a 600 Km dall'ufficio e non so
che pesci prendere...
Non preoccuparti, con un po' di calma e volontà si sistema tutto.
Post by Ginopino
Ti confermo il "barra 24" per i dati che mi hanno passato e quindi era
giusta la tua prima indicazione
Ok, benissimo.
Post by Ginopino
[cut]
Post by Ginopino
Il problema è questo: gli utenti delle filiali sono andati a
dominio e
Post by Ginopino
sfogliano la rete però dal server e dalla sede non si vedono i
client
Post by Ginopino
esterni in più non riesco a fare nessuna operazione su questi
client da
Post by Ginopino
remoto (tipo visualizzare il registro eventi).
Ho notato che
nel DNS le filiali appaiono correttamente nella zona di
Post by Ginopino
ricerca diretta
ma non in quella inversa.
[CUT]

Inizia subito con il verificare che su ISAserver
1) Monitor->Alert non ci siano alert
2) Monitor->Logging non venga bloccato il traffico verso le reti remote

Se sia per il punto 1 che 2 trovi qualche anomalia sarebbe utile se la
postassi.

Ciao Giulio


--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-23 16:12:20 UTC
Permalink
Post by
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao IsaCab,
scusami ma sono in piena confusione, sono a 600 Km dall'ufficio e non so
che pesci prendere...
Non preoccuparti, con un po' di calma e volontà si sistema tutto.
Post by Ginopino
Ti confermo il "barra 24" per i dati che mi hanno passato e quindi era
giusta la tua prima indicazione
Ok, benissimo.
Post by Ginopino
[cut]
Post by Ginopino
Il problema è questo: gli utenti delle filiali sono andati a
dominio e
Post by Ginopino
sfogliano la rete però dal server e dalla sede non si vedono i
client
Post by Ginopino
esterni in più non riesco a fare nessuna operazione su questi
client da
Post by Ginopino
remoto (tipo visualizzare il registro eventi).
Ho notato che
nel DNS le filiali appaiono correttamente nella zona di
Post by Ginopino
ricerca diretta
ma non in quella inversa.
[CUT]
Inizia subito con il verificare che su ISAserver
1) Monitor->Alert non ci siano alert
Un Alert per una pubblicazione sbagliata di una porta TS (però lo sapevo...)
Un altro Alert per: "The WEB Proxy filter failed to bind its socket to
192.168.16.2 port 80 - e' il server SBS con ISA - This may have been caused
by another service that is already using the same port or by a network
adapter that is not functional. To resolve this issue, restart the Microsoft
Firewall Service. The error code specified in tha data area of the event
properties indicates the cause of the failure. The failure is due to error:
0x80072740"
Ho riavviato il servizio Firewall e adesso non ho altri Alert.
Post by
2) Monitor->Logging non venga bloccato il traffico verso le reti remote
Ecco, qui non ho ben capito... però non ci sono "bollino rossi" né avvisi di
altro tipo
---
.
Ginopino
.
2007-01-23 16:20:56 UTC
Permalink
Ginopino ha scritto nel messagio
***@TK2MSFTNGP05.phx.gbl


[CUT]
Post by Ginopino
Un Alert per una pubblicazione sbagliata di una porta TS (però lo sapevo...)
OK.
Post by Ginopino
Un altro Alert per: "The WEB Proxy filter failed to bind its socket to
192.168.16.2 port 80 - e' il server SBS con ISA - This may have been
caused by another service that is already using the same port or by a
network adapter that is not functional. To resolve this issue, restart the
Microsoft Firewall Service. The error code specified in tha data area of
the
event properties indicates the cause of the failure. The failure is due to
error: 0x80072740"
Ho riavviato il servizio Firewall e adesso non ho altri Alert.
Non basta riavviare il servizio, ma dovresti anche cambiare la porta del Web
Proxy e metterla su 8080
Post by Ginopino
Post by
2) Monitor->Logging non venga bloccato il
traffico verso le reti
Post by
remote
Ecco, qui non ho ben capito... però non ci sono "bollino rossi" né
avvisi di altro tipo
---
.
Ok scusami sono stato frettoloso io.
Devi analizzare i log di ISA server per vedere se qualche regola blocca il
traffico tra Internal e le reti della VPN. Per fare questo puoi usare il
RealTime Monitor di ISA che si trova in
Monitor->Logging, qui devi fare start logging e controllare le righe che
vengono fuori alla ricerca di qualcosa di sospetto in base al problema che
hai, se vedi qualche riga strana, fai stop logging e posti la riga
incriminata.


Ciao Giulio
--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-23 16:43:44 UTC
Permalink
[Cut]
Post by
Post by Ginopino
Un altro Alert per: "The WEB Proxy filter failed to bind its socket to
192.168.16.2 port 80 - e' il server SBS con ISA - This may have been
caused by another service that is already using the same port or by a
network adapter that is not functional. To resolve this issue, restart the
Microsoft Firewall Service. The error code specified in tha data area of
the
event properties indicates the cause of the failure. The failure is due to
error: 0x80072740"
Ho riavviato il servizio Firewall e adesso non ho altri Alert.
Non basta riavviare il servizio, ma dovresti anche cambiare la porta del
Web Proxy e metterla su 8080
Dove lo faccio?

[cut]
Post by
Devi analizzare i log di ISA server per vedere se qualche regola blocca il
traffico tra Internal e le reti della VPN. Per fare questo puoi usare il
RealTime Monitor di ISA che si trova in
Monitor->Logging, qui devi fare start logging e controllare le righe che
vengono fuori alla ricerca di qualcosa di sospetto in base al problema che
hai, se vedi qualche riga strana, fai stop logging e posti la riga
incriminata.
Adesso mi cimento :-)

---
.
Ginopino
.
2007-01-23 17:14:40 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
[Cut]
Post by
Post by Ginopino
Un altro Alert per: "The WEB Proxy filter failed to bind its socket to
192.168.16.2 port 80 - e' il server SBS con ISA - This may have been
caused by another service that is already using the same port or by a
network adapter that is not functional. To resolve this issue, restart the
Microsoft Firewall Service. The error code specified in tha data area
of the
event properties indicates the cause of the failure. The failure is due to
error: 0x80072740"
Ho riavviato il servizio Firewall e adesso non ho altri Alert.
Non basta riavviare il servizio, ma dovresti anche cambiare la porta
del Web Proxy e metterla su 8080
Dove lo faccio?
Netowork->Internal->WebProxy

[CUT]

Ciao Giulio
--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-23 17:21:11 UTC
Permalink
Ciao IsaCab
dovresti anche cambiare la porta del Web Proxy e metterla su 8080
[cut]
E ' già così
---
.
Ginopino
.
2007-01-23 17:32:50 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao IsaCab
dovresti anche cambiare la porta del Web Proxy e metterla su 8080
[cut]
E ' già così
---
.
Ginopino
.
Controlla bene, perchè il tipo di errore da segnalato significa che esiste
già un servizio in ascolto sulla stessa porta di WebProxy.

Dai un occhiata qui per maggiori dettagli :

http://support.microsoft.com/default.aspx?scid=kb;en-us;284662&Product=ISAS


Ciao Giulio
--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-25 09:27:43 UTC
Permalink
Ciao Giulio,
no ho capito se il routing è corretto; vista la mole di gthread e di casini
che ho fatto, ti sarà certanmente sfuggito.
Io ho fatto:
route -p add 192.168.5.0 mask 255.255.255.0 192.168.16.254 metric 1 e poi
avevo anche aggiunto in Network -> Internal -> Addresses il valore
"192.168.5.0 - 192.168.5.255" utilizzando "Add private".
E' giusto o può essere questo il motivo?
---
.
Ginopino
.
2007-01-25 09:44:01 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao Giulio,
no ho capito se il routing è corretto; vista la mole di gthread e di
casini che ho fatto, ti sarà certanmente sfuggito.
route -p add 192.168.5.0 mask 255.255.255.0 192.168.16.254 metric 1 e
poi avevo anche aggiunto in Network -> Internal -> Addresses il valore
"192.168.5.0 - 192.168.5.255" utilizzando "Add private".
E' giusto o può essere questo il motivo?
---
.
Ginopino
.
La route è giusta è il resto che lo è parzialmente. Ti avevo già segnalato
il link ma non lo hai letto attentemente...:-)

http://www.isaserver.it/forum/topic.asp?TOPIC_ID=391

Diciamo che teoricamente hai fatto bene, praticamente un po' meno. Nel senso
che invece di aggiungere a manina il range su internal, lascia che sia ISA a
prenderselo seguendo le indicazioni del link.

