locked
TMG NEGANDO ACESSO LOCAL RRS feed

  • Pergunta

  • Prezados,

    Recentemente implantei um TMG, e criei duas regras para começar a configurá-lo de acordo com as necessidades aqui da empresa.

    1- Permitir todo o tráfego da rede interna e localhost para rede interna e localhost para all users.
    2- Permitir todo o tráfego da rede interna e localhost para a internet

    Dentre as redes definidas como locais no ato da instalação, estão:
    - 10.16.64.20
    - 192.168.100.1

    Ainda sim, não consigo acessar o console do meu BOX atual, apresenta o erro abaixo.



    Denied Connection NUCSRVFW01 5/20/2010 11:43:57 AM
    Log type: Firewall service
    Status: A packet was dropped because its destination IP address is unreachable. 
    Rule: None - see Result Code
    Source: Internal (10.16.64.20:2008)
    Destination: Internal (192.168.100.1:1020)
    Protocol: Unidentified IP Traffic (TCP:1020

    Vocês poderiam me ajudar?

    Não faço idéia do que é.

    Forte abraço a todos.


    Carlos.


    Cassiano
    quinta-feira, 20 de maio de 2010 14:46

Respostas

  • Cara se a comunicação do TMG para as outras redes tem que passar pelo cisco crie a rota estatica da seguinte maneira:

    Para configurar uma rota estática no TMG vá em:

    Network, Routing e clique em Create Network Topology Route

    Network Destinarion: IP da rede de destino

    NetMask: mascara da rede de destino

    Gateway: IP do Cisco (O TMG tem que conseguir pingar esse IP)

    Metric: 20


    Douglas Filipe http://douglasfilipe.wordpress.com www.baboo.com.br www.babooforum.com.br
    • Marcado como Resposta Richard Juhasz terça-feira, 15 de junho de 2010 16:57
    terça-feira, 25 de maio de 2010 19:40

Todas as Respostas

  • Voce tem duas redes internas distintas, são VLANs?

    Se forem VLANs voce criou rota no TMG para ambas?

    O erro que está sendo apresentado informa que o TMG não está conseguindo comunicação com o IP 192.168.100.1 então uma outra solução que voce pode tentar se o acesso for web é configurar o IE para nao passar usar proxy para endereços locais.


    Douglas Filipe http://douglasfilipe.wordpress.com www.baboo.com.br www.babooforum.com.br
    sexta-feira, 21 de maio de 2010 11:40
  • Não é VLAN não.

    O IE ja ta configurado pra nao usar o TMG pra endereços locais.

    Mesmo tendo definido todas as redes que eu tenho aqui no TMG como redes "internas", ele não deixa acessar servidores por exemplo por remote desktops, acho que meu problema vai um pouco alem disso.

    Falta de conhecimento é um problema.

    Estou usando o firewall client instalado no PC.
    Cassiano
    sexta-feira, 21 de maio de 2010 14:49
  • O que eu to achando estranho são suas redes internas uma é 10.16 e a outra é 192.168 são classes de IPs diferentes.

    A partir do TMG voce efetua um ping em um computador da rede 10.16 com sucesso?

    A partir do TMG voce efetua um ping em um computador da rede 192.168 com sucesso?


    Douglas Filipe http://douglasfilipe.wordpress.com www.baboo.com.br www.babooforum.com.br
    sexta-feira, 21 de maio de 2010 15:48
  • Douglas,

    Eu acho que pra configurar corretamente o TMG está me faltando conhecimento de rede mesmo.

    Aqui na empresa tenho as seguintes redes:

    Interna: 10.16.X.X (e várias subredes)
    Interna: 10.18.X.X (e várias subredes)
    Interna: 10.19.X.X (e várias subredes)
    Interna: 10.30.X.X (e várias subredes)

    DMZ: 192.168.100.0
    DMZ: 192.168.200.0

    De momento eu não penso em configurar a DMZ, então podemos esquecê-la.

    Preciso definir corretamente no TMG as redes/subredes 10.16, 10.18, 10.19, 10.30 para que ele não barre fluxo de nenhuma forma da minha rede interna pra ele e vice-versa.

    Depois disso, vou montar uma regra liberando tudo do localhost/rede interna para localhost/rede interna.

    Hoje, com certeza eu não fiz isso direito, então ele não deixa eu acessar alguns servidores internos, serviços como o console do Symantec etc.

    Eu sei aonde eu defino as redes, voce poderia somente me dizer a melhor forma de liberar minhas redes nele?

    Abração e obrigado pela paciência.

    Carlos.


    Cassiano
    terça-feira, 25 de maio de 2010 14:25
  • Interna: 10.16.X.X (e várias subredes)
    Interna: 10.18.X.X (e várias subredes)
    Interna: 10.19.X.X (e várias subredes)
    Interna: 10.30.X.X (e várias subredes)
    Todas devem estar configuradas como no objeto interno no TMG, ok?

    Como essas redes se comunicam? Voce tem um switch core que faz o "roteamento" entre elas? Se tem voce deve criar as rotas no tmg para encaminhar o trafego para este switch.
    Em Network, na tab Routing voce cria as rotas manuais para essas VLANs.

    A partir do TMG voce efetua um ping em um computador da rede 10.16, 10.18. 10.19, 10.30 com sucesso?


    Douglas Filipe http://douglasfilipe.wordpress.com www.baboo.com.br www.babooforum.com.br
    terça-feira, 25 de maio de 2010 14:41
  • Temos um router cisco aqui que é gateway padrão das máquinas.
    Então ele roteia o trafego pra essas redes.

