none
VPN no ISA Joga tudo para Default Rule RRS feed

  • Pergunta

  • Olá,

    Eu tenho outros tópicos aqui, relacionados a problemas de VPN.

    Após solucionar os problemas que aconteceram anteriormente, estou com o seguinte caso aqui:

    A VPN conectou beleza, não apresentou nenhum problema para conectar dessa vez (Foi só reiniciar o modem e ficou tudo jóia).
    Porém, estou tentando trafegar dados (Enfim, navegar pelo servidor...), e:

    A) Não reconhece o nome, só o IP (até aí tudo bem)
    B) Todo tráfego que eu tento, esta indo parar em Default Rule.

    Segue um screen do que tá acontecendo:
    http://img532.imageshack.us/img532/3102/problemaf.jpg

    Eu já tenho uma regra, que permite o tráfego VPN:
    All Outbound Traffic - From VPN Clients, Quarantined VPN Clients - To Internal , VPN Clients, Local Host - Aplicada em All Users.

    Se tem alguma informação que "esqueci de passar", favor me dizer.

    Será que o problema é porque eu entreguei IP's estáticos para o VPN, ao invés de usar o DHCP ?

     

    Enfim, desde já agradeço.
    Pablo.

    segunda-feira, 5 de abril de 2010 20:49

Respostas

  • Resolvi o problema.

    Lembra o que eu disse, como DNS primário o 192.168.0.1 não estava resolvendo ?
    Pois é, coloquei ele de novo, mas desta vez como DNS Backup eu coloquei o roteador (192.168.254.254)

    Bingo, no meu caso resolveu.

    Estou utilizando um pool de endereços estáticos no momento (10.20.30.1 ~ 10.20.30.254), mais por uma questão de organização mesmo.
    Agora tenho que começar a "fechar"  a rede. Como eu estava implantando, muita coisa estava aberta.
    Hora de trancar a rede de novo.

    Muito obrigado David182
    E muito obrigado a todos que colaboraram !

    • Marcado como Resposta pablobhz quarta-feira, 7 de abril de 2010 18:47
    quarta-feira, 7 de abril de 2010 18:47

Todas as Respostas

  • Olá Pablo,

     

    Já tentou postar no forum de ISA Server?

     

    []s


    Erick Albuquerque
    http://erickalbuquerque.spaces.live.com | @ErickTI
    Winseg.Org
    segunda-feira, 5 de abril de 2010 23:10
  • Errr

    Chutei a bola fora de novo então.
    Pode me dizer qual o fórum do ISA Server ?
    Valeu!

    terça-feira, 6 de abril de 2010 00:41
  • Poderia colocar um print das suas regras ?

    abs,

     


    Qualquer criança brinca, qualquer criança se diverte.
    terça-feira, 6 de abril de 2010 00:45
    Moderador
  • Segue um print das regras.

    Ficaram eem duas imagems, pois procurei deixar o mais claro possível:

    http://img297.imageshack.us/i/regras1.jpg/

    http://img169.imageshack.us/i/regras2.jpg/

     

    Valeu!

    terça-feira, 6 de abril de 2010 02:09
  • Segue um print das regras.

    Ficaram eem duas imagems, pois procurei deixar o mais claro possível:

    http://img297.imageshack.us/i/regras1.jpg/

    http://img169.imageshack.us/i/regras2.jpg/

     

    Valeu!

    terça-feira, 6 de abril de 2010 02:09
  • Vc ja verificou seo roteador!!

     

    Seu ISa e seu servervidor de dominio???

     

    tente adicionar  local host na regra VPN!!

     

     


    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    terça-feira, 6 de abril de 2010 11:47
  • Olá David,

    Foi isso que acabei de fazer, coloquei o Local host na regra do VPN, e então consegui trafegar internamente.

    Porém, não estou conseguindo resolver nomes. O serviço de DNS tá sendo negado para o cliente VPN.
    Estou tentando "mudar a ordem das regras", e ver se consigo resolver isso. Mas meu problema agora é esse: só acesso as máquinas por IP, por nome não consigo.