Il motivo per cui ti conviene fare così, è che se dopo aver eseguito le
indicazioni del link, ti ritrovi anche la network 192.168.5.0 tra le
internal allora sei sicuro che ISA l'ha riconosciuta come tale.


Ciao Giulio


--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-25 10:05:49 UTC
Permalink
Ciao Giulio,
non c'è modo di verificarlo?
Oppure devo rifare tutto daccapo...:-(
Quando ho letto l'articolo, la mia fesseria l'avevo già fatta.
Ti scrivo sotto per una cosa che ho scoperto...
---
.
Ginopino
.
2007-01-25 10:19:15 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao Giulio,
non c'è modo di verificarlo?
Oppure devo rifare tutto daccapo...:-(
Quando ho letto l'articolo, la mia fesseria l'avevo già fatta.
Ti scrivo sotto per una cosa che ho scoperto...
---
.
Ginopino
.
Una cosa per volta.

Non ci sono problemi se hai già inserito il range a mano, lo rimuovi e segui
le indicazioni del link.

Ciao Giulio


--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-23 16:55:05 UTC
Permalink
[cut]
Post by
Devi analizzare i log di ISA server per vedere se qualche regola blocca il
traffico tra Internal e le reti della VPN. Per fare questo puoi usare il
RealTime Monitor di ISA che si trova in
Monitor->Logging, qui devi fare start logging e controllare le righe che
vengono fuori alla ricerca di qualcosa di sospetto in base al problema che
hai, se vedi qualche riga strana, fai stop logging e posti la riga
incriminata.
ho messo un filtro su destination network e ho cercato di connettermi al PC
con \\192.168.5.13 (e non ci sono riuscito)
Ho ottenuto (credo per qualla azione)
Destination IP: 192.168.5.1
Destination Port: 139
Protocol: Netbios Session
Action: Close Connection
Rule: Allow NetBios from ISA Server to trusted servers
Client IP: 192.168.16.2 (che è il server SBS con ISA)
Source Network: Local Host
Destination Network: Internal

---
.
Ginopino
.
2007-01-23 17:23:08 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
[cut]
Post by
Devi analizzare i log di ISA server per vedere se qualche regola
blocca il traffico tra Internal e le reti della VPN. Per fare questo puoi
usare
il RealTime Monitor di ISA che si trova in
Monitor->Logging, qui devi fare start logging e controllare le righe
che vengono fuori alla ricerca di qualcosa di sospetto in base al
problema
che hai, se vedi qualche riga strana, fai stop logging e posti la riga
incriminata.
ho messo un filtro su destination network e ho cercato di connettermi al
PC con \\192.168.5.13 (e non ci sono riuscito)
Ho ottenuto (credo per qualla azione)
Destination IP: 192.168.5.1
Destination Port: 139
Protocol: Netbios Session
Action: Close Connection
Rule: Allow NetBios from ISA Server to trusted servers
Client IP: 192.168.16.2 (che è il server SBS con ISA)
Source Network: Local Host
Destination Network: Internal
---
.
Ginopino
.
La regola viene eseguita correttamente.

Devi cercare le righe dove viene riportato Denyed, e poi mi servirebbe il
tipo di errore dos :

Da prompt dei comandi fai net view \\192.168.5.13 e vedi che errore di
riporta. Poi prova anche a fare un ping.

Ciao Giulio

--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-23 17:54:58 UTC
Permalink
Post by
Devi cercare le righe dove viene riportato Denyed, e poi mi servirebbe il
Da prompt dei comandi fai net view \\192.168.5.13 e vedi che errore di
riporta.
Errore di sistema 53.
Impossibile trovare il percorso di rete

Poi prova anche a fare un ping.

Risposta da 192.168.5.13: Byte=32 durata 12ms TTL=125
Risposta da 192.168.5.13: Byte=32 durata 96ms TTL=125
Risposta da 192.168.5.13: Byte=32 durata 91ms TTL=125
Risposta da 192.168.5.13: Byte=32 durata 15ms TTL=125

Ora che quasi tutti i Client sono spenti, ho pochissima attività nel logging
e non ho nessuna negazione.

Il 192.168.5.13 è a dominio e sfoglia la rete...
---
.
Ginopino
.
2007-01-23 18:06:37 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Post by
Devi cercare le righe dove viene riportato Denyed, e poi mi servirebbe il
Da prompt dei comandi fai net view \\192.168.5.13 e vedi che errore di
riporta.
Errore di sistema 53.
Impossibile trovare il percorso di rete
Poi prova anche a fare un ping.
Risposta da 192.168.5.13: Byte=32 durata 12ms TTL=125
Risposta da 192.168.5.13: Byte=32 durata 96ms TTL=125
Risposta da 192.168.5.13: Byte=32 durata 91ms TTL=125
Risposta da 192.168.5.13: Byte=32 durata 15ms TTL=125
Ora che quasi tutti i Client sono spenti, ho pochissima attività nel
logging e non ho nessuna negazione.
Il 192.168.5.13 è a dominio e sfoglia la rete...
---
.
Ginopino
.
Ok l'errore è il tipico errore di risoluzione dei nomi netbios.

Prima di procedere con eventuali wins e/o LMHosts, fai la prova ad inserire
a manina nel tuo server DNS sulla zona inversa il client remoto.

Riprova net view prima usando l'ip e poi usando il nome host (notazione
netbios) e nome host (notazione FQDN) e posta i risultati.


Ciao Giulio


--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-23 18:15:34 UTC
Permalink
Ciao IsaCab,
il problema della zona inversa è che è 192.168.16.x e quindi non mi fa
mettere, ad esempio 192.168.5.13
---
.
Ginopino
.
2007-01-23 18:24:58 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao IsaCab,
il problema della zona inversa è che è 192.168.16.x e quindi non mi fa
mettere, ad esempio 192.168.5.13
---
.
Ginopino
.
E' giusto, devi creare delle zone inverse per tutte le sottoreti che fanno
parte della wan.

Ciao Giulio


--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-23 18:39:01 UTC
Permalink
Ciao Giulio,
ho creato una zona inversa 192.168.5.x (un'altra zona primaria integrata in
AD); e ho riavviato il servizio DNS.
Ho rifatto il PING e la prova con le tre diverse modalità di net view.
Ottengo lo stesso risultato: il PING funziona e ho poi tre volte l'errore
53.
Impossibile trovare il percorso di rete.
Ciao Ginopino
2007-01-23 18:59:52 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao Giulio,
ho creato una zona inversa 192.168.5.x (un'altra zona primaria integrata
in AD); e ho riavviato il servizio DNS.
Ho rifatto il PING e la prova con le tre diverse modalità di net view.
Ottengo lo stesso risultato: il PING funziona e ho poi tre volte
l'errore 53.
Impossibile trovare il percorso di rete.
Ciao Ginopino
Quando hai inserito il client in AD, sul DNS è stata aggiornata solo la zona
di ricerca diretta, visto che la zona di ricerca inversa per la classe ip
192.168.5.0 non esisteva. A questo punto, puoi fare in due modi, o ti crei a
manina nella zona inversa 192.168.5 il record PRT che fa riferimento al
Host(A) della zona diretta, oppure vai nella zona diretta, vai sull'host
interessato (A), proprietà, ti assicuri che sia selezionato il check
'aggiorna record PRT associato e fai applica (Di default applica è
disabilitato, quindi deseziona e riseleziona il check).

Dopo di controlla nella zona inversa che esista il record 192.168.5.13 e che
punti al nome hosts(A) corretto e rifai le prove (Net view)


Ciao Giulio
--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-23 19:17:35 UTC
Permalink
Ciao Giulio,
avevo già fatto l'aggiunta a minina e poi ho riavviato tutto...
Stesse prove, stesso risultato.
---
.
Ginopino.
.
2007-01-23 19:23:15 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao Giulio,
avevo già fatto l'aggiunta a minina e poi ho riavviato tutto...
Stesse prove, stesso risultato.
---
.
Ginopino.
.
Ok, adesso prova a fare nslookup 192.168.5.13 e poi prova a fare nslookup
(hosts).(dominio).(Radice)

e anche nslookup hosts

fatto questo fai anche net view \\(hosts).(dominio).(Radice)

Ciao Giulio

--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-23 19:34:18 UTC
Permalink
Ciao Giulio,
Post by
Ok, adesso prova a fare nslookup 192.168.5.13
Mi risponde con:
Server: Mioserver.dominio.local
Address: 192.168.16.2 (mio IP)
Nome: Nome completo del client
Address: 192.168.15.5 (IP del Client)
Post by
e poi prova a fare nslookup (hosts).(dominio).(Radice)
Mi risponde esattamente come sopra.
Post by
e anche nslookup hosts
Mi risponde esattamente come sopra
Post by
fatto questo fai anche net view \\(hosts).(dominio).(Radice)
Mi risponde con:
Errore di sistema 53.
Impossibile trovare il percorso di rete.