    La no TMG ele pede pra digitar o range de ip pra ir definindo as redes internas.
    Eu coloquei uma penca de subredes, 10.16.16.0, 10.16.32.0, 10.16.64.0, 10.16.65.0,  e outras....
    Não há uma forma mais efetiva de contigurar o TMG pra ele liberar logo tudo da rede 10.16.255.255 por exemplo?
    Ou seja, tudo que for 10.16.X.X ele vai entender como rede local e pronto.

    Eu na montei rota nenhuma ainda.

    Sei lá, ficaria ruim pra voce me dar um alo por msn, remoto ou tel?

    Assim, coisa rápida, acho que vc me dando poucas dicas eu já vou pra frente.

    Obrigado.


    Cassiano
    terça-feira, 25 de maio de 2010 14:52
  • Então sua topologia de rede é assim

    redes clientes <---> roteador cisco <---> TMG <---> internet, correto?

    Jeito facil seria remover o roteador cisco e configurar o tmg como default gateway das estações.

    Voce tem que criar rotas no TMG apontando como gateway o IP do cisco que deve ser na mesma subnet que a placa interna do TMG.

    Ajudaria voce dar um route print e colocar sua tabela de roteamento aqui para analise da comunidade do forum.

    Usamos o forum assim a comunidade toda se beneficia.

     


    Douglas Filipe http://douglasfilipe.wordpress.com www.baboo.com.br www.babooforum.com.br
    terça-feira, 25 de maio de 2010 15:28
  • Então, tem um detalhe, agravante ainda.
    A topologia correta hoje seria:

    Redes clientes <---> roteador cisco <---> BOX <---> internet.
    O TMG está funcionando em paralelo, a intenção é deixá-lo 100% e eliminar o BOX que temos hoje como firewall.

    A rede aqui é muito grande, mudar o gateway padrão poderia causar impactos enormes no ngeócio, não posso correr este risco.

    Então minha idéia é:
    1- Configurar o TMG pra deixar passar tudo das redes locais pra ele e vice versa
    2- Configurar o TMG pra servir internet.

    Quando tudo isso estiver funcionando sem bugs, os analista de service desk irão nas máquinas removendo o client do BOX atual dos computadores e instalando o client do TMG (firwewall client) apontando para o TMG.

    Mas eu só posso dar iniciio a este processo depois que o TMG parar de barrar trafego da rede interna e está aí o meu grande problema.

    Sei que pra você que não ta vendo o ambiente é difícil, mas se puder ajudar com alguma dica eu agradeço.

    Se tivesse como eu printava a tela de redes locais que eu configurei no TMG aqui pra facilitar.


    Cassiano
    terça-feira, 25 de maio de 2010 15:57
  • O facil nem sempre é o melhor Tenho uma topologia parecida em um cliente, é manha resolver isso: O cisco tem um IP para a rede que está o BOX e o TMG correto? O IP do TMG ja temos que é 10.16.64.20 Vamos criar uma rota para a rede 10.18.X.X que está antes do Cisco. Agora vá até Network, Routing e clique em Create Network Topology Route Network Destinarion 10.18.0.0 NetMask: A mascara da sua rede Gateway: IP do Cisco Metric: 20
    terça-feira, 25 de maio de 2010 16:17
  • Vc é um cara paciente, dífícil contar com gente como vc.

    Vamos lá, lembre-se de que sou iniciante ok?

    IP TMG:10.16.32.24
    IP CISCO (router/gateway padrão da rede toda): 10.16.16.2

    Poderia mandar os passos?


    Cassiano
    terça-feira, 25 de maio de 2010 17:07
  • To sem paciencia é com esse forum, to escrevendo numa box que parece uma maquina de escrever olivetti.

     Vamos lá

    Tá faltando o IP do Cisco da rede 10.16.32.X que é a mesma do IP do TMG 10.16.32.24.

    Para configurar uma rota estática no TMG vá em:

    Network, Routing e clique em Create Network Topology Route

    Network Destinarion 10.18.0.0

    NetMask: A mascara da sua rede

    Gateway: IP do Cisco

    Metric: 20


    Douglas Filipe http://douglasfilipe.wordpress.com www.baboo.com.br www.babooforum.com.br
    • Marcado como Resposta Carlos Cassiano terça-feira, 25 de maio de 2010 18:25
    • Não Marcado como Resposta Carlos Cassiano terça-feira, 25 de maio de 2010 18:25
    terça-feira, 25 de maio de 2010 17:25
  • Pois é.

    Esse é o problema.

    O IP do cisco é esse mesmo: 10.16.16.2
    O IP do TMG é: 10.16.32.24.

    Posso por o TMG com ip 10.16.16.X, acha que seria melhor?

    Sobre a rota estática, tento fazer assim que vc postar a resposta ok?

    Mais uma vez obrigado pela paciencia.

    Carlos.
    Cassiano
    terça-feira, 25 de maio de 2010 18:28
  • Cara se a comunicação do TMG para as outras redes tem que passar pelo cisco crie a rota estatica da seguinte maneira:

    Para configurar uma rota estática no TMG vá em:

    Network, Routing e clique em Create Network Topology Route

    Network Destinarion: IP da rede de destino

    NetMask: mascara da rede de destino

    Gateway: IP do Cisco (O TMG tem que conseguir pingar esse IP)

    Metric: 20


    Douglas Filipe http://douglasfilipe.wordpress.com www.baboo.com.br www.babooforum.com.br
    • Marcado como Resposta Richard Juhasz terça-feira, 15 de junho de 2010 16:57
    terça-feira, 25 de maio de 2010 19:40
  • Olá Cassiano,

    Alguma novidade neste caso? Não deixe de marcar como resposta caso tenha resolvido.

    Abraços!


    Vinícius Ramos Apolinário | http://blogadmderedes.spaces.live.com
    quarta-feira, 2 de junho de 2010 15:21
    Moderador