none
VPN Clientes Externos Acesso Rede Interna RRS feed

  • Pergunta

  • Senhores, bom dia.

    Estou tendo problemas com acesso remoto de clientes vpn a área de trabalho remotas em minha rede.

    Nas configurações da VPN pelo ISA Server 2004 eu informei a faixa de IP 192.168.1.X para serem atribuidos aos clientes externos VPN.

    Minha rede local pertence a faixa de IP 192.168.0.X.

    Os clientes VPN externos conseguem acessar a VPN, mas, não conseguem acesso aos recursos da minha rede local, como acesso a área de trabalho remota de um estação com IP pertecente a faixa da minha rede loca.

    Fico no aguardo de sugestões, e desde já muito obrigado.

    • Movido Hengzhe Li quinta-feira, 29 de março de 2012 04:35 (De:ISA Server 2004)
    segunda-feira, 23 de outubro de 2006 14:28

Todas as Respostas

  • Olá,

    Como os clientes estão em uma rede diferente, você precisa que os pacotes sejam roteados para a sua rede interna, para isso vá no RRAS em IP Routing, clique com o botão direito e crie uma nova rota estática com destination para 192.168.0.0 Mask 255.255.255.0 Gateway 192.168.0.1 (supondo que esse seja seu ISA Server).

    Mas antes verifique se o seu RRAS está configurado como router nas propriedades do servidor.

    segunda-feira, 23 de outubro de 2006 14:52
  • Aloisio,
    Irei te passar meu cenario para verificar se isso pode ser procedente realmente, pois, mesmo com a sua sugestão, ainda nao consigo ter acesso a estação na minha rede.

    Verifiquei também que o cliente VPN tem acesso a máquina servidora ISA que possui IP da rede Local

    Vejamos:

    1) Rede Local 192.168.0.0

    2) Estação de Trabalho da minha rede local 192.168.0.3

    3) Servidor ISA 192.168.0.4

    4) Faixa IP que estao sendo atribuidos pelo ISA Server 2004 para os clientes VPN 192.168.1.0

    Ex.: O cliente VPN que foi ganhou o IP 192.168.1.2 do ISA consegue acessar via área de trabalho remota o server ISA pelo IP 192.168.0.4 mas nao consegue acessar a estação 192.168.0.3

    segunda-feira, 23 de outubro de 2006 15:26
  • Gabriel,

    Quem (IP) é o Default Gateway dos clientes com o IP 192.168.1.X? Porque o default Gateway é quem vai rotear esses clientes para a sua rede interna.

    Na regra de roteamento que eu te falei, qual foi a Interface que você fez isso? Você verificou se o RRAS está com IP Routing habilitado?

    segunda-feira, 23 de outubro de 2006 16:04
  • Aloisio,

    Default Gateway em rede VPN é o tunel. O servidor VPN é que vai se encarregar de reenviar o pacote para a rede/computador de destino.

    Gabriel,

    Habilite uma monitoração para o seu cliente VPN e veja o que o ISA diz quando você tenta acessar a rede interna. Uma pergunta: Você criou uma access rule dizendo que o que vier da rede "VPN Clients" pode acessar os protocolos desejados em internal? Se não criou, crie, :).

    []'s

    Alberto

    segunda-feira, 23 de outubro de 2006 17:30
    Moderador
  • Alberto,

    Sim, já havia criado um access rule incluindo todos os protocolos de VPN Clients para Internal.

    Vou descrever como estão distribuidos meus recursos.

    1) Um server windows server 2003 sp1 com isa server 2004 se sp2. Neste tenho duas placas de rede, uma com o ip 192.168.0.4, mascara 255.255.255.0 default gateway (vazio) e servidores dns 192.168.0.1 e 192.168.0.2 (servidores dns internos) e outra ligada ao meu link com os ip, mascara, gateway, e servidores dns designados pela operadora de telefonia.

