none
VPN X DNS NOVAMENTE

    Question

  •     Pessoal,

    Desculpem o titulo deste tópico, mas e que todos que eu vi nao resolveram meu problema. Espero que algum iluminado me ajude pois nao consigo resolver este misterio.

    Segue abaixo o layout do meu ambiente

    Server 01: ISA SERVER 2006
    • placa wan: LINK ADSL TELEMAR (esta placa esta ligada diretamente a um modem adsl roteado)
      • IP: 10.1.1.2
      • SM: 255.255.255.0
      • DG: 10.1.1.1
      • DNS1: EM BRANCO
      • DNS2: EM BRANCO 
    • placa lan:
      • IP: 192.168.1.1
      • SM: 255.255.255.0
      • DG: EM BRANCO
      • DNS1: 192.168.1.3 (ip do domain controller)
      • DNS2: EM BRANCO
    Server 02: Windows 2003
    • AD
    • DHCP Server
    • DNS Server
    • placa lan:
      • IP: 192.168.1.3
      • SM: 255.255.255.0
      • DG: 192.168.1.1 (ip do isa server2006)
      • DNS1: 192.168.1.3
      • DNS2: EM BRANCO

    Estação VPN Residencial: Windows xp pro sp3

    • placa lan:
      • IP: 10.0.0.100
      • SM: 255.255.255.0
      • DG: 10.0.0.1 (ip do roteador sem fio)
      • DNS1: 10.0.0.1 (ip do roteador sem fio)
      • DNS2: EM BRANCO

    *obs, o roteador esta atras de um modem velox residencial em modo bridge

    Vamos la, Tenho esta rede toda funcionandio perfeita, usuario locais acessando a internet atraves de proxy, restricao de sites como orkut, youtube e etc.....

    Configurei a vpn de acordo com este tutorial http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=070 e consegui me conectar ao isa.
    Fiz uma regra liberando todos os protocolos vindos da vpn para a rede interna (192.168.1.0). Até ai esta tudo perfeito, o ping funciona para todos os micros que estao na faixa da rede interna, porem o único problema, único mesmo, e que nao consigo acessar o servidor desta forma: \\nomedoservidor\pasta (ja inclusive adicionei o sufixo do meu dominio na conexão vpn e nada. Quando tento pingar para nomedo servidor me retorna o ip 92.242.140.9. Mas quando mando pigar para o ip do servidor ou acessar ele atraves da \\ip do servidor\pasta, funciona tudo perfeito rapido ate demais.

    Espero que me ajudem, ja recorri aos Deuses e nada.
     

    Friday, March 27, 2009 10:41 PM

Answers

  • Renato,

    Duas maneiras de vc ajustar isso:

    - uma delas é vc direcionar todo o trafego de saida dos seus usuarios VPN (correto), vc pode adicionar a configuração de proxy nas configurações de conexão dentro do seu internet explorer.

    - Adicionar o sufixo para sua conexão VPN, ou seja la vc adiciona o seu dominio, onde o mesmo é complementado com o nome q vc estará chamando pela conexão VPN.
    (Isso é feito nas propriedades da placa de rede, avançado, DNS.)

    Foi claro?

    Espero ter ajudado

    Abraços
    Luiz Fernando Dias - MVP
    Monday, March 30, 2009 1:28 PM
  • Renato,

    O ideal em uma conexão VPN para vc não correr riscos é fazer a primeira que citei, onde todas conexão e solicitação da web será filtrada pelo ISA, com isso vc nao corre o risco do usário acessar sites com virus e propagar na sua rede....entre outros tipos de ataques...