Comincio davvero a disperarmi...
---
.
Ginopino
.
2007-01-23 19:42:04 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao Giulio,
Post by
Ok, adesso prova a fare nslookup 192.168.5.13
Server: Mioserver.dominio.local
Address: 192.168.16.2 (mio IP)
Nome: Nome completo del client
Address: 192.168.15.5 (IP del Client)
Post by
e poi prova a fare nslookup (hosts).(dominio).(Radice)
Mi risponde esattamente come sopra.
Post by
e anche nslookup hosts
Mi risponde esattamente come sopra
Post by
fatto questo fai anche net view \\(hosts).(dominio).(Radice)
Errore di sistema 53.
Impossibile trovare il percorso di rete.
Comincio davvero a disperarmi...
---
.
Ginopino
.
:-), stai tranquillo, sai perchè sono fiducioso, semplicemente perchè sono
da un cliente che ha +/- il tuo stesso scenario solo con 9 sedi periferiche
e vpn telecom, e tutto funziona alla perfezione.

Ora però devo lasciarti perchè la famiglia mi aspetta, ma domani mattina se
vuoi riprendiamo da qui.

Nel frattempo, dovresti assicurarti, che la VPN fastweb non blocchi il
protocollo netbeui/netbios, altrimenti possiamo farci poco.


Ciao Giulio


--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-23 19:48:25 UTC
Permalink
Ciao Giulio,
giro la domanda a Fastweb.
Intanto di ringrazio.
Ti "riassalirò" domattina....

---
.
Ginopino
.
2007-01-24 08:58:05 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Post by Ginopino
Ciao Giulio,
Ok, adesso prova a fare nslookup 192.168.5.13
Server: Mioserver.dominio.local
Address: 192.168.16.2 (mio IP)
Nome: Nome completo del client
Address: 192.168.15.5 (IP del Client)
Ciao, stavo riguradando un po i post, e qui mi sono perso.

Se fai un nslookup 192.168.5.13 perchè ti viene fuori 192.168.15.5 ?


CIao Giulio

--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-24 09:59:52 UTC
Permalink
Ciao Giulio,
Post by
Ciao, stavo riguradando un po i post, e qui mi sono perso.
Se fai un nslookup 192.168.5.13 perchè ti viene fuori 192.168.15.5 ?
Ho sbagliato a scrivere...
Ora la situazione è questa: ho parlato con Fastweb e mi hanno detto che se
loro vedono me io devo vedere loro.
Poi misteriosamente mi è apparsa, sfogliando la rete, una filiale su tre.
Le altre non le vedo anche se stanno lavorando....
In più, nella filiale che vedo, l'unica macchina di cui riesco a gestire
qualche cosa (es. vedere il registro eventi) è un 2000Professional mentre
non riesco a fare niente con gli XP.

---
.
Ginopino
.
2007-01-24 10:13:01 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao Giulio,
Post by
Ciao, stavo riguradando un po i post, e qui mi sono perso.
Se fai un nslookup 192.168.5.13 perchè ti viene fuori 192.168.15.5 ?
Ho sbagliato a scrivere...
Giusto come consiglio, quando puoi, fai un copia incolla, è meglio.
Post by Ginopino
Ora la situazione è questa: ho parlato con Fastweb e mi hanno detto che se
loro vedono me io devo vedere loro.
Considerazione giusta.
Post by Ginopino
Poi misteriosamente mi è apparsa, sfogliando la rete, una filiale su tre.
Meglio di nulla. :.-)
Post by Ginopino
Le altre non le vedo anche se stanno lavorando....
In più, nella filiale che vedo, l'unica macchina di cui riesco a gestire
qualche cosa (es. vedere
il registro eventi) è un 2000Professional
mentre non riesco a fare niente con gli XP.
Adesso va già meglio. Hai controllato che sulle macchine XP sia disabilitato
il firewall di XP è che sia abilitato il servizio 'Helper NetBIOS di TCP/IP'
?


Ciao Giulio
--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-24 10:27:37 UTC
Permalink
Ciao Giulio,
Post by
Post by Ginopino
Poi misteriosamente mi è apparsa, sfogliando la rete, una filiale su tre.
Meglio di nulla. :.-)
Post by Ginopino
Le altre non le vedo anche se stanno lavorando....
In più, nella filiale che vedo, l'unica macchina di cui riesco a gestire
qualche cosa (es. vedere
il registro eventi) è un 2000Professional
mentre non riesco a fare niente con gli XP.
Adesso va già meglio. Hai controllato che sulle macchine XP sia
disabilitato il firewall di XP
C'è su ISA Client
Post by
e che sia abilitato il servizio 'Helper NetBIOS di TCP/IP' ?
Sì, è su.

La ferale notizia è che nessuno si connette più a https://
IPPubblico/exchange (timeout di ISA). Adesso faccio delle verifiche.
Ma tra un po' mi sparano.
---
.
Ginopino
.
2007-01-24 11:11:04 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao Giulio,
Post by
Post by Ginopino
Poi misteriosamente mi è apparsa, sfogliando la rete, una filiale su tre.
Meglio di nulla. :.-)
Post by Ginopino
Le altre non le vedo anche se stanno lavorando....
In più, nella filiale che vedo, l'unica macchina di cui riesco a gestire
qualche cosa (es. vedere
il registro eventi) è un 2000Professional
mentre non riesco a fare niente con gli XP.
Adesso va già meglio. Hai controllato che sulle macchine XP sia
disabilitato il firewall di XP
C'è su ISA Client
Post by
e che sia abilitato il servizio 'Helper NetBIOS di TCP/IP' ?
Sì, è su.
La ferale notizia è che nessuno si connette più a https://
IPPubblico/exchange (timeout di ISA). Adesso faccio delle verifiche.
Ma tra un po' mi sparano.
---
.
Ginopino
.
Questo succede quando si affromntano troppi problemi contemporaneamente.

Prima di tutto è necessario che Monitor->Alert sia pulito, se così non è
allora abbiamo un problema e va risolto altrimenti non si va avanti.


Ciao Giulio


--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-24 11:31:41 UTC
Permalink
Ciao Giulio,
ho riguardato gli Alerts: l'unicosegnalato è quello dell'errore che ti ho
già mandato ieri : il problema sulla porta 80 già usata!
Ho restartato il firewall service ma non è cambiato nulla.
il WEB Proxy della scheda Internal era già su 8080.
---
.
Ginopino
.
Ginopino
2007-01-24 11:11:10 UTC
Permalink
Ciao Giulio,
non so se sia una informazione importante, ma ho visto che la connessione
con TS funziona sia che io usi il desktop remoto con l'IP che con l'host.
Mentre da AD se cerco di fare "gestisci" sull'host, mi sdice che non lo
trova...
Per la connessione da fuori con /remote, invece, nessuna novità: ISA va in
timeout mentre se mi connetto da fuori con il TS lavoro tranquillamente.
---
.
Ginopino
.
2007-01-23 15:11:51 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao Edoardo,
Post by Edoardo Benussi [MVP]
Post by Ginopino
ho un SBS 2003 con ISA 2004 con una LAN 192.168.16.0/24
Fastweb ci ha dato, con le filiali, una connessione VPN MPLS con 4
filiali alle quali hanno dato classe 192.168.1.0/30 a un'altra
192.168.2.0/30 etc. Il router entra direttamente negli switch della
rete e per l'accesso ad internet viene usato un altro router
collegato alla seconda scheda di rete del server.
Ho dato un "route -p add 192.168.1.0 mask 255.255.255.0
192.168.16.254
metric 1 (dove il 192.168.16.254 è il router VPN) per tutte le
filiali e poi ho inserito le stesse classi in ISA - Networks Internal
- Addresses - Private.
Isacab in microsoft.public.it.networking
************************************************************
Quindi facendo finta che il router VPN abbia IP 192.168.16.254 dovrai
route -p ADD 192.168.17.0 MASK 255.255.255.0 192.168.16.254 metric 1
route -p ADD 192.168.18.0 MASK 255.255.255.0 192.168.16.254 metric 1
route -p ADD 192.168.19.0 MASK 255.255.255.0 192.168.16.254 metric 1
*************************************************************
ora cosa c'entra route -p add 192.168.1.0 ?
Mi hanno cambiato le classi in corsa.... per cui non ho usato qui valori
di cui ti avevo scritto ma direttamente questi.
Ora ho
192.168.1.0/30
192.168.2.0/30
192.168.3.0/30 e
192.168.4.0/30 che deve partire
Grazie per la solita gentilissima sollecitudine.
---
.
Ginopino
.
Ciao,

inoltre scusami se mi permetto, ma sei sicuro che siano /30. In questo modo
puoi avere max 4 host per sede remota sullo stesso segmento logico ?