    2) Minha maquina móvel nao pertence ao meu domínio, e faz um acesso discado para um ISP e apos, um acesso VPN ao meu server ISA utilizando do meu IP publico.

    Situações:

    1) Não consigo acessar um estação que pertence ao meu domínio e que está em minha rede local de IP 192.168.0.70 via área de trabalho remota.

    2) Em contrapartida, consigo realizar acesso área de trabalho remota do meu servidor ISA de IP 192.168.0.4

    3) Nas configuraçoes de Address Assignment utilizei o metodo static address pool com a faixa de IP 192.168.1.0 ate 192.168.1.255. Na mesma guia ainda, em Advanced, especifiquei meus servidores dns primario e secundario internos.

    Fico no aguardo de mais sugestões

    segunda-feira, 23 de outubro de 2006 19:00
  • Gabriel

    O que a monitoração diz?

    segunda-feira, 23 de outubro de 2006 19:37
    Moderador
  • Ola Gabriel,

    Boa Tarde.

    Seu problema aparenta ser roteamento, qual o default gateway atribuido aos VPN Client's ?

    Abraços.

    segunda-feira, 23 de outubro de 2006 19:43
  • Armindo, aonde verifico esta configuração?

    Senhores, desculpe-me a ignorancia, mas já estou até fazendo este tipo de pergunta para certificar-me, pois aparentemente está tudo correto.

    segunda-feira, 23 de outubro de 2006 20:16
  • Senhores,

    Resolvi meu problema modificando em Network Rules a regra de Acesso dos clientes VPN em minha rede alterando o modo de relacionamento entre as rede de router para NAT.

    Isso implicaria em perda de performance ou segurança ou outro aspecto negativo?

     

    segunda-feira, 23 de outubro de 2006 21:35
  • Gabriel,

    Implica em você não poder saber exatamente quem está acessando o que. Com o NAT, o ip que chega ao destino é o do ISA, e não o do cliente. Dessa forma você não consegue saber, por exemplo, quem está ou não conectado a um determinado servidor seu, num dado momento. Para um controle e visibilidade maior, seria bom deixar como route mesmo.

    []´s

    Alberto

     

    segunda-feira, 23 de outubro de 2006 22:08
    Moderador
  • Concordo Alberto mas, com esta opção, eu consegui que meu cliente tenha acesso a área de trabalho remota da minha estação pertecente a rede interna.

    Analisando as situações:

    1) Cenario com a opção Router habilitada:

    Consigo conectar-me via VPN em meu server.

    Recebo o IP 192.168.1.2

    Minha rede interna possui a faixa de ip 192.168.0.0

    Tento acessar minha área de trabalho.

    Se eu estive utilizando o roteamento, o IP 192.168.1.2 deve ser o IP que será informado.

    Não consigo ter acesso a área de trabalho remota.

     

    2) Cenário com a opção NAT habilitada:

    Consigo conectar-me via VPN em meu server.

    Recebo o IP 192.168.1.2

    Minha rede interna possui a faixa de ip 192.168.0.0

    Tento acessar minha área de trabalho.

    Se eu estive utilizando o NAT o IP 192.168.0.4 deve ser o IP que será informado.

    Consigo ter acesso a área de trabalho remota além de que se a estação já for um máquina pertecente ao domínio, e que estiver externa por exemplo, utilizando-se de acesso discado para acessar a internet, além de acessar as áreas de trabalho remota, tem acesso aos recursos de rede como se estivesse diretamente ligado na própria rede.

     

    Diante destes fatos, qual será o problema quando estou utilizando o roteamento?

    Pelo o que verifiquei com o comando route print, todas as linhas de roteamento que deveriam estar presentes, estão.

    Aguardo sua resposta

     

    []'s

     

    segunda-feira, 23 de outubro de 2006 22:29
  • Ola Gabriel,

    Bom dia.

    Me diga como está as seguintes configurações:

    Ip atribuido ao cliente VPN ?

    Default Gateway atribuido ao cliente ?