    Fico no aguardo

    abraços
    Luiz Fernando Dias - MVP
    Tuesday, March 31, 2009 3:22 AM
  • Renato,


    vamos lá, estou com esse mesmo problema a alguns dias, e não tinha tempo de parar para resolver, hoje sentei o rabo e parei para matar quem estava me matando, então, descobri e conclui o seguinte:

    Rodei os fóruns da vida, nacionais e internacionais, e vi que nosso problema não era muito comum, outros vários problemas ocorrem com DNS sobre VPN mas o nosso é mais específico, o que faz com que todas as receitas mágicas postadas nesses fóruns não resolvam nosso problema.

    A chave do problema está em, não conseguir resolver DNS da VPN. Isto ocorre por conta da Oi, assim como eu você deve estar utilizando um link Oi Velox no seu cliente VPN.
    A Oi teve a brilhante idéia de forçar os servidores dela a responder com o IP 92.242.140.9 todos os endereços que ela não encontrar, isso arrebenta a gente pois o servidor DNS da Oi não gera erro, isso faz com que o seu computador cliente VPN pense que encontrou o endereço e não chegue nem a procurar o endereço no seu DNS da VPN (Server 02 - 192.168.1.3).

    Quando você faz uma consulta DNS ele primeiro procura no seu DNS da placa física (ou seja, sua placa de rede interna - configurada com DNS de seu modem roteador (10.0.0.1) que faz um relay para os DNS's da Oi, se ele gerar erro (não encontrado) , ai sim ele procura no DNS configurado para a VPN, como a Oi não gera erro, e retorna um IP válido ele nem chega a procurar no DNS da VPN.

    É como se o DNS da sua VPN fosse o DNS secundário, utilizado depois do DNS da placa física utilizada com o modem Velox roteado.

    Encontrei uma forma porca de solucionar esse pequeno problema, na verdade duas formas, uma que não é muito útil, outra que apesar de feia funciona.

    Faz o teste primeiro para confirmar a solução:

    1 - Não utilize nome (Ex: vpn.empresa.com.br) em sua conexão VPN chame a VPN pelo IP (Ex: 201.53.20.14) do servidor.
    2 - Desconfigure o DNS da sua placa interna usada para o Velox, tire o IP de DNS (10.0.0.1), isto lhe obriga a utilizar IP estático, não tem como deixar o DNS vazio no cliente se utilizar DHCP.
    3 - Conecte a sua VPN e vai ver que todos os nomes serão resolvidos.

    Soluçao 1:

    Deixar a placa interna sem DNS. Hehehehe, inviável

    Solução 2:

    Configurar manualmente na sua placa interna do cliente VPN (placa do Velox roteado) o DNS da VPN como DNS primário e o DNS do modem roteado como DNS secundário.

    Quando você não estiver conectado a VPN ele simplesmente não vai achar o DNS da VPN e vai resolver os nomes pelo DNS do Velox (secundário), quando estiver conectado a VPN ele vai chamar primeiro o DNS da VPN, e se não achar ai sim procura no DNS Velox.

    Isso só engessa em obrigar a utilização de IP manual no cliente VPN ou configurar os DNS no DHCP do modem roteado do Velox.

    Qualquer dúvida estou no e-mail breno.monteiro@espacofashion.com.br


    Espero ter ajudado, se não tiver ajuda me fale também! rs. Vamos buscar a solução

    Abraços

    Saturday, April 11, 2009 4:33 AM

All replies

  • Oi Renato,

    Pode parecer bobagem é o que vou lhe escrever. Todavia, como você continua com o problema, tente isso:

    Você falou que se acessar o servidor pelo nome \\NOMESEUSERVIDOR não funciona, mas consegue acessar o servidor pelo IP. Isso ocorre quando você vem da VPN, correto?

    Porque você não tenta escrever no arquivo HOSTS em %systemroot%\system32\drivers\etc a entrada do servidor? Ficaria assim:

    192.168.1.3          NOMEDOSEUSERVIDOR.SEUDOMIO

    Não fique zangado com minha dica. Inclusive vocês do fórum. Porque isso me parece problema de resolução de nomes. Devido a sequencia que o Sistema Operacional realiza para resolver um nome, a pesquisa no arquivo HOSTS vem depois da pesquisa no CACHE LOCAL e em seguida no SERVIDOR DNS. Tente ai, pode ser que funcione.

