locked
[reglé]TMG 2010 : autoriser les requêtes ICMP du réseau interne vers l'externe RRS feed

  • Question

  • Bonjour à tous,

    Je viens de migrer isa server 2006 vers TMG 2010. Cela me permet du coup de faire de la redondance ISP en mode répartition de charge.

    Cela dit, un gros problème est que les postes du réseau local ne peuvent plus pinger le wan.

    J'ai crée une règle pour autoriser le protocole ICMP du réseau interne vers le wan mais cela ne m'a rien donné.

    La config est celle de base hormis la configuration sur la redondance isp, le safe search et le filtrage d'url. Rien n'est bloqué pour le moment sur les protocoles...tout du moins j'ai désactivé la règle.

    Avez-vous des pistes à me donner car encore une fois, c'est très gênant.

    Au plaisir de vous lire


    dimanche 1 avril 2012 20:15

Réponses

  • Bonsoir à tous et merci pour vos réponses.

    Je n'ai pas pu me mettre sur TMG aujourd'hui. J'ai dû urgement mettre à jour les clients légers du parc.

    De mémoire, j'ai crée une règle d'acces qui refuse les protocoles comme nntp, nntps, ipsec et quelques autres. Je n'ai pas touché au protocole ping.

    Demain matin, je vais essayer vos 2 solutions. De toute manière, il va falloir que je résolve ce problème très rapidement. De plus, je viens de me rendre compte que je ne peux plus accéder à mon compte google à partir de thunderbird en imaps...grrr.

    Mais bon, je préfère régler un problème à la fois.

    Je vous tiens au courant demain.

    Cordialement

    Bonjour,

    Tout ce qui n'est pas explicitement autorisé est automatiquement refusé dans TMG, tu peux d'ailleurs voir la dernière règle système que tu ne peux pas modifier qui fait un Deny All. Donc, je suis pas sûr que ta règle pour refuser le nntp, etc... te soit vraiment utile.

    Ensuite pour que tu puisses correctement autoriser le ping, il faut que :

    • Avoir une règle d'accès depuis le réseau "Interne" vers le réseau "externe" pour le protocole ping
    • Que tes clients sont SecureNat (utilisent l'adresse IP interne de TMG comme passerelle)
    • Que TMG soit en pare-feu de périmètre, donc avec deux cartes réseaux (une interne, l'autre externe). Le scénario SingleNic ne peut pas marcher. 
    • Que la définition de ton réseau interne correspond à la table de routage de ton réseau physique.

    Ensuite, tu peux aussi faire une journalisation de type "Live" pour analyser l'évaluation des règles lors de la tentative d'un ping depuis ton réseau local vers ton WAN. Si tu as une ligne qui apparaît en rouge (erreur ou access denied) pendant le ping, cela pourra donner plus d'éléments sur la comprehension de cette erreur.

    Bonne journée,
    Alex


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.

    mardi 3 avril 2012 09:38
  • Merci à vous tous,

    Effectivement j'ai totalement oublié la dernière règle qui est de refuser tout le traffic sortant sur tous les protocoles.

    J'ai donc crée une règle qui autorise les protocoles icmp et de messagerie. Tout fonctionne.

    Pour info, je suis en securenat. Terme que je ne connaissais pas avant de le lire ici.

    • Marqué comme réponse Florin Ciuca jeudi 12 avril 2012 10:54
    mardi 3 avril 2012 13:25

Toutes les réponses

  • Bonjour,

    Avez vous aussi autorisé le protocole PING dans votre règle d'accès ?


    Follow me on Twitter http://www.twitter.com/liontux | My Blog (French/English) : http://security.sakuranohana.fr/


    lundi 2 avril 2012 07:42
  • Bonsoir,

    on peut aussi configurer ICMP (ping) à plusieurs niveaux dans les stratégies systèmes de TMG.

    * Utiliser le bouton droit dans la partie droite "Edit system Policies"

    * Voir ICMP dans "Remote Management" et dans "Diagnostic services" (Mettre "All networks and local")

    A bientôt,


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info

    lundi 2 avril 2012 16:13
  • Bonsoir à tous et merci pour vos réponses.

    Je n'ai pas pu me mettre sur TMG aujourd'hui. J'ai dû urgement mettre à jour les clients légers du parc.

    De mémoire, j'ai crée une règle d'acces qui refuse les protocoles comme nntp, nntps, ipsec et quelques autres. Je n'ai pas touché au protocole ping.