    IP interno do ISA ?

    IP que o cliente VPN tenta se conectar ?

    Abraços.

    terça-feira, 24 de outubro de 2006 11:19
  • Gabriel,

    Estava aqui pensando no seu problema e me lembrei de um que tive em um cliente. No caso em questão, o ISA não pegava ip do DHCP interno nem com reza forte. Gerou até chamado com a MS. Ai você me pergunta: O que o meu caso tem em relação ao citado? Quando eu estava realizando testes, pegava um ip apipa (169.168.x.x). Se meu cliente VPN não estivesse configurado para gateway padrão de rede remota, não conseguia me comunicar com a rede interna do cliente. Se estivesse, mesmo com um ip diferente do da rede interna, funcionava normalmente. E sem a necessidade de configurar o relacionamento como NAT. Minha pergunta: Nos seus clientes VPN, a rota padrão deles é o tunel VPN? Se não for, por favor, queria que você testasse habilitar essa guia na conexão VPN. Ou então criar manualmente a rota pra sua rede 192.168.0.x, apontando para o ip de sua conexão VPN. Você poderia fazer isso e reportar o resultado?

    []'s

    Alberto

    terça-feira, 24 de outubro de 2006 12:39
    Moderador
  • Ola All,

    Boa Tarde.

    Acredito que uma rede não consegue chegar a outra.

    EX:

    192.168.1.0 Rede1

    192.168.2.0 Rede2.

    Isto pode ser problema de roteamento, por falta de rota ou por falta da informação de um default gateway.

    Abraços.

    terça-feira, 24 de outubro de 2006 17:28
  • Fala Armindo,

    To com você. Tem cara de problemas de roteamento.Pra mim é a falta do gw padrão apontando pro tunel. Como eu disse anteriormente, tive uma situação bem semelhante e não funcionava justamente por conta da opção do gw padrão de rede remota estar desmarcado. Vamos aguardar o retorno do Gabriel e ver o que ele nos diz dos testes.

    []'s

    Alberto

    terça-feira, 24 de outubro de 2006 18:19
    Moderador
  • Ola Alberto,

    Boa Tarde.

    Tambem ja tive problema parecido porem com rota, vamos ver o que o Gabriel nos retorna.

    Abraços.

    terça-feira, 24 de outubro de 2006 18:29
  • Alberto e Armindo,

    Desculpem-me pela demora na resposta, estive fora 1 dia e não tive acesso ao Fórum.

    Irei verificar o que você me pediu, porém, acredito que esta opção já esteja "setada".

    Além disso, mudei um pouco o meu cenário.

    Configurei o ISA para requisitar IP ao meu DHCP. Pelo que notei os IP fornecidos desta forma, estão dentro da faixa da minha rede local, ou seja, iniciados com 192.168.0.x.

    Retornei ao modo Router ao inves de NAT para efetuar novos testes.

    Aproveitando o post, como é o processo de criar um gerador de certificados para eu conseguir utilizar tuneis L2TP sobre IPSEC?

    []'s

    quarta-feira, 25 de outubro de 2006 11:54
  • quarta-feira, 25 de outubro de 2006 13:04
  • Gabriel,

    Imagino que você não enfrentará mais o problema de roteamento, visto que seus clientes VPN estão no "mesmo segmento" de sua rede interna. Até sem default gateway você deve conseguir acessar normalmente as suas máquinas internas. Quanto a parte de l2tp over ipsec, verifique os artigos que o armindo postou. Eles devem lhe ajudar a gerar os certificados. Quanto a parte da VPN, veja o artigo http://www.isaserver.org/tutorials/Configuring_Gateway_to_Gateway_L2TPIPSec_VPNs_Part_1_Configuring_the_Infrastructure.html.Apesar de ser relativo a VPN site to site, o processo de client to site é bem semelhante, com poucas diferenças.

    []'s

    Alberto

    quarta-feira, 25 de outubro de 2006 13:17
    Moderador