locked
Forefront TMG atrás de NAT e VPN Site-to-Site RRS feed

  • Pergunta

  • Boa tarde a todos!

    Gostaria de saber se há alguma configuração especial para estabelecer um túnel VPN quando o Forefront TMG está atrás de um dispositivo que faz tradução de endereços. Eis minhas situação atual de modo geral (endereços IP são fictícios):

     

    (192.168.25.1) Forefront TMG (10.1.1.2) (10.1.1.1) Gateway (189.25.89.74) <--- Web ---> <201.69.58.69> SonicWALL TZ-100

                                                                       |----------------NAT-----------------|

     

    Como coloquei acima, a VPN é fechada entre o Forefront TMG e o SonicWALL TZ-100, não sendo possível utilizar o gateway para estabelcer túneis VPN.

    Montei um ambiente de testes essa estrutura sem o gateway, ou seja, não há NAT e o endereço público é configurado diretamente na interface. Nesse caso o túnel VPN é estabelecido normalmente. Pesquisando não encontrei informação sobre suporte do Forefront TMG a NAT-T.

    quarta-feira, 22 de junho de 2011 17:51

Respostas

  • Oi Ulissis,

    Realmente, aquele problema só ocorre no sentido contrario.

    Você já deu uma olhada no link abaixo:

    Troubleshooting VPN over IPsec
    http://technet.microsoft.com/en-us/library/bb794765.aspx

    O roteador que tem o IP Publico está redirecionando as portas UDP 500 and 4500 para o TMG?

  • The NAT device must be configured to forward traffic from UDP port 500 (IKE traffic) and UDP port 4500 (IPsec NAT-T traffic) to the external network interface of the ISA Server computer.
  • If there is a router in front of ISA Server, ensure that traffic to UDP port 500 (IKE traffic) and IP protocol 50 (ESP-protected traffic) can pass between the ISA Server VPN and the remote VPN endpoint.

     


  • Renato Marson Pagan
  • Marcado como Resposta Ulissis Corrêa quarta-feira, 22 de junho de 2011 20:23
quarta-feira, 22 de junho de 2011 18:59

Todas as Respostas

  • Olá Ulissis,

    Esse não é um problema do TMG. Esse é um problema do protocolo IPSec no Windows Server 2008 R2.

    Semana passada foi lançado o hotfix abaixo:
    http://support.microsoft.com/kb/2523881

    Ele corrigiu um problema que eu tinha que era semelhante ao seu. Mas no meu caso o SonicWall que estava atrás de um NAT.

    Espero que ajude.

    Abraços

    Renato Marson Pagan


    Renato Marson Pagan
    quarta-feira, 22 de junho de 2011 18:29
  • Boa tarde Renato,

    Muito obrigado pela resposta. Li o hotfix, mas ao que parece ele resolve o problema contrário, como no seu caso. De qualquer forma realizei um teste mas não tive sucesso.

    quarta-feira, 22 de junho de 2011 18:44
  • Oi Ulissis,

    Realmente, aquele problema só ocorre no sentido contrario.

    Você já deu uma olhada no link abaixo:

    Troubleshooting VPN over IPsec
    http://technet.microsoft.com/en-us/library/bb794765.aspx

    O roteador que tem o IP Publico está redirecionando as portas UDP 500 and 4500 para o TMG?

  • The NAT device must be configured to forward traffic from UDP port 500 (IKE traffic) and UDP port 4500 (IPsec NAT-T traffic) to the external network interface of the ISA Server computer.
  • If there is a router in front of ISA Server, ensure that traffic to UDP port 500 (IKE traffic) and IP protocol 50 (ESP-protected traffic) can pass between the ISA Server VPN and the remote VPN endpoint.

     


  • Renato Marson Pagan
  • Marcado como Resposta Ulissis Corrêa quarta-feira, 22 de junho de 2011 20:23
quarta-feira, 22 de junho de 2011 18:59
  • Olá Renato, Como demonstra o link que você enviou, é necessário uma alteração no roteador do perímetro. O problema é que esse servidor onde está instalado o Forefront TMG é um servidor Cloud contratado. Assim não temos controle sobre o que é encaminhado no perímetro. De qualquer forma agradeço pela ajuda. Vou tomar como definição que seria necessário uma alteração por parte da fornecedora do Cloud para que o ambiente funcione dentro do esperado. Muito obrigado pelas informações!
    quarta-feira, 22 de junho de 2011 20:22