none
VPN Checkpoint a traves de TMG2010 RRS feed

  • Pregunta

  • Hola...

       Tengo que conectar unos clientes internos a una VPN externa a traves del SecureClient de CheckPoint, la conexion se realiza pero no puedo acceder a las maquinas de la red a traves de la vpn....hay algo que configurar en el TMG para que los clientes accedan a las maquinas de la VPN a traves del TMG ??

       Saludos.

       Emilio G. Burgoa

       San Juan- Argentina


    Emilio G. Burgoa San Juan - Argentina

    martes, 26 de junio de 2012 14:50

Respuestas

  • Hola Emilio,

    Debes tener en cuenta los siguientes aspectos para el analisis del problema:

    1. Funcionamiento del cliente vpn de checkpoint:

    El cliente realiza una conexion mediante IKE y para esto utiliza los puertos 500 y 4500 en tcp/udp, al momento de configurarse para operar en modo Secure Client, establece la conexion atraves de internet y define una nueva configuracion de red cambiando el default gateway para el Equipo y todo el trafico sera enrutado por la Tunnel.

    2. Funcionamiento del ISA o TMG Firewall Client:

    El cliente firewall del ISA o TMG te permite levantar conexiones directamente contra el servidor al no ser un acceso comun por los puertos web, dado que necesita levantar la conexion por los puertos mencionados en el punto 1.

    3. ISA o TMG Server como Firewall de Perimetro:

    Si su servidor se encuentra como el equipo de permitero y es el defaulf gateway para la salida a internet de tu red, no seria necesario realizar la configuracion del cliente firewall de TMG en los equipos cliente para establecer la conexion y la comunicacion del tunel debe ser directa.

    4. Funcionamiento de la Conexion:

    Las conexiones VPN tipo cliente de Checkpoint u otro fabricante, en algunas ocasiones definen enviar todo el trafico del cliente conectado por la VPN, por tanto cuando trata de buscar la conexion de red para validar su salida a internet o hacia la intranet, este trafico es consultado por el tunel y lo cual generara una falla de conexion, esto principalmente si utilizas el Cliente Firewall de TMG o ISA veras que el mismo muestra una alerta, se desconecta o no aparece activo.

    De acuerdo a lo anterior se concluye:

    5. como una solucion para el escenario expuesto en el punto 4, debes definir rutas estaticas en el equipo cliente hacia tu servidor, asi cuando levante la conexion VPN y establezca el default gw, la visibilidad de tu red interna y tu servidor persista, esto aplica para el punto 2 y 3.

    6. Establecer una conexion Sitio a Sitio entre el TMG Server y el Firewall Destino (Cliente o Proveedor).

    espero que lo indicado te sirva de ayuda!

    viernes, 6 de julio de 2012 17:27

Todas las respuestas

  • Hola Emilio

    Que eventos tienes en el servidor !? Sí haces una captura en tiempo real que observas !?

    Saludos,


    Jimcesse
    Mi Blog: http://blogs.itpro.es/jimcesse
    

    miércoles, 27 de junio de 2012 17:10
    Moderador
  • Hola Jimcesse...

       Se observa que el cliente intenta acceder directamente a traves de internet a la direccion ip de la red a la cual deberia conectarse a traves de la vpn, es como si el trafico no se redireccionara a traves del tunel de vpn sino directamente a internet, por lo que aparece el error de que no encuentra los servidores a los que quiere acceder, por ejemplo un ftp server...

       He configurado una regla de red para que haga NAT desde la maquina cliente, pero no da resultado.

       Saludos.


    Emilio G. Burgoa San Juan - Argentina

    jueves, 28 de junio de 2012 16:53
  • Hola Emilio,

    Debes tener en cuenta los siguientes aspectos para el analisis del problema:

    1. Funcionamiento del cliente vpn de checkpoint:

    El cliente realiza una conexion mediante IKE y para esto utiliza los puertos 500 y 4500 en tcp/udp, al momento de configurarse para operar en modo Secure Client, establece la conexion atraves de internet y define una nueva configuracion de red cambiando el default gateway para el Equipo y todo el trafico sera enrutado por la Tunnel.

    2. Funcionamiento del ISA o TMG Firewall Client:

    El cliente firewall del ISA o TMG te permite levantar conexiones directamente contra el servidor al no ser un acceso comun por los puertos web, dado que necesita levantar la conexion por los puertos mencionados en el punto 1.

    3. ISA o TMG Server como Firewall de Perimetro:

    Si su servidor se encuentra como el equipo de permitero y es el defaulf gateway para la salida a internet de tu red, no seria necesario realizar la configuracion del cliente firewall de TMG en los equipos cliente para establecer la conexion y la comunicacion del tunel debe ser directa.

    4. Funcionamiento de la Conexion:

    Las conexiones VPN tipo cliente de Checkpoint u otro fabricante, en algunas ocasiones definen enviar todo el trafico del cliente conectado por la VPN, por tanto cuando trata de buscar la conexion de red para validar su salida a internet o hacia la intranet, este trafico es consultado por el tunel y lo cual generara una falla de conexion, esto principalmente si utilizas el Cliente Firewall de TMG o ISA veras que el mismo muestra una alerta, se desconecta o no aparece activo.

    De acuerdo a lo anterior se concluye:

    5. como una solucion para el escenario expuesto en el punto 4, debes definir rutas estaticas en el equipo cliente hacia tu servidor, asi cuando levante la conexion VPN y establezca el default gw, la visibilidad de tu red interna y tu servidor persista, esto aplica para el punto 2 y 3.

    6. Establecer una conexion Sitio a Sitio entre el TMG Server y el Firewall Destino (Cliente o Proveedor).

    espero que lo indicado te sirva de ayuda!

    viernes, 6 de julio de 2012 17:27