Ciao Giulio


--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
ObiWan [MVP]
2007-01-23 15:27:27 UTC
Permalink
Post by
inoltre scusami se mi permetto, ma sei sicuro che siano /30.
In questo modo puoi avere max 4 host per sede remota sullo
stesso segmento logico ?
Beh .. se le 192.168.x.y sono solo utilizzate per gli endpoint
e se usa NAT .. quattro hosts per endpoint potrebbero anche
essere più che sufficienti :)

ciao
2007-01-23 15:42:04 UTC
Permalink
ObiWan ha scritto nel messagio
Post by ObiWan [MVP]
Post by
inoltre scusami se mi permetto, ma sei sicuro che siano /30.
In questo modo puoi avere max 4 host per sede remota sullo
stesso segmento logico ?
Beh .. se le 192.168.x.y sono solo utilizzate per gli endpoint
e se usa NAT .. quattro hosts per endpoint potrebbero anche
essere più che sufficienti :)
ciao
Certo, sono daccordo, ma nn credo sia questo lo scenario, e infatto è stato
riconfermato il /24. :-)

Ciao ObiWan e buon lavoro

Giulio
--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
2007-01-24 11:59:43 UTC
Permalink
Ginopino ha scritto nel messagio
***@TK2MSFTNGP02.phx.gbl

---
Post by Ginopino
Ciao Giulio,
non so se sia una informazione importante, ma ho visto che la connessione
con TS funziona sia che io usi il desktop remoto con l'IP che con l'host.
Mentre da AD se cerco di fare "gestisci" sull'host, mi sdice che non lo
trova...
---

Allora riprendiamo da qui.
Non lo trova perchè non riesce a risolvere il nome in IP o perchè è spento.

Fai un nslookup host.dominio.radice e posta il risultato (Fai un
copia/incolla questa volta)
Post by Ginopino
Per la connessione da fuori con /remote, invece, nessuna novità: ISA va in
timeout mentre se mi connetto da fuori con il TS lavoro tranquillamente.
Questo lo affrontiamo in un secondo momento.

Ciao Giulio


--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-24 12:23:07 UTC
Permalink
Ciao Giulio,
Post by
Ginopino ha scritto nel messagio
---
Post by Ginopino
Ciao Giulio,
non so se sia una informazione importante, ma ho visto che la connessione
con TS funziona sia che io usi il desktop remoto con l'IP che con l'host.
Mentre da AD se cerco di fare "gestisci" sull'host, mi sdice che non lo
trova...
---
Allora riprendiamo da qui.
Non lo trova perchè non riesce a risolvere il nome in IP o perchè è spento.
Ma allora non dovrebbe funzionare neanche il desktop remoto (che invece
funziona sia con l'indirizzo IP che con il NomeHost
Post by
Fai un nslookup host.dominio.radice e posta il risultato (Fai un
copia/incolla questa volta)
nslookup a1-romafil-012.mydomain.local
Server: Thor.mydomain.local
Address: 192.168.16.2

Name:a1-romafil-012.mydomain.local
Address: 192.168.5.12

---
.
Ginopino
.
Ginopino
2007-01-24 14:26:23 UTC
Permalink
Ciao Giulio,
ti mando un'altra info che forse ti può aiutare a capire qualche cosa di
questo casino...
Personalmente a me non dice niente (anche perchè non ho capito bene
l'errore).
Ad un certo punto ho "perso" l'unica filiale che vedevo sfogliando la rete
(questo senza fare nulla).
Sono andato nel registro eventi e ho trovato due errori nel registro di
sistema (Browser 8015 e 8035) .
Boh
---
.
Ginopino
.
2007-01-24 14:47:34 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao Giulio,
ti mando un'altra info che forse ti può aiutare a capire qualche cosa di
questo casino...
Personalmente a me non dice niente (anche perchè non ho capito bene
l'errore).
Ad un certo punto ho "perso" l'unica filiale che vedevo sfogliando la
rete (questo senza fare nulla).
Sono andato nel registro eventi e ho trovato due errori nel registro di
sistema (Browser 8015 e 8035) .
Boh
---
.
Ginopino
.
Ciao GinoPino, creco che sia arrivato il momento di pensare alla
installazione di un server Wins.

Per maggiori dettagli dai un occhiata qui :

http://www.microsoft.com/technet/archive/winntas/deploy/prodspecs/ntbrowse.mspx?mfr=true

In questo articolo viene affrontato in maniera dettagliata proprio il tuo
problema, quindi leggilo con molta attenzione.

Ciao Giulio


--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-24 14:58:11 UTC
Permalink
Gasp! direbbe Paperino...
Mi ero fatto la stessa idea ma l'avevo accantonata perché non l'ho mai
fatto.
Ho visto che c'è un WINS manager che indica già THOR (192.168.16.2)
Ma credo che debba essere popolato in qualche modo.
Hai qualche dritta?
---
Ginopino
.
2007-01-24 15:08:49 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Gasp! direbbe Paperino...
Mi ero fatto la stessa idea ma l'avevo accantonata perché non l'ho mai
fatto.
Ho visto che c'è un WINS manager che indica già THOR (192.168.16.2)
Ma credo che debba essere popolato in qualche modo.
Hai qualche dritta?
---
Ginopino
.
Inizia da qui :

http://technet2.microsoft.com/WindowsServer/en/library/e59ecd56-f5f2-444f-a9fb-e2ff226c46f41033.mspx?mfr=true

Ciao Giulio
--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-24 16:08:18 UTC
Permalink
Ciao Giulio,
ho fitto un file LMHOSTS con tutti quanti gli IP e le macchine (Server,
macchine interne e macchine esterne).
Ho tolto la replica di AD da un WIN2000 (che è quello che credo abbia
causato l'errore).
Misteriosamente e miracolosamente ora funziona anche il /remote...
Però se faccio browsing sulla rete, c'è solo la sede...
Temo che si debba riavviare qualche cosa, se non tutto, ma qui ho un bel po'
di utenti collegati.
---
.
Ginopino
.
Ginopino
2007-01-25 08:35:06 UTC
Permalink
Ciao Giulio,
ho riavviato tutto.
Lunico errore è quello solito per la porta 80.
Riavviando Microsoft Firewall funziona anche il /remote.
La situazione del browsing di rete e delle gestioni da AD è sempre la
stessa.
La sede non vede le filiali ma le filiali vedono la rete, tutti si pingano,
dalla sede si riesce a prendere in TS le filiali.
WINS è su.
---
.
Ginopino
.
2007-01-25 08:52:58 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao Giulio,
ho riavviato tutto.
Lunico errore è quello solito per la porta 80.
Riavviando Microsoft Firewall funziona anche il /remote.
La situazione del browsing di rete e delle gestioni da AD è sempre la
stessa.
La sede non vede le filiali ma le filiali vedono la rete, tutti si
pingano, dalla sede si riesce a prendere in TS le filiali.
WINS è su.
---
.
Ginopino
.
Io inizierei a capire il perchè di questo errore.

Puoi pstare l'alert completo ?

Ciao Giulio


--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-25 09:11:58 UTC
Permalink
Post by
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao Giulio,
ho riavviato tutto.
Lunico errore è quello solito per la porta 80.
Riavviando Microsoft Firewall funziona anche il /remote.
La situazione del browsing di rete e delle gestioni da AD è sempre la
stessa.
La sede non vede le filiali ma le filiali vedono la rete, tutti si
pingano, dalla sede si riesce a prendere in TS le filiali.
WINS è su.
---
.
Ginopino
.
Io inizierei a capire il perchè di questo errore.
Puoi pstare l'alert completo ?
"The WEB Proxy filter failed to bind its socket to 192.168.16.2 port 80
This may have been caused by another service that is already using the same
port or by a network adapter that is not functional. To resolve this issue,
restart the Microsoft Firewall Service. The error code specified in tha
data area of the event properties indicates the cause of the failure. The
failure is due to error: 0x80072740"
La porta del Web Proxy è su 8080
La porta 80 è usata da IIS come sito web predefinito e la 80 con hostheader
per companyweb
---
.
Ginopino
.
2007-01-25 09:26:21 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Post by
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao Giulio,
ho riavviato tutto.
Lunico errore è quello solito per la porta 80.
Riavviando Microsoft Firewall funziona anche il /remote.
La situazione del browsing di rete e delle gestioni da AD è sempre la
stessa.
La sede non vede le filiali ma le filiali vedono la rete, tutti si
pingano, dalla sede si riesce a prendere in TS le filiali.
WINS è su.
---
.
Ginopino
.
Io inizierei a capire il perchè di questo errore.
Puoi pstare l'alert completo ?
"The WEB Proxy filter failed to bind its socket to 192.168.16.2 port 80
This may have been caused by another service that is already using the
same port or by a network adapter that is not functional. To resolve this
issue, restart the Microsoft Firewall Service. The error code specified in
tha
data area of the event properties indicates the cause of the failure.
The failure is due to error: 0x80072740"
La porta del Web Proxy è su 8080
La porta 80 è usata da IIS come sito web predefinito e la 80 con
hostheader per companyweb
---
.
Ginopino
.
Ho capito qual'è il tuo problema relativamente a questo errore :

Non è che per caso hai IIS inascolto sulla porta 80 sulla stessa macchina
ISA dove tra le altre cose hai una regola di pubblicazione del sito che
ascolta sulla porta 80 ?

