none
Roteamento entre dois isa servers RRS feed

  • Pergunta

  • Pessoal, bom dia, tenho o seguinte cenário: http://www.imagesticky.com/images/7d9x7lwivrzzyr05lasu.jpg

    Preciso rotear o trafego entre as duas redes, hoje existe uma vpn site to site.

    Ja fiz as seguintes configurações.

    Criei nos dois servidores: Networks e Netowks Rules (Rede Interna -> Outra Rede -> Route)

    Criei uma firewal policy liberando o trafego entre as redes.

    Adicionei uma rota no windows em cada servidor:

    Porem não consigo fazer o trafego passar pelo ISA, ele reconhece as redes pelos logs, mas dá sempre acesso negado.

    Alguém tem alguma dica para me dar.??

    quinta-feira, 18 de agosto de 2011 11:41

Respostas

  • Só para ficar documentado, consegui fazer com o TMG, e somente utilizando mais uma placa de rede e uma rede de passagem (aqui tá o truque), o ISA/TMG não consegue rotear pela interface WAN dele.

    DICA não crie uma network para rede que você deseja rotear, trate tudo como subnet.

    Abraço.


    segunda-feira, 12 de setembro de 2011 13:37

Todas as Respostas

  • Bom dia Amigo por qual tecnologia está sendo feita essa VPN Site to Site?


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quinta-feira, 18 de agosto de 2011 13:27
  • Bom dia, Amigão.

    Cara como seu problema é mais complexo é necessario muito mais informação. Quanto mais detalhado melhor.

     

    Configuração de Rede dos ISAS (Todas as Placas).

    Como está sendo feito esse site to site.

     


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quinta-feira, 18 de agosto de 2011 13:30
  • Felipe, bom dia, o que eu quero realmente é remover a vpn-site-site( hoje está fehcado pelo ISA) e passar a trabalhar somente com roteamento.

    Segue um cenario mais detalhado do que eu quero.

    http://www.imagesticky.com/images/h4cz3ur57tzvltb9vf4.jpg

    Ja tentei de tudo e não consigo fazer o ISA rotear sem fechar a vpn, não preciso ter uma vpn fechada em uma rede privada, isso gera uma sobrecarga nos meus fw que eu não preciso

    Os dois firewall estão em locais fisicos diferentes, mas interligados por fibra na rede 10.1.10.X

    Obrigado pela ajuda

    quinta-feira, 18 de agosto de 2011 14:02
  • beleza até aqui eu entendi.

    O que eu quero saber eh como essas rede são ligadas fisicamente?

    É um link dedicado de alguma operadora?


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quinta-feira, 18 de agosto de 2011 14:09
  • Vc tem que ligar cada rede em uma placa do ISA.

    Criar a Network de cada rede.

     

    Depois fazer uma rota no ISA.


    David Dellacenta || SonicWall-CSSA ||http://daviddellacenta.wordpress.com||
    quinta-feira, 18 de agosto de 2011 14:17
  • Felipe.. eu falei acima "Os dois firewall estão em locais fisicos diferentes, mas interligados por fibra na rede 10.1.10.X", essa rede é a mesma do gateway dos ISAs o firewall de borda que tem o ip 10.1.10.10, ou seja pelo desenho que passei dá para ter uma ideia, é bem aquilo ali mesmo, esquece mpls, lp e link externo, todo trafego que quero rotear é interno entre unidades diferentes ligadas por uma fibra, não posso colocar todo mundo na mesma rede pois são redes grandes.

    David, como disse no começo do post eu ja criei as networks, ja criei as rules networks e polices no firewall, tambem criei as rotas no sistema operacional (nos dois ISAs), para não ser preciso passar pelo gateway dos dois ISAs (firewall de borda).

    Para simplificar a wan dos dois ISAS estão na mesma rede.

    Obrigado pelo apoio

    quinta-feira, 18 de agosto de 2011 16:59
  • Amigão cada post seu entendo melhor o seu Cenário.

    Pelo que eu entendi há um Gateway (roteador) interligando os sites.