     

    p.s: A única máquina que consigo acessar pelo nome, é o servidor VPN. Outro servidor que eu ja acessei pelo IP, eu nao consigo acessa-lo pelo nome.

    Ah, respondendo:
    Essa máquina que roda a VPN, roda os seguinttes serviços:

    DNS,DHCP,AD e ISA Server(Com a VPN).

    • Editado pablobhz terça-feira, 6 de abril de 2010 12:39 Adicionar Informação
    terça-feira, 6 de abril de 2010 12:37
  • tente adcionar o sufixo DNS nas conexções VPN

    UTILIZE O NSLOOKUP E VEJA SE ESTA RESOLVENDO:

    utiliza o nome FQDN:  maquina.dominio.local

    Sua VPN esta distribuido IP pelo seu DHCP?


    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    terça-feira, 6 de abril de 2010 12:58
  • Não resolveu colocar o sufixo DNS(Seja adicionando manualmente na conexão VPN, seja adicionando manualmente nas configurações da VPN do ISA Server).

    E não estou conseguindo resolver o nome da máquina pelo FQDN.

    E não estou distribuindo IP pelo DHCP do servidor, estou utilizando um pool de endereços estáticos que fiz nas configurações da VPN.

    terça-feira, 6 de abril de 2010 13:47
  • Suas regras estão meio bagunçadas parace que o seu ISA desempenha outras funções

    como DHCP , mas vamos focar no problema da VPN.

    bem você possui uma regra liberando todo tráfego de saída de VPN Clients para Internal, você configurou em Network Rules

    que de VPN Clients para Interno para efetuar route ?

    Quando você se conecta a VPN , quais configurações são adicionadas na interface VPN ?

     


    Qualquer criança brinca, qualquer criança se diverte.
    terça-feira, 6 de abril de 2010 14:29
    Moderador
  • Opa,
    Desculpe a demora.

    Sim, em Network Rules, é configurado para que efetue o route.

    quando conecta a VPN, eu experimentei colocar para adicionar o servidor DNS ao conectar, mas esta alteração não me deu nenhum resultado. Pra falar a verdade, não fez diferença.

    Devo usar NAT ao invés de Route ?

    terça-feira, 6 de abril de 2010 18:05
  • Amigo,

     

    Nas propriedades do seu discador VPN, clique nas propriedades de TCP IP, depois clique em avançado, depois selecione a aba DNS.

    Adicione o seu dominio no campo "Sufixo DNS para esta conexão" coloque o FQDN do ominio ai...desconecte e conecte novamente e tente resoolver nomes.

     

    No aguardo

    abraços


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 6 de abril de 2010 18:47
    Moderador
  • Não deu certo, ainda assim não resolvi nomes.

     

    Só pra falar, eu desmarquei a caixinha "Utiliar gateway padrão em rede remota".

     

    Aqui segue um print do monitoramento no ISA Server:
    ttp://img444.imageshack.us/i/dns1.jpg/

    Pra mim é muito estranho, que esta saindo sem nome de usuário algum, e estou tendo vários "Unidentified IP Traffic".

    Na penúltima regra do ISA, eu fiz uma regra liberando vários protocolos em específico, e várias conexões que eram negadas passaram a ser permitidas. Porém, o DHCP Request está nessa lista da penúltima regra, e ele continua sendo negado.

    O que estou estranhando mais é, estar saindo sem nome de usuário. Por que acontece isso ?

    Ah, e segue um print da configuração da conexão VPN aqui. Uso o discador do Windows mesmo, sem maiores configurações. No momento estou "em fase de testes", quando for instalar na filial, pretendo aplicar uma diretiva local para bloquear alterações na conexão.

    http://img146.imageshack.us/i/maquina.jpg/

    Obrigado.

    terça-feira, 6 de abril de 2010 19:02
  • No sufixo DNS vc so vai colocar o dominio

    monteirologistica.com

    Como seu ISA e tudo na sua rede vc tem q liberar o trafego para local host!!