Se è così, allora devi prendere dei provvedimenti :

1) Cambi la porta IIS
2) Cambi il listener della regola di pubblicazione del sito WEB
3) dai un occhiata qui : http://support.microsoft.com/kb/888650/en-us
4) Sposti IIS su un'altro server che non sia ISA


Ciao Giulio

--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-25 10:10:06 UTC
Permalink
Ciao Giulio,
appena posso faccio anche questo modifiche.
In effetti con SBS ho ISA e IIS sulla stessa macchina...

Ho usato ***@lan per verificare i valori della rete.
ho lanciato una scansione della rete da 192.168.0.0 a 192.168.17.255
I client della sede hanno popolato l'hostname e il netbiosname
I client delle filiali hanno popolato solo l'hostname e il netbiosname è
vuoto.
Può essere utile?
---
.
Ginopino
.
2007-01-25 10:28:08 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao Giulio,
appena posso faccio anche questo modifiche.
In effetti con SBS ho ISA e IIS sulla stessa macchina...
Ok, leggi qui, e troverai la soluzione... :-)
http://groups.google.it/group/microsoft.public.windows.server.sbs/browse_thread/thread/62e37182c19167dd/81ab10eb96908ae5?lnk=st&q=sbs+WEB+Proxy+filter+failed+to+bind+its+socket+&rnum=1&hl=it#81ab10eb96908ae5
Post by Ginopino
ho lanciato una scansione della rete da 192.168.0.0 a 192.168.17.255
I client della sede hanno popolato l'hostname e il netbiosname
I client delle filiali hanno popolato solo l'hostname e il netbiosname è
vuoto.
Può essere utile?
---
.
Ginopino
.
Puo' essere normale. Se non viene specificato diversamente (Vedi
Wins/LMHosts) la risoluzione netbios avviene per cache + broadcast. E'
evidente che il broadcast verso le sedi remote viene bloccato da qualcuno
(Isa o i router della VPN).

Soluzione :
Dopo aver installato il server wins, devi fare in modo che venga contattato
per la risoluzione dei nomi apportando queste modifiche :

1) Server DNS --> Aggiungere il wins per la risoluzione dei nomi.
2) Client e server nelle impostazione del TCP/IP aggiungi il server wins.

Per sicurezza cancella la cache netbios ntbstat -R.

Ciao Giulio
--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-25 10:41:20 UTC
Permalink
Ciao Giulio,

<> Ok, leggi qui, e troverai la soluzione... :-)
Post by
http://groups.google.it/group/microsoft.public.windows.server.sbs/browse_thread/thread/62e37182c19167dd/81ab10eb96908ae5?lnk=st&q=sbs+WEB+Proxy+filter+failed+to+bind+its+socket+&rnum=1&hl=it#81ab10eb96908ae5
Appena tiro su le filiali mi ci metto.... :-))
Post by
Se non viene specificato diversamente (Vedi Wins/LMHosts) la risoluzione
netbios avviene per cache + broadcast. E' evidente che il broadcast verso
le sedi remote viene bloccato da qualcuno (Isa o i router della VPN).
Dopo aver installato il server wins, devi fare in modo che venga
1) Server DNS --> Aggiungere il wins per la risoluzione dei nomi.
Non so farlo :-(
Post by
2) Client e server nelle impostazione del TCP/IP aggiungi il server wins.
Fatto.

---
.
Ginopino
.
2007-01-25 10:55:57 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao Giulio,
<>> Ok, leggi qui, e troverai la soluzione... :-)
Post by Ginopino
Post by
http://groups.google.it/group/microsoft.public.windows.server.sbs/
browse_thread/thread/62e37182c19167dd/81ab10eb96908ae5?lnk=st&q=sbs+
WEB+Proxy+filter+failed+to+bind+its+socket+&rnum=1&hl=it#
81ab10eb96908ae5
Appena tiro su le filiali mi ci metto.... :-))
Io ti consiglierei di spenderci qualche minuto e farlo adesso, giusto per
essere sicuri che isa stia funzionando correttamente.

[CUT]
Post by Ginopino
Post by
1) Server DNS --> Aggiungere il wins per la
risoluzione dei nomi.
Non so farlo :-(
Apri la mmc del DNS di AD, apri zona di ricerca diretta, entra nelle
proprietà del tuo dominio e trovi il tab Wins, qui inserisci l'indirizzo IP
del server wins.

Poi apri Zona di ricerca inversa, e per ogni zona nelle proprietà abilita
nella sezione Wins-R il flag 'Utilizza ricerca Wins-R'


Ieri ad un certo punto hai parlato di LMHosts e di vaer inserito a manina
tutti gli ip: Fai attenzione perchè LMHosts e wins sono due cose diverse.
Scusa la precisazione ma devo farla perforza.


[CUT]

Ciao Giulio


--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-25 11:06:34 UTC
Permalink
Ciao Giulio
Post by
Post by Ginopino
Appena tiro su le filiali mi ci metto.... :-))
Io ti consiglierei di spenderci qualche minuto e farlo adesso, giusto per
essere sicuri che isa stia funzionando correttamente.
Lo so però perdo la connessione degli utenti OWA e quelle interne verso
l'esterno... e mi sparano

[CUT]
Post by
Poi apri Zona di ricerca inversa, e per ogni zona nelle proprietà abilita
nella sezione Wins-R il flag 'Utilizza ricerca Wins-R'
L'ho fatto a tutte le sottoreti tranne che a questa 192.168.16.x (Sede), o
devo farlo anche per lei?
Post by
Ieri ad un certo punto hai parlato di LMHosts e di vaer inserito a manina
tutti gli ip: Fai attenzione perchè LMHosts e wins sono due cose diverse.
Scusa la precisazione ma devo farla perforza.
Hai ragione ma siccome avevo visto che si poteva caricare questo file e non
conoscendo altri modi, avevo tirato su così i dati...
Devo cancellarlo?
---
.
Ginopino
.
2007-01-25 11:31:20 UTC
Permalink
Ginopino ha scritto nel messagio
Post by
Ciao Giulio
Post by
Post by Ginopino
Appena tiro su le filiali mi ci metto.... :-))
Io ti consiglierei di spenderci qualche minuto e farlo adesso, giusto
per essere sicuri che isa stia funzionando correttamente.
Lo so però perdo la connessione degli utenti OWA e quelle interne verso
l'esterno... e mi sparano
Ho capito, ma così non va cmq bene, perchè non ce ne usciamo. Allora
sospendiamo, appena puoi sistema l'alert sulla porta 80 e poi riprendiamo.
Post by
[CUT]
Post by
Poi apri Zona di ricerca inversa, e per ogni zona nelle proprietà
abilita nella sezione Wins-R il flag 'Utilizza ricerca Wins-R'
L'ho fatto a tutte le sottoreti tranne che a questa 192.168.16.x (Sede),
o devo farlo anche per lei?
Certo!
Post by
Post by
Ieri ad un certo punto hai parlato di LMHosts e di vaer inserito a
manina tutti gli ip: Fai attenzione perchè LMHosts e wins sono due cose
diverse. Scusa la precisazione ma devo farla perforza.
Hai ragione ma siccome avevo visto che si poteva caricare questo file e
non conoscendo altri modi, avevo tirato su così i dati...
Devo cancellarlo?
---
.
Ginopino
.
Io ti consiglierei di eliminarlo (LMHosts) e di usare il server Wins.