    Você não precisa fazer essas redes passar pelo ISA server, o correto quando você tem um cenário igual ao seu é deixar o gateway das maquinas clientes apontando para seu gateway e configurar o gateway para encaminhar para o ISA do mesmpo Site quando for pacote de dados para internet.

     

    Tem uma documentação legal falando sobre esse assunto, eu vou da uma procurada e te passo.


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quinta-feira, 18 de agosto de 2011 17:17
  • Felipe..heheh acho que tá acontecendo ao contrario estamos nos comlicando mais ahauhuahau...... não tem roteador nenhum na jogada o gateway das maquianas nos sites são seus respectivos ISA , o gateway do ISA é o firewall de borda, você consegiu ver a a imagem que eu postei? Ela resume tudo.

    Vamos simplificar o cenario mais ainda para ficar claro. Imagine dois ISAs protegendo duas redes pegue o cabo de rede que sai da placa Wan de cada isa e liga no mesmo switch (que tambem te a placa LAN do firewall de borda, esse cara fornece acesso a internet aos ISAs), a rede wan dos ISAs é a mesma.

    To meio que perdendo a fé no ISA, essa configuração em qualquer outro firewall se resumiria a criar uma rota e desabilitar o nat entre essas redes.

    quinta-feira, 18 de agosto de 2011 17:36
  • me passa seu e-mail SenhorT


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quinta-feira, 18 de agosto de 2011 17:41
  • Como vem esse cabo??

     

    Se  o gateway dos clientes sao o ISA, deve ter rota estatica nas maquinas.

     

    Tem alguma incoformidade de informação.


    David Dellacenta || SonicWall-CSSA ||http://daviddellacenta.wordpress.com||
    quinta-feira, 18 de agosto de 2011 18:22
  • Estou mandando uma imagem mais detalhada do cenario. Hoje existe uam vpn fechado pelos ISAs entre o ISA A e o ISA B, eu qieria fazer roteamento ao invez de usar essa vpn.

     

    sexta-feira, 19 de agosto de 2011 18:54
  • Pessoal, bom dia, tenho o seguinte cenário: http://www.imagesticky.com/images/7d9x7lwivrzzyr05lasu.jpg

    Preciso rotear o trafego entre as duas redes, hoje existe uma vpn site to site.

    Ja fiz as seguintes configurações.

    Criei nos dois servidores: Networks e Netowks Rules (Rede Interna -> Outra Rede -> Route)

    Criei uma firewal policy liberando o trafego entre as redes.

    Adicionei uma rota no windows em cada servidor:

    Porem não consigo fazer o trafego passar pelo ISA, ele reconhece as redes pelos logs, mas dá sempre acesso negado.

    Alguém tem alguma dica para me dar.??


    Como está o Network Rule entre a rede Interna e a Externa (NAT ou Route)? Tenta mudar para route e verifica se da certo.
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    terça-feira, 23 de agosto de 2011 21:49
  • Felipe com eu disse no começo do post e você citou.

     

    "Criei nos dois servidores: Networks e Netowks Rules (Rede Interna -> Outra Rede -> Route)"

    Está como route sim.

    sexta-feira, 26 de agosto de 2011 16:50
  • Felipe com eu disse no começo do post e você citou.

     

    "Criei nos dois servidores: Networks e Netowks Rules (Rede Interna -> Outra Rede -> Route)"

    Está como route sim.


    É verdade num tinha visto!

     

    Ja tentou Adicionar Outra placa outra placa nos ISAs e fazer o mesmo Procedimento?

     

    PS. Ainda acho a melhor solução no seu cenário add roteadores entre essas duas rede para não passar o trafego entre os ISAs.


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    sábado, 27 de agosto de 2011 15:40
  • Só para ficar documentado, consegui fazer com o TMG, e somente utilizando mais uma placa de rede e uma rede de passagem (aqui tá o truque), o ISA/TMG não consegue rotear pela interface WAN dele.

    DICA não crie uma network para rede que você deseja rotear, trate tudo como subnet.

    Abraço.


    segunda-feira, 12 de setembro de 2011 13:37