    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    terça-feira, 6 de abril de 2010 19:30
  • AMigo,

    Outra coisa, as boas praticas da microsoft recomendam, a configuração manual de um range d eIPs opara serem distribuidos para clientes VPN, isso elimina o risco de vc ter OVERLAP.

    Deixe o gateway de rede remota marcado...Isso aumenta a segurança do seu ambiente e consequentemente da sua VPN;

     

    abraços


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    terça-feira, 6 de abril de 2010 19:36
    Moderador
  • Sim, o tráfego para o Local Host já foi liberado.

    E agora não estou conseguindo mais resolver nem os ips 192.168.0.x que são dos servidores.

    Consigo acessar o servidor de domínio, apenas através do IP da VPN (Por exemplo, originalmente ele é 192.168.0.1, mas só consigo acessa-lo através do IP que ele tem no ISA(como servidor de VPN), que seria 10.20.30.1).

    Antes eu conseguia acessar 192.x.x.x normalmente.

    Já experimentei remover o sufixo que adicionei agora pouco, sem sucesso.
    Em Network Rules, esta como sempre esteve (Route).
    Estou tendo vários "Unidentified traffic" na porta 1900. Algo relacionado ?

     

    Entendi:
    Porta 1900 é a porta do SSDP (Simple Service Discover Protocol)
    E ele tá barrando de fazer essa pesquisa...talvez por isso nao esteja resolvendo mais nada ? Ou estou enganado ?

    terça-feira, 6 de abril de 2010 19:44
  • Pablo,

    Qual o range da sua rede interna e qual o range que vc configurou na VPN?


    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    terça-feira, 6 de abril de 2010 19:50
  • Na rede que estou (No momento, agora) , é:
    192.168.2.1 ~ 192.168.2.255 (mask 255.255.255.0)

     

    Na rede da empresa que atendo(A qual esta tendo estes problemas com VPN):
    Rede interna:
    192.168.0.1 ~ 192.168.0.254
    Internet:
    192.168.254.1 / mascara de 255.255.255.0
    Link dedicado:
    189.x.x.x , mascara de 255.255.255.252
    (no caso da empresa preferi listar os 3 adaptadores).
    Todos os adaptadores foram configurados manualmente. Quem pega o IP público é o modem (conectado na placa Internet). O servidor ISA pega um IP privado. O link dedicado ainda não esta configurado corretamente.

     

    Range que configurei na VPN:
    10.20.30.1 ~ 10.20.30.254

    terça-feira, 6 de abril de 2010 19:57
  • Entao na placa de internet do ISA esta o IP do seu modem??

    O ISA usa dial-up para se conectar a internet?

    Acredito que o problema esteja no roteamento do modem para o ISA.

    Seu modem e o seu DHCP?? Vc ja tentou colocar seu modem na mesma faixa de IP do sua rede interna?? 192.168.0.x


    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    terça-feira, 6 de abril de 2010 20:08
  • Na placa de internet do ISA, esta um IP atribuido pelo DHCP do Modem.
    O ISA não utiliza dial-up para se conectar a internet. Como o modem é roteado, é uma conexão sempre ativa.

    IP Público -> Modem
    Modem -> IP Privado para a placa de internet do ISA
    Placa rede Interna do ISA -> DHCP para a Rede Interna

    Seria um esquema assim, em resumo.
    O modem é o DHCP apenas para a máquina do ISA. O resto da rede, pega IP através da placa "Rede Interna(Pegam um ip 192.168.0.x).

    Não entendi sua sugestão, colocar o modem na mesma faixa de ip da rede interna ????
    Se for assim, seria necessário desativar o DHCP do modem, e coloca-lo para receber um Ip da placa de rede interna ? Isso que você quer dizer ?

    terça-feira, 6 de abril de 2010 20:13
  • Quando o modem esta roteado ele ativa o firewall, o roteador pode esta bloqueando trafego tbm! Vc ja vverifou se seu roteador nao esta barrando nenhum trafego?

    Vc criou já criou um computer com o IP do roteador e liberou todo o trafego do ISA com o roteador e Virsa e versa??