Ciao Giulio
--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-27 22:21:13 UTC
Permalink
Ciao Giulio,
finalmente ho gli alerts a "zero" e nessun errore nel registro eventi...
Dopo molta ansia (come avrai capito) e tante cose da sistemare... dopo aver
imposto ai client un bel "gpupdate /force", adesso, sfogliando la rete, vede
le filiali.
Il problema è che non sono in grado di gestirle.
Riesco a raggiungerle solo in TS; se cerco di fare gestione con AD, non
riesco.
Il NET VIEW infatti non funziona...
Comincio a pensare che non sia un problema di Server ma di Client; cosa ne
pensi?
Ciao
---
.
Ginopino
.
2007-01-28 14:26:37 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao Giulio,
finalmente ho gli alerts a "zero" e nessun errore nel registro eventi...
Dopo molta ansia (come avrai capito) e tante cose da sistemare... dopo
aver imposto ai client un bel "gpupdate /force", adesso, sfogliando la
rete,
vede le filiali.
Il problema è che non sono in grado di gestirle.
Riesco a raggiungerle solo in TS; se cerco di fare gestione con AD, non
riesco.
Il NET VIEW infatti non funziona...
Comincio a pensare che non sia un problema di Server ma di Client; cosa
ne pensi?
Ciao
---
.
Ginopino
.
Ciao Gino, concordo.

Se resta confermato anche che il problema riguarda solo i client XP, allora
passali al microscopio :

1) Conf. TCP/IP
2) Firewall di XP disabilitato
3) Eventuali sistemi di antivirus client
4) HotFix e service Pack.

Ciao Giulio

--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-29 06:12:52 UTC
Permalink
Ciao Giulio,
adesso, piano piano, controllo tutto....
Mi chiedevo solo se, alla base di tutto, non ci possa essere il mancato
avvio di qualche servizio.
Che ne dici?
Post by
1) Conf. TCP/IP
GENERALE:
IP : quello definito per la filiale;
Subnet Mask: 255.255.255.0
Gateway: Il router della filiale
DNS: Il server della sede
WINS: il server della sede
AUTENTICAZIONE:
Abilita autenticazione IEEE 802.1x per questa rete: Sì
Autentica come Computer se le informazioni sono disponibili: Sì
Autentica come Guest...: No
AVANZATE:
Utilizza le Policy di SBS
Post by
2) Firewall di XP disabilitato
Abilitato e dimmed
Usa le policies di SBS
Post by
3) Eventuali sistemi di antivirus client
Symantec Corporate Edition 10.1 in configurazione Standard
Post by
4) HotFix e service Pack.
Tutto aggiornato
Ma stesso errore anche con client 2000Pro

---
.
Ginopino
.
2007-01-29 07:57:32 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao Giulio,
adesso, piano piano, controllo tutto....
Mi chiedevo solo se, alla base di tutto, non ci possa essere il mancato
avvio di qualche servizio.
Certo tutto puo essere.
Post by Ginopino
Che ne dici?
Post by
1) Conf.
TCP/IP
IP : quello definito per la filiale;
Subnet Mask: 255.255.255.0
Gateway: Il router della filiale
DNS:: Il server della
Post by Ginopino
sede
WINS: il server della sede
Abilita autenticazione IEEE 802.1x per questa rete: Sì
Autentica come Computer se le informazioni sono disponibili: Sì
Autentica come Guest...: No
Utilizza le Policy di SBS
Post by
2) Firewall di XP disabilitato
Abilitato e dimmed
Usa le policies di SBS
E qui, abbiamo il primo blocco. Nei test (magari fallo solo su un client)
sarebbe il caso di tenere disabilitato il firewall di XP, fare i test, se
funziona allora hai isolato il problema e sai dove interventire per
risoverlo.
Post by Ginopino
Post by
3) Eventuali sistemi di antivirus client
Symantec Corporate Edition 10.1 in configurazione Standard
E qui abbiamo il secondo blocco. Farei gli stessi test del firewall di XP.

Così giusto per essere preciso e chiaro, prendi un client (Magari un PC di
test) e possibilmente :

1) Disattiva il firwall di XP
2) Non installare o disattiva del tutto Symantec. (Qui l'ideale sarebbe che
la macchina di test, non avesse per nulla il symantec, questo perchè, in
alcuni casi anche chiudendo o disattivando le protezioni, resta cmq attivo
qualche servizio che potrebbe creare scompensi).

Fai i test e se tutto funziona allora inizi ad installare il Symantec e
rifai i test e poi il firewall di XP e rifai i test.

Magari non centrano nulla ma almeno ti sei tolto il dubbio (e non è cosa da
poco)



Ciao Giulio

--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-29 09:16:28 UTC
Permalink
Ciao Giulio,
mentre aspetto che qualcuno in sede mi configuri un client..., mi chiedevo,
ma i servizi di routing ed accesso remoto devono essere su?
E, nel caso, lo devono essere sia sul server che sul PC?
Scusa la stupidità ;-P
---
,
Ginopino
.
2007-01-29 09:27:10 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao a tutti,
ho un SBS 2003 con ISA 2004 con una LAN 192.168.16.0/24
Fastweb ci ha dato, con le filiali, una connessione VPN MPLS con 4
filiali alle quali hanno dato classe 192.168.1.0/30 a un'altra
192.168.2.0/30
etc.
Il router entra direttamente negli switch della rete e per l'accesso ad
internet viene usato un altro router collegato alla seconda scheda di
rete del server.
Ho dato un "route -p add 192.168.1.0 mask 255.255.255.0 192.168.16.254
metric 1 (dove il 192.168.16.254 è il router VPN) per tutte le filiali e
poi ho inserito le stesse classi in ISA - Networks Internal - Addresses -
Private.
Il problema è questo: gli utenti delle filiali sono andati a dominio e
sfogliano la rete però dal server e dalla sede non si vedono i client
esterni (Cliente furente! ) in più non riesco a fare nessuna operazione
su questi client da remoto (tipo visualizzare il registro eventi).
Ho notato che nel DNS le filiali appaiono correttamente nella zona di
ricerca diretta ma non in quella inversa.
Non so più cosa fare...
Qualcuno mi saprebbe aiutare?
Grazie mille
---
.
Ginopino
.
Ciao Gino,

prova a dare un occhiata a questo post, e anche se i problemi sono di natura
diversa, la soluzione potrebbe essere la stessa :

http://www.isaserver.it/forum/topic.asp?whichpage=1&TOPIC_ID=476&#1278

Ciao Giulio


--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-29 11:29:21 UTC
Permalink
Ciao Giulio,

premesso che dell'allegato ho capito poco e niente (l'unica cosa che ho
notato è che l'articolo Microsoft cui si fa' riferimento, l'ho seguito);
stavo leggendo il thread sopra (quello sulla pubblicazione dell'FTP) e ho
notato che fai riferimento ad una regola tra LocalHost e Internal che mi
sembra serva a far circolare le informazioni.
Io con queste due categorie (insieme) non ho niente Non potrebbe essere
questo?
Questa mattina prestissimo, ho riavviato da remoto il Server della Sede.
Prima del riavvio avevo tolto il servizio Routing ed Acccesso Remoto - che a
suo tempo dava problemi con Microsoft Firewall - e adesso non vedo più le
filiali quando sfoglio la rete (E ho, come ti dicevo, un registro eventi
pulitissimo.
C'è qualche modifica da fare?
Grazie.

---
.
Ginopino
.
Post by
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao a tutti,
ho un SBS 2003 con ISA 2004 con una LAN 192.168.16.0/24
Fastweb ci ha dato, con le filiali, una connessione VPN MPLS con 4
filiali alle quali hanno dato classe 192.168.1.0/30 a un'altra
192.168.2.0/30
etc.
Il router entra direttamente negli switch della rete e per l'accesso
ad internet viene usato un altro router collegato alla seconda
scheda di rete del server.
Ho dato un "route -p add 192.168.1.0 mask 255.255.255.0
192.168.16.254 metric 1 (dove il 192.168.16.254 è il router VPN) per
tutte le filiali e poi ho inserito le stesse classi in ISA -
Networks Internal - Addresses - Private.
Il problema è questo: gli utenti delle filiali sono andati a dominio
e sfogliano la rete però dal server e dalla sede non si vedono i
client esterni (Cliente furente! ) in più non riesco a fare nessuna
operazione su questi client da remoto (tipo visualizzare il registro
eventi). Ho notato che nel DNS le filiali appaiono correttamente nella
zona di
ricerca diretta ma non in quella inversa.
Non so più cosa fare...
Qualcuno mi saprebbe aiutare?
Grazie mille
---
.
Ginopino
.
Ciao Gino,
prova a dare un occhiata a questo post, e anche se i problemi sono di
http://www.isaserver.it/forum/topic.asp?whichpage=1&TOPIC_ID=476&#1278
Ciao Giulio
2007-01-29 12:31:51 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao Giulio,
premesso che dell'allegato ho capito poco e niente (l'unica cosa che ho
notato è che l'articolo Microsoft cui si fa' riferimento, l'ho seguito);
stavo leggendo il thread sopra (quello sulla pubblicazione dell'FTP) e
ho notato che fai riferimento ad una regola tra LocalHost e Internal che mi
sembra serva a far circolare le informazioni.
Io con queste due categorie (insieme) non ho niente Non potrebbe essere
questo?
Questa mattina prestissimo, ho riavviato da remoto il Server della Sede.
Prima del riavvio avevo tolto il servizio Routing ed Acccesso Remoto -
che a suo tempo dava problemi con Microsoft Firewall - e adesso non vedo
più
le filiali quando sfoglio la rete (E ho, come ti dicevo, un registro eventi
pulitissimo.
C'è qualche modifica da fare?
Grazie.
---
.
Ginopino
.
[CUT]

Il senso di quell'articolo è legato al problema Network Behind Network,
legato al fatto che è stata eliminata la LAT
L'altra considerazione (Vedi post su Isaserver.it). è, come evidenziato da
Luca Conte sul post di cui sopra , che isa non supporta il Traffic
Redirection, quindi in parole povere non puo' fare da router.