    Lembre-se, antes de fazer o teste, digite IPCONFIG /FLUSHDNS para limpar o CACHE LOCAL da estação.

    Abraços.

    Bruno Ciscotto
      

    Att. Bruno Ciscotto
    Saturday, March 28, 2009 12:42 PM
  • Bruno,

    Valeu pela dica, mas mesmo assim ela nao me resolve, pois passar este procedimento para todos que irao acessar a vpn e complicado. Uma coisa interessante que notei e que se a minha rede residencial estiver na mesma faixa da rede empresarial (192.168.1.x) funciona tudo maravilhoso, porem nem sempre na rede cliente terei esta faixa. Entao eu queria desvendar este misterio, ou seja, saber se o problema esta no isa, no Routing and Remote Access, no servidor DNS. Tô a ponto de ficar doido. Queria saber se tem mais gente com este problema sem solucionar. Existe a possibilidade deste problema ser devido a minha rede Internet do ISA nao sei um link dedicado com ip valido?

    Valeu

    Um abraço.
    Monday, March 30, 2009 12:40 AM
  • Renato,

    Duas maneiras de vc ajustar isso:

    - uma delas é vc direcionar todo o trafego de saida dos seus usuarios VPN (correto), vc pode adicionar a configuração de proxy nas configurações de conexão dentro do seu internet explorer.

    - Adicionar o sufixo para sua conexão VPN, ou seja la vc adiciona o seu dominio, onde o mesmo é complementado com o nome q vc estará chamando pela conexão VPN.
    (Isso é feito nas propriedades da placa de rede, avançado, DNS.)

    Foi claro?

    Espero ter ajudado

    Abraços
    Luiz Fernando Dias - MVP
    Monday, March 30, 2009 1:28 PM
  • Renato,

    Duas maneiras de vc ajustar isso:

    - uma delas é vc direcionar todo o trafego de saida dos seus usuarios VPN (correto), vc pode adicionar a configuração de proxy nas configurações de conexão dentro do seu internet explorer.

    - Adicionar o sufixo para sua conexão VPN, ou seja la vc adiciona o seu dominio, onde o mesmo é complementado com o nome q vc estará chamando pela conexão VPN.
    (Isso é feito nas propriedades da placa de rede, avançado, DNS.)

    Foi claro?

    Espero ter ajudado

    Abraços
    Luiz Fernando Dias - MVP

    Luiz,

    Vou testar esta dica. Com relaçao a parte do dns, eu ja havia feito isso, porem mesmo assim dava o erro. Nao sei se ajuda, mas monitorei o acesso da interfaçe vpn no isa e vi que tinha algumas coisas sendo bloqueadas (dhcp request, netbios...) mesmo eu botando acesso total da vpn ao local host e rede interna. Segui um tutorial para configurar o dhcp relay. Chegou a funcionar por 2 vezes, quando eu dava ipconfig /all a minha vpn estava inclusive pegando o meu dominio, meu servidor dns, e  tudo mais como se fosse um pc da rede, mas bastava eu desconectar e conectar denovo pra nao funcionar novamente.
    Vou testar desta forma que me disse e ver se resolve.

    Obrigado pela atençao.
    Tuesday, March 31, 2009 12:50 AM
  • Renato,

    O ideal em uma conexão VPN para vc não correr riscos é fazer a primeira que citei, onde todas conexão e solicitação da web será filtrada pelo ISA, com isso vc nao corre o risco do usário acessar sites com virus e propagar na sua rede....entre outros tipos de ataques...