    Sim desativar o DHCP do modem, desativar o firewall tbm e deixar com IP fixo e deixar tbm a o ISA com IP estatico.

    Faça como teste.


    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    terça-feira, 6 de abril de 2010 20:25
  • Assim que eu for na empresa, eu farei este teste.

    O modem está roteado, mas eu desativei o Firewall do modem. Ele não esta barrando nenhum tráfego, ao que eu entendi quando analisei ele.
    Vou fazer isso: Criar um computer com o IP do roteador. Mas...como fica essa parte de "liberar todo o trafego do ISA com o roteador " ? Você diz, adiciona-lo as regras que criei por causa da VPN né. Vou providenciar isto.

    E o erro se "auto-corrigiu", voltei a resolver as máquinas pelo IP. Mas ainda não consigo resolver pelo nome, esse problema persiste. Mas já foi uma vitória hoje.

    Muito obrigado David !

    terça-feira, 6 de abril de 2010 20:30
  • Deu algum ____ na rede que minha resposta "não foi".
    Enfim...eu mandei uma mensagem para "esclarecer".

    O ISA Server esta funcionando em uma placa com endereço estático.
    Nesse servidor, roda DNS,DHCP,AD e o ISA Server.
    Ele possui três placas de rede, as três com endereço estático. Apesar do modem ser capaz de entregar uM IP via DHCP para o Servidor, optamos por usar um estático.

    E me desculpe a falta de informação, mas como faço para criar uma conta de computador no AD para o roteador ? Na hora de criar o computer, eu não tenho opção dee especificar Ip, etc.

     

    Obrigado!

    quarta-feira, 7 de abril de 2010 14:08
  • o roteador vc vai criar no ISA nas opções computer, la vc add o IP do roteador e libera a comunicação do ISA com o roteador!


    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    quarta-feira, 7 de abril de 2010 14:22
  • Olá David,

    Fiz o processo e inclui o computador na regra que libera todo o tráfego para os clientes VPN.
    Criei com o IP do roteador certinho, mas infelizmente ainda não consegui.

    Criei desta maneira:

    Tenho uma regra, que libera "All Outbound traffic", from "Internal, Local Host, VPN Clients, Quarantined VPN Clientes, e Roteador(o computador q eu criei"), To (Os mesmos de from, exceto roteador).

    Só consigo resolver um servidor por nome: O próprio servidor ISA.
    O resto, seja servidor ou máquina da rede interna, eu não consigo resolver.

    quarta-feira, 7 de abril de 2010 15:02
  • Segue o resultado do IPCONFIG, da conexão VPN:
    Achei estranho pq consta que o DHCP não esta ativado (E eu acabei de ativa-lo no ISA Server(abandonei a opção de pool de endereços estáticos).



    Adaptador PPP VPM-Default(nada alterado):



            Sufixo DNS específico de conexão  . :

            Descrição . . . . . . . . . . . . . : WAN (PPP/SLIP) Interface

            Endereço físico . . . . . . . . . . : 00-53-45-00-00-00

            DHCP ativado. . . . . . . . . . . . : Não

            Endereço IP . . . . . . . . . . . . : 192.168.0.48

            Máscara de sub-rede . . . . . . . . : 255.255.255.255

            Gateway padrão. . . . . . . . . . . : 192.168.0.48

    quarta-feira, 7 de abril de 2010 15:35
  • Segue o resultado do IPCONFIG, da conexão VPN:
    Achei estranho pq consta que o DHCP não esta ativado (E eu acabei de ativa-lo no ISA Server(abandonei a opção de pool de endereços estáticos).



    Adaptador PPP VPM-Default(nada alterado):



            Sufixo DNS específico de conexão  . :

            Descrição . . . . . . . . . . . . . : WAN (PPP/SLIP) Interface

            Endereço físico . . . . . . . . . . : 00-53-45-00-00-00

            DHCP ativado. . . . . . . . . . . . : Não

            Endereço IP . . . . . . . . . . . . : 192.168.0.48

            Máscara de sub-rede . . . . . . . . : 255.255.255.255

            Gateway padrão. . . . . . . . . . . : 192.168.0.48


    Quem é o DNS????
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    quarta-feira, 7 de abril de 2010 15:54
  • Pois é, isto que observei. Uma coisa simples quee u nao tinha parado para olhar.