Quindi, negli scenari dove è stato impostato ISA come Defualt Gateway e che
prevedono altre LAN Interne connesse in VPN Site-ToSite e non solo usando
prodotti di terze parti, i problemi che possono venire fuori sono dei più
disparati.

La soluzione è avere un DG che sia in grado di fare da router e di accettare
e guidare i securenat.

Il DG puo' essere RRAS come puo' essere un router già presente nella rete;
meglio se il router dal quale nasce la VPN o cmq sul quale sono connesse le
reti aggiuntive, e per completare lo scenario, lo stesso router dovrebbe
essere in grado anche si rigirare le richieste su ISA all'occorrenza
(SecureNat).

In questo modo risolvi il problema NbN e hai nella master una situazione di
questo tipo :

1) ISA per la connettività internet
2) Router per VPN, LAN Aggiuntive e Default Gateway
3) Client ISA WebProxy (Non usano il DG)
4) Cient ISA Firewall Client (Non usano il DG)
5) Client ISA SecureNat (Usano il default Gateway e avranno l'indirizzo ip
del router e non di ISA)


Quindi secondo le specifiche dette fino a questo punto, dovresti modificare
il tuo scenario.


Ciao Giulio




--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-30 06:05:38 UTC
Permalink
Ciao Giulio,

Ti riassumo la configurazione di oggi (che mi sembra molto simile alla tua
nell'articolo)

Client-----------> RouterFiliale ---> (VPN MPLS) --> RouterSede------>
ServerSchedaInterna
192.168.5.1 192.168.5.254
192.168.16.254 192.168.16.2
255.255.255.0
255.255.255.0
192.168.5.254
<niente>

ServerScheda Esterna(IPfittizio)----> RouterInternet
212.90.1.7 212.90.1.6
(IP Pubblico 212.90.1.7)
255.255.255.248
212.90.1.6

Ho fatto un routing permanente con
route - p 192.3168.5.0 mask 255.252.255.0 192.168.16.254
e ho inserito la scheda interna del server in "Internal"

Tutti si pingano; sfogliando la rete:
la filiale vede sé stessa e la sede
la sede vede solo sé stessa;
Occasionalmente compaiono e poi scompaiono alcuni client.(apparentemente
senza alcun motivo)
I client sono raggiungibili con Desktop Remoto;
I client non sono raggiungibili con Net View (in nessun modo).
I client non sono raggiungibili con la "Gestione" di AD.

[CUT]
isa non supporta il Traffic Redirection, quindi in parole povere non puo'
fare da router. La soluzione è avere un DG che sia in grado di fare da
router e di
accettare e guidare i securenat.
Il DG puo' essere RRAS come puo' essere un router già presente nella
rete; meglio se il router dal quale nasce la VPN o cmq sul quale sono
connesse le reti aggiuntive, e per completare lo scenario, lo stesso
router dovrebbe essere in grado anche si rigirare le richieste su ISA
all'occorrenza (SecureNat).
Questo vale anche nella mia configurazione?
Devo chiedere qualche cosa al provider (Fastweb)?
Se mi dai una dritta faccio subito la richiesta.

Nell'articolo ho letto
"DEVI configurare tutti client SECURENAT nel MAIN SITE affinche' utilizzino
com DG il Router di frontiera - endpoint del tunnel - e NON l'interfaccia
interna di ISA.
Il Router di frontiera deve essere configurato con DG=IP Interna di
ISA....il motivo? network behind Network!!"
Non ho capito cosa devo fare :-(
In questo modo risolvi il problema NbN e hai nella master una
1) ISA per la connettività internet (Così penso che sia già)
2) Router per VPN, LAN Aggiuntive e Default Gateway (Ma io di router ne ho
due)
3) Client ISA WebProxy (Non usano il DG) (Sono i Client della sede?)
4) Cient ISA Firewall Client (Non usano il DG) (sono i client della
filiale?)(ISA client è caricato dappertutto)
5) Client ISA SecureNat (Usano il default Gateway e avranno l'indirizzo
ip del router e non di ISA) (Mi sono perso...)
Giulio non riesco a capire più niente e sono sempre più confuso...
Mi sembrava che la mia configurazione fosse corretta...
Potresti aiutarmi ancora?
Grazie mille per tutto il tempo che mi stai dedicando.
---
.
Ginopino
.
2007-01-30 08:28:38 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao Giulio,
Ti riassumo la configurazione di oggi (che mi sembra molto simile alla
tua nell'articolo)
Client-----------> RouterFiliale ---> (VPN MPLS) --> RouterSede------>
ServerSchedaInterna
192.168.5.1 192.168.5.254 192.168.16.254 192.168.16.2
255.255.255.0 255.255.255.0
192.168.5.254
<niente>
Questo cosa sono ?
Post by Ginopino
ServerScheda Esterna(IPfittizio)----> RouterInternet
212.90.1.7 212.90.1.6 (IP Pubblico
212.90.1.7)
255.255.255.248
212.90.1.6
Ok
Post by Ginopino
Ho fatto un routing permanente con
route - p 192.3168.5.0 mask 255.252.255.0 192.168.16.254
e ho inserito la scheda interna del server in "Internal"
? non ho capito

[CUT]
Post by Ginopino
Nell'articolo ho letto
"DEVI configurare tutti client SECURENAT nel MAIN SITE affinche'
utilizzino com DG il Router di frontiera - endpoint del tunnel - e NON
l'interfaccia
interna di ISA.
Il Router di frontiera deve essere configurato con DG=IP Interna di
ISA....il motivo? network behind Network!!"
Non ho capito
cosa devo fare :-(
[CUT]
Post by Ginopino
Giulio non riesco a capire più niente e sono sempre più confuso...
Mi sembrava che la mia configurazione fosse corretta...
Potresti
aiutarmi ancora?
Grazie mille per tutto il tempo che mi stai dedicando.
---
.
Ginopino
.
Ciao Gino, allora cerco di spiegarmi meglio :

- Isa server non puo fare da Default Gateway per la WAN (VPN)

partendo da questo presupposto viene evidente che sui client locali (Stessa
rete di ISA server) non puoi avere nelle impostazioni del TCP/IP come
default gateway l'indirizzo IP della scheda internal di ISA, altriementi
incorri nel famoso problema (io me lo sogno anche la notte :-))
Network-Behind-Network.

[SOLUZIONE per sede Master]



Il DG (Default Gateway da inserire nei client) deve essere un router quindi
puoi adottare una delle seguenti soluzioni :

1) Usi RRAS
2) Usi il router VPN di fastweb

Quindi riepilogando dando per assunto che :

1) ISA IP internal = 192.168.1.1
2) Router VPN = 192.168.1.254


dovrai avere sui client nelle impostazioni del TCP/IP in DG l'indirizzo
192.168.1.254 e sul router della vpn bisogna inserire una route che
indirizzi il traffico internet verso 192.168.1.1


Le sedi periferiche restano con il DG che hanno e cioè il router VPN.


Fatto questo, sicuramente hai eliminato il problema NbN, ma non posso avere
la certezza che risolva anche il tuo. In tutti casi sono operazioni che
dovresti fare.


[ISA CLIENT]
Come ben saprai ISA gestisce tre tipi di client :

1) WebProxy Client
2) Firewall Client
3) SecureNat

I WebProxy Client non richiedono nelle impostazioni del TCP del pc
l'inserimento del Default Gateway, perchè usa appunto il proxy (vedi
impostazione connessione di IE) per inviare il traffico ad ISA (Proxy)

I Firewall Client non richiedono nelle impostazioni del TCP del pc
l'inserimento del Default Gateway, perchè usano il server ISA indicato nella
configurazione. (Bisogna installare il firewall client di ISA)

I SecureNat sono gli unici client che richiedono l'inserimento del DG per
poter usare internet.