    Fico no aguardo

    abraços
    Luiz Fernando Dias - MVP
    Tuesday, March 31, 2009 3:22 AM
  • Renato,


    vamos lá, estou com esse mesmo problema a alguns dias, e não tinha tempo de parar para resolver, hoje sentei o rabo e parei para matar quem estava me matando, então, descobri e conclui o seguinte:

    Rodei os fóruns da vida, nacionais e internacionais, e vi que nosso problema não era muito comum, outros vários problemas ocorrem com DNS sobre VPN mas o nosso é mais específico, o que faz com que todas as receitas mágicas postadas nesses fóruns não resolvam nosso problema.

    A chave do problema está em, não conseguir resolver DNS da VPN. Isto ocorre por conta da Oi, assim como eu você deve estar utilizando um link Oi Velox no seu cliente VPN.
    A Oi teve a brilhante idéia de forçar os servidores dela a responder com o IP 92.242.140.9 todos os endereços que ela não encontrar, isso arrebenta a gente pois o servidor DNS da Oi não gera erro, isso faz com que o seu computador cliente VPN pense que encontrou o endereço e não chegue nem a procurar o endereço no seu DNS da VPN (Server 02 - 192.168.1.3).

    Quando você faz uma consulta DNS ele primeiro procura no seu DNS da placa física (ou seja, sua placa de rede interna - configurada com DNS de seu modem roteador (10.0.0.1) que faz um relay para os DNS's da Oi, se ele gerar erro (não encontrado) , ai sim ele procura no DNS configurado para a VPN, como a Oi não gera erro, e retorna um IP válido ele nem chega a procurar no DNS da VPN.

    É como se o DNS da sua VPN fosse o DNS secundário, utilizado depois do DNS da placa física utilizada com o modem Velox roteado.

    Encontrei uma forma porca de solucionar esse pequeno problema, na verdade duas formas, uma que não é muito útil, outra que apesar de feia funciona.

    Faz o teste primeiro para confirmar a solução:

    1 - Não utilize nome (Ex: vpn.empresa.com.br) em sua conexão VPN chame a VPN pelo IP (Ex: 201.53.20.14) do servidor.
    2 - Desconfigure o DNS da sua placa interna usada para o Velox, tire o IP de DNS (10.0.0.1), isto lhe obriga a utilizar IP estático, não tem como deixar o DNS vazio no cliente se utilizar DHCP.
    3 - Conecte a sua VPN e vai ver que todos os nomes serão resolvidos.

    Soluçao 1:

    Deixar a placa interna sem DNS. Hehehehe, inviável

    Solução 2:

    Configurar manualmente na sua placa interna do cliente VPN (placa do Velox roteado) o DNS da VPN como DNS primário e o DNS do modem roteado como DNS secundário.

    Quando você não estiver conectado a VPN ele simplesmente não vai achar o DNS da VPN e vai resolver os nomes pelo DNS do Velox (secundário), quando estiver conectado a VPN ele vai chamar primeiro o DNS da VPN, e se não achar ai sim procura no DNS Velox.

    Isso só engessa em obrigar a utilização de IP manual no cliente VPN ou configurar os DNS no DHCP do modem roteado do Velox.

    Qualquer dúvida estou no e-mail breno.monteiro@espacofashion.com.br


    Espero ter ajudado, se não tiver ajuda me fale também! rs. Vamos buscar a solução

    Abraços

    Saturday, April 11, 2009 4:33 AM
  • Renato,

    Tente chama-lo pelo nome completo.

    \\nome.dominio.com.br ou sei la como é seu dominio interno....\\nome.dominio.local

    no aguardo.


    abraços
    Luiz Fernando Dias - MVP
    Saturday, April 18, 2009 9:15 PM
  • Renato, boa noite.

    Eu prefiro fazer um pouco diferente do descrito no blog do Anderson Patricio. No passo 16 selecione a opção "static address pool" e adicione o range 172.16.22.1 até o 172.16.22.111. Desta forma o gateway do cliente vpn tem que ser a rede remota, por padrão é.

    Fico na torcida. Abraços.

    Tuesday, April 05, 2011 1:24 AM