locked
2 connexions, 2 pare-feu, 1 LAN RRS feed

  • Discussion générale

  • Bonjour,

    Mon réseau dispose de deux sorties SDSL depuis peu. La première est géré par un pare-feu ISA sur laquelle tout mon réseau LAN communique.

    Depuis l'ouverture de la seconde SDSL, j'ai configuré un Forefront TMG pour la gérer. Sur ce nouvel accès, j'ai publié un site d'un des serveurs de mon LAN pour lequel j'ai modifié sa passerrelle par défaut et qui utilise bien ce nouvel accès pour communiquer avec l'extérieur.

    Je rencontre cependant quelques erreurs de routage dans la console Forefront, et mon site web est innaccessible parfois, mais pas tous le temps. Je n'ai pas trouvé de solution en rapport avec cette erreur, ni de stratégie de routage à configurer dans Forefront.

    Erreur : Echec du routage (chaînage) Forefront TMG a détecté une boucle de serveurs proxys. Il existe peut-être un problème de configuration de la stratégie de routage de Forefront TMG. [...]

    Que dois-je faire?

    lundi 12 décembre 2011 10:40

Toutes les réponses

  • Bonjour,

    Que veux-tu dire par "j'ai changé la passerelle". Ton serveur est dans ton LAN ou une DMZ ?

    La publication de serveurs, dans le cadre d'un load balancing ISP ne sera que sur l'ISP par défaut normalement.

    Alex


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.
    lundi 12 décembre 2011 12:20
  • Tout mes serveurs sont sur le même LAN. Cependant, il y en a un qui publie un site web via le nouveau pare-feu TMG (ce pare-feu qui est branché à la deuxième ligne SDSL).

    Sur ce serveur, je lui ai donc configuré comme passerelle par défaut, l'adresse du nouveau pare-feu TMG. Le reste de mon LAN utilise comme passerelle le précédent ISA Server.

    Les deux SDSL ne doivent pas faire de load balancing, je voudrais simplement configurer une partie de mon trafic LAN sur une des SDSL et le reste sur l'autre.

    lundi 12 décembre 2011 12:39
  • Okje comprends mieux :) Je pensai que ton TMG avec deux passerelles SDSL ... autant pour moi ;)

     

    Oui, donc ton approche est correct car en effet si ton serveur publié n'utilise pas TMG comme passerlle (SecureNat) cela n'aurai pas très bien marché.

    As-tu bien configuré la partie réseau de ton TMG en accordance logique/physique ? Il est mode Edge je supose, donc une publication depuis le réseau External vers l'adresse IP interne de ton serveur.

    Ton serveur TMG, lui, n'a bien sûr qu'une seule passerelle de configuré sur ces deux cartes réseaux ? sur la carte externe ?

    Pour finir, un TMG BPA éventuellement


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.
    lundi 12 décembre 2011 18:09
  • Et bien pour la partie réseau, le serveur a donc 2 cartes Ethernet.

    L'une connecté à mon réseau LAN, adresse IP, masque, dns, pas de passerelle par défaut. L'autre connecté à mon WAN adresse IP, masque et passerelle par défaut (l'adresse IP de la box FAI elle même en mode bridge).

    La publication de mon serveur se fait par une règle de publication web (en 80 & 443) depuis l'une des adresses IP publique externe sur mon port d'écoute.

    Niveau BPA :

    • No destinations is defined in the access rule Destiantions Web bloquées. No traffic can latch this rule. Rien de grave.
    • Echec du routage (chaînage) - Forefront TMG a détecté une boucle de serveur proxys. Il existe peut-être un problème de configuration de la stratégie de routage de forefront TMG. [...] mon principal problème
    • Une erreur lié à une de mes cartes ethernet sans DNS, que je peux ignorer vu que celle du LAN en dispose.Rien de grave.
    • Un avertissement du fait que mon serveur est virtualisé et que mon host peut ne pas être protégé. Idem rien de grave, j'ai bien respecté les configuration réseau à adapter sur mon serveur physique.

    Bref rien de particulier si ce n'est mon erreur de routage que je n'explique toujours pas.

     

     

    mardi 13 décembre 2011 08:22
  • Toujours pas de solutions trouvé... Bizarre, quand je me place sur l'ISA Server en tant que passerelle et rêgle de publication de mon site web, je ne rencontre aucun soucis.

    Existe-t-il des filtres dans la version TMG ou autre chose qui puisse bloquer?

    jeudi 22 décembre 2011 16:11
  • Bonsoir,

     

    Après de longues congés et des fetes de fin d'année bien chargées, je reviens :)

    Et quelle est la config associée à tes TMG stp ?


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.
    jeudi 12 janvier 2012 16:50
  • Les deux pare-feu sont de types pare-feu de périmètre.

    Chacun d'entre eux ont pour réseau interne la même plage d'adresse IP privé, mais en externe une SDSL différente.

    lundi 30 janvier 2012 10:04
  • Bonjour,

    Une question toute bête, as-tu tenté de configurer ta règle de publication comme si le paquet venait de TMG au lieu de l'option ou le paquet vient du client ?

    Juste pour comprendre si c un problème de routage.

     

    Merci,
    Alex


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.
    lundi 6 février 2012 14:32
  • Bonjour,

    Après quelques tests sur la modification proposé, le problème est toujours identique.

    mardi 14 février 2012 09:00
  • Bonjour,

    Juste à l'aide d'échanges à travers un forum, là je t'avoue que je suis un peu sous le manque d'idées :(

    En tout cas, cela doit donctionner c'est sûr, car ce n'est pas une opération complexe que tu souhaites faire mais il doit y avoir un petit détail qui nous échappe. Le mieux, c'est que tu ouvres un incident chez Microsoft ou que tu fasses intervenir un expert TMG de la part d'un partenaire Microsoft pour résoudre ton problème.

    Désolé,
    Alex


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.

    vendredi 17 février 2012 11:39
  • Bonjour,

    Merci tout de même pour le temps passé :)

    mardi 21 février 2012 12:59