none
Microsoft Forefront TMGでNATでなくルートを設定しているのにNATされている? RRS feed

  • 質問

  • もともとMicrosoftISAServer2006を利用し、内部クライアントからISA2006へVPNセッションを張りインターネットへ出ていく形のシステムを使っていました。

    システムのリプレースが発生するため、後継品であるMicrosoft Forefront TMGを利用し同様の環境を構築しようとしています。

    問題なのは、NAT設定を使っていないのに外部へ出ていくアドレスが置換されている、ということです。

     

    基本的に同じ設定インターフェースを持っているため、設定等同じように行ってクライアントからVPN接続しインターネットへのアクセスまでできるようになりました。

    ファイヤーウォール設定なども同じように設定し動作を確認する限り問題なく動いています。

    ただ、ゲートウェイに設定されているサーバのログを見ていると、クライアントのIPでなくMicrosoft Forefront TMGの持つIPが残っているため、NATされているのでは?という状態です。もともと設定していたISA2006からアクセスした場合は、クライアントのIPがログに残っています。

    Microsoft Forefront TMG設定画面ネットワーキング→ネットワークルール→ネットワークの関係 以下の設定は(ローカルホストアクセス、VPNクライアントから内部ネットワーク、インターネットアクセスとも)NATでなくルートが選択されているのは確認済みです。

    ISA2006の環境から考えると、関係がありそうなのはこのあたりだと思うのですが…。

    なお、ゲートウェイサーバのログはmod_securityから出力されるログを参照しています。

    2011年12月21日 2:46

すべての返信

  • 一つ書き漏れていました。Webプロキシの設定についてです。

    ネットワーキング→ネットワークタブ のローカルホストについてWebプロキシを有効にしないとファイアーウォールサービスが

    正常起動せず、またクライアントからもVPN接続ができない状態です。

    ISA2006についてはローカルホストのWebプロキシは無効状態で正常に動作しています。

    このあたりが原因であろうとは思うのですが、ISA2006と今のForefront TMGで何が違うためWebプロキシを有効にしないと

    いけないのか、が特定できていません。

    2011年12月21日 3:08