Artigo originalmente publicado em: http://bit.ly/sF6aHb
Algumas orientações para conclusão do trabalho passadas por Yuri Diógenes.



Objetivo:


Mostrar a configuração de uma publicação WEB em um Forefront TMG ou ISA Server 2006 usando a opção "Request appears to come from the original client".

Ilustração do ambiente:


Configuração testada em um cliente que possui um pool de servidores web com aplicações variadas que são acessadas pelos usuários da rede interna e também externa, ou seja, parceiros e até mesmo os próprios users internos que trabalham remotamente.

Conforme ilustra o desenho abaixo, o acesso é feito através de um fluxo onde a conexão passa por um firewall, chega em um servidor TMG e uma regra de publicação WEB envia a requisição para o web server que hospeda a aplicação.

Veja fluxo abaixo:

image

 

O servidor Forefront TMG, tem duas interfaces, sendo a primeira na rede interna e outra para rede externa. Os acessos vindos da rede interna chegam através de um IP de NAT, passando antes por um firewall e finalmente sendo direcionado pelo web publishing do Forefront TMG para o web server.
 
Os acessos externos fazem fluxo semelhante e também entram por um IP de NAT publicado na internet.

O Forefront TMG roteia todas as redes internas com rotas estáticas.

Cenário:


A área de desenvolvimento do cliente que necessitava saber o IP de origem através da aplicação. Da forma como a publicação está configurada, só é possível receber o IP do próprio TMG.

A regra de publicação tem definido a opção “Requests appear to come from the Forefront TMG computer”. Conforme imagem abaixo:

TMG

Desta maneira, a perspectiva do IP de origem da conexão é o próprio servidor TMG. Isto significa que o servidor de destino sequer necessita de acesso internet próprio (para as chamadas externas), pois tudo que necessita é responder o IP interno do proxy. Além disso, este servidor não tem idéia de quem é o real usuário daquela conexão.

Para obter o IP do client de origem, é necessario alterar na publicação para a opção “Requests appear to come from the original client”, conforme imagem abaixo:

Client

Com esta opção selecionada, a perspectiva do IP de origem é o IP usado pelo usuário da aplicação. O servidor de destino precisará de um acesso internet (para as chamadas externas) e roteamento para as redes de onde estão surgindo as requisições.

O servidor de destino não negocia nenhum pacote com o Forefront TMG. Ele negocia diretamente com o servidor de aplicação.

Não se pode simplesmente alterar a opção na regra de publicação e esperar que funcione corretamente. É necessário verificar todo o fluxo da sua rede e entender se a opção é passível de ser usada.

Na maioria dos casos é recomendado que o servidor de destino seja um SecureNat Client do Forefront TMG, ou seja, que tenha o IP do Forefront TMG cadastrado como seu default gateway.

Testes Efetuados:


No caso do cenário acima, como o Forefront TMG possui rotas estáticas para as redes internas foram efetuados testes simplesmente alterando a configuração no publishing, porém, não foi possível fazer funcionar por alguns problemas ocorridos no momento do servidor WEB responder o IP do usuário da origem.

Em análise feita com a equipe responsável pelos routers, foram verificados alguns erros no tráfego por conta de firewalls e a disposição da estrutura.

Efetuamos testes colocando o Forefront TMG como Default Gateway de um dos webservers e alterando a regra novaamente. Dessa vez os testes ocorreram de forma satisfatória.

Para os routers (Cisco 6509), algumas definições para este tipo de tráfego podem ver visualizadas em

Conclusão:


Este artigo mostrou um cenário onde havia a necessidade de se obter pela aplicação WEB o IP de origem da requisição com tráfego passando por uma publicação WEB no Forefront TMG.

O mesmo pode ser aplicado ao ISA Server 2006.