none
TMG 2010 Route add VPN Client RRS feed

  • Discussione generale

  • Salve,

    ho un problema ostico da un client che mi lascia alquanto perplesso. Nella mia rete con ip interni 192.168.22.0/24 collegandomi da una rete esterna in VPN una volta stabilita la connessione mi viene aggiunta una route  per comunicare con la rete aziendale del tipo

    192.168.22.0 255.255.255.0 verso gateway <ip del dhcp assegnato>

    Ovviamente il metodo di assegnazione e definito come DHCP sulla scheda interna. Fin qui tutto bene

    Dal cliente con il problema la problematica che si presenta è la seguente:

    Assegnazione IP tramite DHCP con ascolto su rete interna

    Rete interna del tipo 192.168.0.0/29 (192.168.0.0-192.168.7.255)

    Quando mi collego mi restituisce una route di questo tipo

    192.168.0.0 255.255.255.0 gateway < ip assegnato dal dhcp>

    se aggiungo a mano una route coerente con la struttura tipo route add 192.168.0.0 mask 255.255.255.248 gateway

    Come posso risolvere?

    mercoledì 23 maggio 2012 10:42

Tutte le risposte

  • non ho capito bene il problema.

    ti spiace postare un route print del primo caso e un route print del secondo caso ?


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    mercoledì 23 maggio 2012 12:06
    Moderatore
  • (errata corrige la subnet mask è 255.255.248.0 e non 255.255.255.248 ops!!!)

    lan interna 192.168.0.0/255.255.248.0

    questa e la tabella di route che mi si genera dopo la connessione a TMG2010

    Route attive:
         Indirizzo rete             Mask          Gateway     Interfaccia Metrica
              0.0.0.0          0.0.0.0     192.168.15.1   192.168.15.150     25
       84.253.190.189  255.255.255.255     192.168.15.1   192.168.15.150     26
            127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
            127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
      127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
          192.168.0.0    255.255.255.0     192.168.0.33     192.168.0.88     26
         192.168.0.88  255.255.255.255         On-link      192.168.0.88    281
         192.168.15.0    255.255.255.0         On-link    192.168.15.150    281
       192.168.15.150  255.255.255.255         On-link    192.168.15.150    281

    quindi riesco a raggiungere tutti gli ip che iniziano per 192.168.0.X (dove x va da 1 a 255)

    se aggiungo a mano la seguente route raggiungo tutta la mia rete

    route add 192.168.0.0 mask 255.255.248.0 192.168.0.33

    Se noti TMG non mi da una subnet 255.255.248.0 direttamente ma 255.255.255.0

    Come posso ovviare a questo problema?

    domenica 27 maggio 2012 19:43
  • forse mi manca qualche pezzo.

    io ho un TMG di test configurato per accettare connessioni vpn in ingresso e dhcp interno su altro server.

    nel mio caso la sottorete è una 255.255.255.0

    quando attivo la connessione da fuori e faccio un route print, mi trovo solo la

    192.168.0.88  255.255.255.255         On-link      192.168.0.88    281

    e non la

    192.168.0.0    255.255.255.0     192.168.0.33     192.168.0.88     26

    eppure tutti i client della rete sono ugualmente raggiungibili anche senza questa seconda perchè è l'endpoint vpn (ossia il rras sul tmg) a fare il routing.

    stessa cosa dovrebbe accadere anche a te perchè a svolgere l'attività di routing dovrebbe essere il server tmg senza la necessità di aggiungere una rotta statica sul tuo client.

    forse però, ripeto, posso aver capito male qualcosa della tua descrizione.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    lunedì 28 maggio 2012 13:50
    Moderatore
  • Forse mi sto confondendo io anche se il risultato è che comunqe non funziona.

    Se mi collego ad esempio su una rete fuori dalla mia azienda ed ottendo una configurazione ip del tipo

    ip:10.10.10.10

    s/mask: 255.0.0.0

    gw: 10.100.100.1 presumo che tutti gli ip che vanno da 10.0.0.0 a 10.255.255.255 sia interni alla rete per cui il gw non verrà mai chiamato in causa.

    Se instauro una VPN con la sede per forza di cose DEVE essere creata una route statica(non permanente) del tipo:

    route add 192.168.0.0 mask 255.255.255.0 gw 192.168.0.xxx doveè ques'ultimo è l'Endpoint della vpn. Corretto?

    Ovviamente questo avviene in automatico come in automatico alla disconnessione viene eliminatat.

    Il mio problema è che la route che mi si addizziona ha una subnet che non è quella dell'ufficio 255.255.248 anzichè 255.255.255.0 quindi finche faccio un ping da 192.168.0.1 a 192.168.0.255 rispondono i pc che sono collegati dopo di chè da 192.168.1.0 a 192.168.7.254 nulla ma è corretto vista la subnet mask che mi viene assegnata.

    Modificando a mano la route e mettendo come s/mask 255.255.248.0 allora funziona tutto....ma questa dovrebbe essere automatica; inutile dire che il DHCP interno assegna in modo corretto la s/mask 255.255.248.0.

    lunedì 28 maggio 2012 14:24
  • Forse mi sto confondendo io anche se il risultato è che comunqe non funziona.

    Se mi collego ad esempio su una rete fuori dalla mia azienda ed ottendo una configurazione ip del tipo

    ip:10.10.10.10

    s/mask: 255.0.0.0

    gw: 10.100.100.1 presumo che tutti gli ip che vanno da 10.0.0.0 a 10.255.255.255 sia interni alla rete per cui il gw non verrà mai chiamato in causa.

    Se instauro una VPN con la sede per forza di cose DEVE essere creata una route statica(non permanente) del tipo:

    route add 192.168.0.0 mask 255.255.255.0 gw 192.168.0.xxx doveè ques'ultimo è l'Endpoint della vpn.

    è proprio questo che non riesco a capire: perchè la rotta statica dev'essere sul client quando invece deve essere l'endpoint a preoccuparsi di fare il routing delle richieste?

    spiego meglio: sul TMG è stato impostato che i clients VPN possano raggiungere tutti gli indirizzi della rete internal mediante routing ?


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org


    lunedì 28 maggio 2012 14:33
    Moderatore
  • Forse ci sono arrivato.

    Per motivi di lentezza ed altro disabilito sempre nelle opzioni avanzate del tcp/ip il paramentro "usa gateway predefinito sulla rete remota"

    facendo questo non riesco a pingare nulla mentre se lo abilito riesco a pingare tutta la rete.

    Come faccio a dire ad TMG di non far transitare le richieste internet presso di lui?

    lunedì 28 maggio 2012 14:41
  • ecco, ora cominciamo a capirci.

    per la tua ultima domanda la risposta è "togliendo il flag da utilizza gateway predefinito sulla rete remota" ma così facendo torni a non raggiungere tutti gli indirizzi della rete remota. di fatto non c'è una soluzione se non quella di accettare una disconnessione da internet per il tempo in cui rimani connesso in vpn.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    lunedì 28 maggio 2012 14:53
    Moderatore