none
Cliente OpenVpn for Windows nao conecta vpn passando pelo Isa Server 2004 SP3 RRS feed

  • Pergunta

  • Ola Amigos, sou novo no fórum Technet estou com um problema no qual possuo uma rede com dois servidores Windows server 2003 (um deles é um SBS Small Business Server e o outro R2 ) o R2 esta configurado com DC, dns, dhcp e o SBS como firewall da rede o qual esta compartilhando a internet com o Isa server 2004 Sp3. O SBS (isa server) possui um ip válido em uma das placas de rede e outra com endereço com ip classe C (192.168.0.x) a rede interna possui somente windows xp Professional membros do domínio, o gateway das estações esta apontando para o IP do Isa server a internet esta funcionando normal nas mesmas e os demais serviços de rede como ftp, ldap, socks, smtp, pop, https, msn e demais portas tcp e udp especificas de alguns aplicativos da rede tudo esta funcionando normalmente.

     

    O Problema é o seguinte: quando tento acessar o uma vpn externa de uma das estações que estão atrás do isa server no caso de um outro cliente o qual utiliza o openvpn simplesmente não conecta e não pinga para o destino da vpn mesmo eu liberando a porta especifica no caso a 5007 tcp e udp(porta essa passada pelo adm da rede onde esta o servidor do openvpn), criei uma regra permitindo conexões secundárias para os pacotes retornarem por portas diferentes e passarem pelo isa e serem encaminhados ate o cliente q fez a requisição mas ainda não funciona ! o adm da outra rede o qual existe o openvpn me disse que os pacotes chegam lá reescritos com solicitação para voltarem ao isa por portas dinâmicas(diferentes) ex. em uma conexão chega lá os pacotes vem com a descrição q deve voltar pela porta 3015 udp, em seguida por outra porta e assim sucessivamente ! não sei se tenho q liberar todas as portas de entrada pelo meu isa(creio ser uma grande brecha de segurança)?, se crio uma relação de confiança entre  o host onde esta o openvpn ? ou o q devo fazer, outra observação que quero fazer é que desinstalei o isa server e habilitei o RRAS como roteador de NAT da rede dae então a vpn funciona normalmente mas pelo isa server não tem jeito de funcionar !

    Peço a ajuda a vocês do  forum porque sinceramente não sei mais o que fazer ! um abraço a todos

     

     

     

    • Movido Hengzhe Li quarta-feira, 28 de março de 2012 00:47 (De:ISA Server 2004)
    terça-feira, 11 de novembro de 2008 01:27

Respostas

  • Prezados,

    Ainda estão com esse problema? Se sim, altere no arquivo de configuração o parametro Proto para tcp e comente o parametro abaixo (utilize ";"):

    ;explicit-exit-notify 5

    Tomei uma coça para resolver essa, na verdade o que acontece é que a porta de origem não é a mesma da porta de destino (no caso do UDP) e ele não consegue fazer o handshake. Com TCP ele usa a mesma porta e assim funciona. Poderiamos tambem criar uma network rule para o endereço de destino utilizando ROUTE.

    Da mesma forma que vim aqui só para responder esta solução, marque como resposta e responda sempre que souber.

    Abraços a todos, vamos compartilhar.

    Paolo Vinco.
    Paolo Vinco
    • Sugerido como Resposta Paolo Vinco terça-feira, 2 de março de 2010 20:03
    • Marcado como Resposta Enderson Valente quinta-feira, 31 de maio de 2012 14:04
    terça-feira, 2 de março de 2010 20:03

Todas as Respostas

  • Olá JPC,

     

    A primeira coisa que pensei em te falar foi para você fazer um Logging, mas você já sabe que as portas de retorno são dinâmicas. Ainda assim, vale a pena verificar se não tem algo sendo bloqueado na saída, ou seja, da rede interna para externa.

     

    Outra coisa, é tentar utilizar o Firewall Client. Veja se isso ajuda, depois coloque aqui o resultado.

     

    Quanto ao que você mencionou como brecha de segurança, é o seguinte: O ISA faz a verificação do que está saindo da rede interna e monitora essa conexão. Quando os pacotes voltam em portas diferente, o ISA habilita a conexão por que sabe que a saída foi autorizada. Consegui ser claro? Basicamente, isso significa que você não precisa liberar tudo, apenas o que está saíndo. O resto o ISA se encarrega de verificar e aprovar...

     

    Até mais!

    terça-feira, 11 de novembro de 2008 12:49
  • Pois bem, amigo ! o isa server client (Firewall Client) eu ja havia testado e nao resolveu, no logging quando tento efetuar a conexão percebo que a regra de liberação que criei aparece como "initiated conection" no resumo mais abaixo (a oepração foi completada com sucesso) quer dizer ele libera a conexão sem prob., outra coisa cheguei a criar uma regra de liberar todo o trafego apartir da estação o qual quero conectar ao openvpn (sem restrição de porta) mas mesmo assim nao conecta o danado, habilitei tambem as opçoes de VPN do isa mas tb nao adiantou se bem q as opções de vpn dele são porta pptp e l2tp que nao é o meu caso mas mesmo assim o fiz por via das duvidas mas SEM EXITO ! voce tem mais alguma ídéia ???

    Agradeço desde já

     

    terça-feira, 11 de novembro de 2008 21:59
  • Olá JPC,

     

    Descreva como está a regra que libera essa conexão.

     

    Até mais!

    terça-feira, 11 de novembro de 2008 23:30
  •  

    A regra esta assim: ação=> alow

    From=> internal (testei tb com all network and localhost)

    Protocolo= criei uma regra de protocolo com a porta em questão 5007 tcp e udp na mesma regra aceitando conexões secundárias,

    To=> external

    users=all users

    e todos os horarios  

    quarta-feira, 12 de novembro de 2008 02:18
  • Amigos fiz essa regra aqui , no caso eu apenas liberei as portas do Open VPN, que são as 1194 UDP
    Regra de saída
    terça-feira, 18 de novembro de 2008 14:31
  • Olá amigo! cara eu liberei todo o tráfego de origem (ip da estação que vai conectar ao openvpn) e nao deu certo ! vc tem mais alguma idéia ??

    abraços . . .
    terça-feira, 18 de novembro de 2008 15:15
  • Colega JPC

    Minha regra antiga não está funcionando no ISA 2006, você conseguiu solucionar esse problema?

    No aguardo
    VAGNER TOMAZ
    quinta-feira, 2 de abril de 2009 15:02
  • Prezados,

    Ainda estão com esse problema? Se sim, altere no arquivo de configuração o parametro Proto para tcp e comente o parametro abaixo (utilize ";"):

    ;explicit-exit-notify 5

    Tomei uma coça para resolver essa, na verdade o que acontece é que a porta de origem não é a mesma da porta de destino (no caso do UDP) e ele não consegue fazer o handshake. Com TCP ele usa a mesma porta e assim funciona. Poderiamos tambem criar uma network rule para o endereço de destino utilizando ROUTE.

    Da mesma forma que vim aqui só para responder esta solução, marque como resposta e responda sempre que souber.

    Abraços a todos, vamos compartilhar.

    Paolo Vinco.
    Paolo Vinco
    • Sugerido como Resposta Paolo Vinco terça-feira, 2 de março de 2010 20:03
    • Marcado como Resposta Enderson Valente quinta-feira, 31 de maio de 2012 14:04
    terça-feira, 2 de março de 2010 20:03
  • Bom dia Paolo!

    Estou com o mesmo problema aqui citado, porem essa modificação que vc comentou acima aonde seria?

     

    Obrigado

    sexta-feira, 7 de maio de 2010 12:34