Ritornando al quanto scritto da Luca nel post su isaserver.it

--
DEVI configurare tutti client SECURENAT nel MAIN SITE affinche' utilizzino
com DG il Router di frontiera - endpoint del tunnel - e NON l'interfaccia
interna di ISA.
--

spero che dopo quanto detto dino a qui possa risultarti più chiara.


Ciao Giulio

--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-30 08:52:24 UTC
Permalink
Ciao Giulio,
non si è impaginato come volevo....
Post by
Post by Ginopino
Client-----------> RouterFiliale ---> (VPN MPLS) -->
RouterSede------> ServerSchedaInterna
Client di filiale:
192.168.5.1
255.255.255.0
192.168.5.254

Router di Filiale:
192.168.5.254

Router VPN della sede
192.168.16.254

IP interno della sede
192.168.16.2
255.255.255.0
<niente gateway>

IPServerScheda Esterna(IPfittizio) [Pubblico 212.90.1.7]
212.90.1.7
255.255.255.248
212.90.1.6

RouterInternet
212.90.1.6
Post by
Ok
Post by Ginopino
Ho fatto un routing permanente con
route - p 192.3168.5.0 mask 255.252.255.0 192.168.16.254
e ho inserito la scheda interna del server in "Internal"
? non ho capito
[CUT]
In ISA -> Network -> Internal -> Adrresses -> Add Adapter -> Mia scheda con
IP interno
e adesso ho la maschera di addresses con 192.168.1.0 192.168.16.255 che già
tiene conto delle filiali che si devono inserire nei prossimi giorni.
Post by
Post by Ginopino
Nell'articolo ho letto
"DEVI configurare tutti client SECURENAT nel MAIN SITE affinche'
utilizzino com DG il Router di frontiera - endpoint del tunnel - e
NON l'interfaccia
interna di ISA.
Il Router di frontiera deve essere configurato con DG=IP Interna di
ISA....il motivo? network behind Network!!"
Non ho capito
cosa devo fare :-(
[CUT]
Post by Ginopino
Giulio non riesco a capire più niente e sono sempre più confuso...
Mi sembrava che la mia configurazione fosse corretta...
Potresti
aiutarmi ancora?
Grazie mille per tutto il tempo che mi stai dedicando.
---
.
Ginopino
.
- Isa server non puo fare da Default Gateway per la WAN (VPN)
partendo da questo presupposto viene evidente che sui client locali
(Stessa rete di ISA server) non puoi avere nelle impostazioni del
TCP/IP come default gateway l'indirizzo IP della scheda internal di
ISA, altriementi incorri nel famoso problema (io me lo sogno anche la
notte :-)) Network-Behind-Network.
[SOLUZIONE per sede Master]
Il DG (Default Gateway da inserire nei client) deve essere un router
1) Usi RRAS
2) Usi il router VPN di fastweb
Mi sembra più comodo
Post by
1) ISA IP internal = 192.168.1.1
2) Router VPN = 192.168.1.254
dovrai avere sui client nelle impostazioni del TCP/IP in DG
l'indirizzo 192.168.1.254 e sul router della vpn bisogna inserire una
route che indirizzi il traffico internet verso 192.168.1.1
E questo me lo deve fare Fastweb, giusto?
Post by
Le sedi periferiche restano con il DG che hanno e cioè il router VPN.
Fatto questo, sicuramente hai eliminato il problema NbN, ma non posso
avere la certezza che risolva anche il tuo. In tutti casi sono
operazioni che dovresti fare.
[ISA CLIENT]
1) WebProxy Client
2) Firewall Client
3) SecureNat
I WebProxy Client non richiedono nelle impostazioni del TCP del pc
l'inserimento del Default Gateway, perchè usa appunto il proxy (vedi
impostazione connessione di IE) per inviare il traffico ad ISA (Proxy)
I Firewall Client non richiedono nelle impostazioni del TCP del pc
l'inserimento del Default Gateway, perchè usano il server ISA
indicato nella configurazione. (Bisogna installare il firewall client
di ISA)
I SecureNat sono gli unici client che richiedono l'inserimento del DG
per poter usare internet.
Questi non ho capito quali siano...
Post by
Ritornando al quanto scritto da Luca nel post su isaserver.it
--
DEVI configurare tutti client SECURENAT nel MAIN SITE affinche'
utilizzino com DG il Router di frontiera - endpoint del tunnel - e
NON l'interfaccia interna di ISA.
quindi il 192.168.16.254 (router VPN del server)?
Dove si fa?
Post by
--
spero che dopo quanto detto dino a qui possa risultarti più chiara.
Piano piano....
Grazie 1000.
---
Ginopino
.
2007-01-30 09:41:38 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao Giulio,
non si è impaginato come volevo....
[CUT]
Post by Ginopino
In ISA -> Network -> Internal -> Adrresses -> Add Adapter -> Mia scheda
con IP interno
e adesso ho la maschera di addresses con 192.168.1.0 192.168.16.255 che
già tiene conto delle filiali che si devono inserire nei prossimi giorni.
Va benissimo.
Post by Ginopino
Post by
dovrai avere sui client nelle impostazioni del TCP/IP in DG
l'indirizzo 192.168.1.254 e sul router della vpn bisogna inserire una
route che indirizzi il traffico internet verso 192.168.1.1
E questo me lo deve fare Fastweb, giusto?
Questo dipende da come hai configurato i pc della sede master. (Vedi tipi
Client di ISA server - ISA CLIENT)
Post by Ginopino
Post by
[ISA CLIENT]
1) WebProxy Client
2) Firewall Client
3) SecureNat
I WebProxy Client non richiedono nelle impostazioni del TCP del pc
l'inserimento del Default Gateway, perchè usa appunto il proxy (vedi
impostazione connessione di IE) per inviare il traffico ad ISA (Proxy)
I Firewall Client non richiedono nelle impostazioni del TCP del pc
l'inserimento del Default Gateway, perchè usano il server ISA
indicato nella configurazione. (Bisogna installare il firewall client
di ISA)
I SecureNat sono gli unici client che richiedono l'inserimento del DG
per poter usare internet.
Questi non ho capito quali siano...
Sono i tuoi PC nella rete master. A seconda di come li hai configurati
diventano per ISA :
1) WebProxy Client
2) Firewall Clinet
3) SecureNat
Post by Ginopino
Post by
spero che dopo quanto detto dino a qui possa risultarti più chiara.
Piano piano....
:-)
Post by Ginopino
Grazie 1000.
Figurati è un piacere.
L'unica cosa magari, sarebbe carino aprire dei post relativi agli argomenti
che non ti sono chiari, per i seguenti motivi :

1) Qui ora stiamo diventando un po OT
2) Magari per chi segue diventa più semplice leggere e capire di cosa
parliamo.

Quindi per esempio se ancora non ti è chiaro il concetto dei Client di ISA
server, apri un nuovo post e ne discutiamo li. restando fermo questo.


Ciao Giulio

--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================
Ginopino
2007-01-31 21:47:07 UTC
Permalink
Ciao Giulio,
Post by
1) Qui ora stiamo diventando un po OT
2) Magari per chi segue diventa più semplice leggere e capire di cosa
parliamo.
Hai ragione.
Ora le idee sono un po' più chiare: le raccolgo per benino e poi più tardi
apro una nuova "discussion".
Spero così di poter essere utile a qualcuno :-) ... e che tu possa evitare
questo "stillicidio"...
Grazie ancora per tutto.
---
Stefano
---
.
Ginopino
.
2007-02-01 07:32:46 UTC
Permalink
Ginopino ha scritto nel messagio
Post by Ginopino
Ciao Giulio,
Post by
1) Qui ora stiamo diventando un po OT
2) Magari per chi segue diventa più semplice leggere e capire di cosa
parliamo.
Hai ragione.
Ora le idee sono un po' più chiare: le raccolgo per benino e poi più
tardi apro una nuova "discussion".
Spero così di poter essere utile a qualcuno :-) ... e che tu possa
evitare questo "stillicidio"...
:-)
Post by Ginopino
Grazie ancora per tutto.
Figurati è un piacere.
.
Tienici aggiornati sugli sviluppi.
Post by Ginopino
---
Stefano
---
.
Ginopino
.
Ciao Giulio

--
Giulio Martino
Avaya IP Office TCLA
Technical Writer e Supporter di ISAServer.it
Articoli - <http://www.isaserver.it/articoli/>
Forum - <http://www.isaserver.it/forum/>
============================================

Continua a leggere su narkive:
Loading...