    Demain matin, je vais essayer vos 2 solutions. De toute manière, il va falloir que je résolve ce problème très rapidement. De plus, je viens de me rendre compte que je ne peux plus accéder à mon compte google à partir de thunderbird en imaps...grrr.

    Mais bon, je préfère régler un problème à la fois.

    Je vous tiens au courant demain.

    Cordialement

    lundi 2 avril 2012 19:56
  • Bonsoir,

    on peut aussi configurer ICMP (ping) à plusieurs niveaux dans les stratégies systèmes de TMG.

    * Utiliser le bouton droit dans la partie droite "Edit system Policies"

    * Voir ICMP dans "Remote Management" et dans "Diagnostic services" (Mettre "All networks and local")

    A bientôt,


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info

    Salut Thierry,

    Ce que tu décris, ne permet uniquement que les ping vers TMG (Remote Management) ou depuis TMG (Diagnostic). En fait ce qu'explique cet internaute (de ce que j'en en comprends), c'est l'autorisation du flux ICMP Ping depuis le réseau Internet vers le réseau externe, donc uniquement pour les clients SecureNat par déduction.


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.

    mardi 3 avril 2012 09:33
  • Bonsoir à tous et merci pour vos réponses.

    Je n'ai pas pu me mettre sur TMG aujourd'hui. J'ai dû urgement mettre à jour les clients légers du parc.

    De mémoire, j'ai crée une règle d'acces qui refuse les protocoles comme nntp, nntps, ipsec et quelques autres. Je n'ai pas touché au protocole ping.

    Demain matin, je vais essayer vos 2 solutions. De toute manière, il va falloir que je résolve ce problème très rapidement. De plus, je viens de me rendre compte que je ne peux plus accéder à mon compte google à partir de thunderbird en imaps...grrr.

    Mais bon, je préfère régler un problème à la fois.

    Je vous tiens au courant demain.

    Cordialement

    Bonjour,

    Tout ce qui n'est pas explicitement autorisé est automatiquement refusé dans TMG, tu peux d'ailleurs voir la dernière règle système que tu ne peux pas modifier qui fait un Deny All. Donc, je suis pas sûr que ta règle pour refuser le nntp, etc... te soit vraiment utile.

    Ensuite pour que tu puisses correctement autoriser le ping, il faut que :

    • Avoir une règle d'accès depuis le réseau "Interne" vers le réseau "externe" pour le protocole ping
    • Que tes clients sont SecureNat (utilisent l'adresse IP interne de TMG comme passerelle)
    • Que TMG soit en pare-feu de périmètre, donc avec deux cartes réseaux (une interne, l'autre externe). Le scénario SingleNic ne peut pas marcher. 
    • Que la définition de ton réseau interne correspond à la table de routage de ton réseau physique.

    Ensuite, tu peux aussi faire une journalisation de type "Live" pour analyser l'évaluation des règles lors de la tentative d'un ping depuis ton réseau local vers ton WAN. Si tu as une ligne qui apparaît en rouge (erreur ou access denied) pendant le ping, cela pourra donner plus d'éléments sur la comprehension de cette erreur.

    Bonne journée,
    Alex


    GIRAUD Alexandre - MVP Forefront France http://www.alexgiraud.net/blog Note : Si ma réponse vous a été utile, ou apporté une résolution; merci de voter ou de la marquer comme réponse.

    mardi 3 avril 2012 09:38
  • Merci à vous tous,

    Effectivement j'ai totalement oublié la dernière règle qui est de refuser tout le traffic sortant sur tous les protocoles.

    J'ai donc crée une règle qui autorise les protocoles icmp et de messagerie. Tout fonctionne.

    Pour info, je suis en securenat. Terme que je ne connaissais pas avant de le lire ici.

    • Marqué comme réponse Florin Ciuca jeudi 12 avril 2012 10:54
    mardi 3 avril 2012 13:25
  • Bonjour Alexandre,

    tout à fait ! (J'ai dit "on peut aussi", je n'ai pas dit "à la place")

    Mais au moment où l'on fait des tests de "ping" un peu dans tous les sens...C'est bien aussi de rappeler qu'il faut configurer et autoriser TMG à émettre et à répondre au ping! Cela va permettre d'éviter de se poser des questions... et de tester "ping" vers Internet, et ping vers le réseau local. => Ces informations sont souvent intéressantes.

    A+


    Thierry DEMAN. Exchange MVP. https://www.mcpvirtualbusinesscard.com/VBCServer/MVPtdeman/profile (68 MCPs) http://base.faqexchange.info

    mardi 3 avril 2012 15:18