    Como o DHCp não esta sendo ativado (O ISA nao ta entregando o DHCP(e olha q cabei de criar regra liberando DHCP Reply e Requlest), ele nao ta obtendo o DNS.

    Mesmo assim, colocando o DNS "na mão", ou fazendo o ISA atribuir o DNS ao se conectar, não adianta =(

    Tem algo barrando o pacote DHCP.
    Estou analisando as regras.

    ____ q tá barrando mas "não cai em regra nenhuma", simplesmente barra.

    quarta-feira, 7 de abril de 2010 16:46
  • Vai no seu DHCP e veja seu scope options:

    006

    015

     

    execute o comando nslookup internamente e veja se esta resolvendo??


    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    quarta-feira, 7 de abril de 2010 17:00
  • O 006 esta configurado certo (192.168.0.1)

    O 015 não tem nada configurado.

    No caso seria configurar o mesmo que eu estava configurando aqui na estação , correto ?:

    Ah sim, internamente nresolvo sem problemas.

    quarta-feira, 7 de abril de 2010 17:06
  • 015 e seu sufixo DNS: monteirologistica.com
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    quarta-feira, 7 de abril de 2010 17:11
  • Coloquei,

    Como eu desconfiei, nada. Desconfiei porque eu tinha colocado aqui manualmente, e do mesmo jeito não obtive um resultado diferente.

    O lance é que o pacote tá chegando no modem, o isa tá barrando ele não sei pq, já que ele tem regras pra liberar tudo que chegar dos clientes VPN.

    quarta-feira, 7 de abril de 2010 18:31
  • Pablo vc ja colocou seo roteador em modo bridge?????

    O ideal e trabalhar com ele em modo bridge e usar o Specify Dial-Up Preferences do ISA server para fazer a conexão.

    http://www.topbits.com/configuring-isa-server-dial-up-connections.html

    http://www.isaserver.org/tutorials/Configuring_ISA_Server_Dialup_Connections.html


    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    quarta-feira, 7 de abril de 2010 18:42
  • Resolvi o problema.

    Lembra o que eu disse, como DNS primário o 192.168.0.1 não estava resolvendo ?
    Pois é, coloquei ele de novo, mas desta vez como DNS Backup eu coloquei o roteador (192.168.254.254)

    Bingo, no meu caso resolveu.

    Estou utilizando um pool de endereços estáticos no momento (10.20.30.1 ~ 10.20.30.254), mais por uma questão de organização mesmo.
    Agora tenho que começar a "fechar"  a rede. Como eu estava implantando, muita coisa estava aberta.
    Hora de trancar a rede de novo.

    Muito obrigado David182
    E muito obrigado a todos que colaboraram !

    • Marcado como Resposta pablobhz quarta-feira, 7 de abril de 2010 18:47
    quarta-feira, 7 de abril de 2010 18:47
  • Se vc deixar só IP do roteador como DNS funciona???

    Estranho pq quem tem q resolver os nomes e seu DNS interno, nesse seu caso o roteador fara pesquisa de DNS externo!


    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    quarta-feira, 7 de abril de 2010 18:59
  • Pois é,

    Eu também não entendi muito bem não.

    Se eu deixo só o roteador sozinho, não funciona. Se eu coloco os dois (Independente da ordem), funciona.

    Ainda não entendi muito bem a lógica. Hummm
    Pensando aqui...o roteador existe como objeto nas regras do ISA, para trafegar livremente.
    Talvez faça algum sentido..

    mas ainda assim
    O servidor roda o serviço de DNS, deveria resolver os nomes da rede interna. Eu hein.
    Se você tiver alguma idéia dfo porque disto acontecer, me conte :)

    quarta-feira, 7 de abril de 2010 19:17