none
VPN Empresa x Filial com 02 ISA Server 2006 e L2TP/IPSec RRS feed

  • Pergunta

  • Boa tarde galera,

    Aqui na empresa eu já tenho um ISA Server 2006 Ent configurado e ele está funcionando muito bem obrigado. Porem (sempre tem que existir um porem) a empresa vai abrir uma filial e estou precisando saber como devo implementar a VPN. Eu estive pesquisando algumas formas de se fazer isto, mas não achei ainda nada do que eu idealizei em fazer.
    A minha idéia e a seguinte:
    Estações da Matriz => Isa Server Matriz => Internet <= Isa Server Filial <= Estações da Filial
    Desta forma os usuários da Filial quando fizessem o login, ja logavam no domínio pelo link já estabelecido pelo servidor da filial, e assim o comportamento das máquinas da filial seriam idênticos aos das máquinas da matriz. Também pretendo fazer com que este servidor da Filial seja um DC secundário, pois assim as máquinas da filial não precisariam buscar pela VPN as informações de login, regras e etc. Mas isto eu sei fazer.
    Queria saber como posso fazer o servidor da Filial (Win 2003 + ISA Server 2006), se conectar ao ISA da Matriz formando assim a VPN com o protocolo L2TP/IPSec pois foi o que eu achei mais seguro.

    Desde já agradeço a atenção de todos.

    Alvaro J. P. Pereira (Analista de TI)
    terça-feira, 21 de abril de 2009 19:59

Todas as Respostas

  • Alvaro,

    A idéia é essa mesma que vc citou acima.

    Seguem os procedimentos:

    http://www.isaserver.org/tutorials/Creating-VPN-ISA-Server-2006-Firewalls-Main-Branch-Office-Part1html.html
    http://www.isaserver.org/tutorials/Creating-Site-Site-VPN-ISA-Server-2006-Firewalls-Main-Branch-Office-Part2.html

    Qualquer duvida é só postar.

    Se util nao esqueça de classificar.


    abraços

    Luiz Fernando Dias - MVP
    terça-feira, 21 de abril de 2009 23:47
    Moderador
  • Boa tarde Luiz,

    Já tentei por mais de uma vez fazer o que está especificado nos links enviados por ti e não obtive resposta.

    * Gostaria de saber o seguinte, como eu faço para testar e verificar se o procedimento está correto?
    * Tem como eu fazer uma conecção de uma outra máquina qualquer no servidor ISA configurado por uma conexão VPN pra testar?
    * Como faço pra levantar os problemas que estão ocorrendo, gerando assim a não comunicação?

    Desde já agradeço.
    Alvaro J. P. Pereira (Analista de TI)
    sexta-feira, 24 de abril de 2009 15:31
  • A maneira de testar é pingar um outro host da outra rede...
    Luiz Fernando Dias - MVP
    sexta-feira, 24 de abril de 2009 16:52
    Moderador
  • Boa noite Luiz,

    Estou com a segunte configuração de IPs:

    Na rede local tenho o meu ISA assim
    IP interno.: 192.168.17.253
    Mascara.: 255.255.255.0
    IP externo.: 200.214.a.y
    Mascara.: 255.255.255.240

    Na minha filial esta assim:
    IP interno.: 192.168.19.254
    Mascara.: 255.255.255.0
    IP externo.: 200.214.a.b
    Mascara.: 255.255.255.240

    Gostaria de saber se a faixa de IP que estou usando na filizal está correta, pois no ISa da Matriz ao ver o Sumário apareceu isto:

    Remote Gateway Address: 200.214.a.y
    VPN Network Authentication Protocols (outgoing):
        MS-CHAP v2
    General VPN Settings Authentication Protocols (incoming):
        MS-CHAP v2
    Outgoing Authentication Method: Pre-shared secret (12345qwert)
    Incoming Authentication Method: Certificate and pre-shared secret (ComoFicarRico)
    Local User: VPN
    Remote Site User: Servidor06\VPN.Serra
    Site-to-Site Network IP Addresses: 192.168.18.0-192.168.18.255
    Routable Local IP Addresses: 192.168.17.0-192.168.17.255

    General VPN Settings Authentication Protocols (one or more of the following):
        MS-CHAP v2

    VPN Network Authentication Protocols (one or more of the following):
        MS-CHAP v2

    Outgoing Authentication Method: Pre-shared secret (ComoFicarRico)
    Incoming Authentication Method: Certificate and pre-shared secret (12345qwert)
    Remote Gateway Address:
        An IP address or a DNS resolvable name.
        If NLB is enabled, the VIP of the remote array should be used.
    Local User: Servidor06\VPN.Vig.Serra
    Remote Site User: VPN - Goiabeiras
    Site-to-Site Network IP Addresses: 192.168.17.0-192.168.17.255
    Routable Local IP Addresses: 192.168.18.0-192.168.18.255

     

    Na filial os mesmo dados ficaram assim:

    Remote Gateway Address: 200.214.a.b
    VPN Network Authentication Protocols (outgoing):
        MS-CHAP v2
    General VPN Settings Authentication Protocols (incoming):
        MS-CHAP v2
    Outgoing Authentication Method: Pre-shared secret (12345qwert)
    Incoming Authentication Method: Certificate and pre-shared secret (ComoFicarRico)
    Local User: VPN - Serra ( Matriz )
    Remote Site User: Servidor02\VPN.Vig.Goiabeiras
    Site-to-Site Network IP Addresses: 192.168.18.0-192.168.18.255
    Routable Local IP Addresses: 192.168.19.0-192.168.19.255

    General VPN Settings Authentication Protocols (one or more of the following):
        MS-CHAP v2
    VPN Network Authentication Protocols (one or more of the following):
        MS-CHAP v2
    Outgoing Authentication Method: Pre-shared secret (ComoFicarRico)
    Incoming Authentication Method: Certificate and pre-shared secret (12345qwert)
    Remote Gateway Address:
        An IP address or a DNS resolvable name.
        If NLB is enabled, the VIP of the remote array should be used.
    Local User: Servidor02\VPN.Vig.Goiabeiras
    Remote Site User: VPN - Serra ( Matriz )
    Site-to-Site Network IP Addresses: 192.168.19.0-192.168.19.255
    Routable Local IP Addresses: 192.168.18.0-192.168.18.255

    Talvez com estas informações você possa me falar alguma coisa a mais para tentar resolver o problema.
    Desde já agradeço a sua atenção.


    Alvaro J. P. Pereira (Analista de TI)
    sexta-feira, 24 de abril de 2009 21:49
  • Bom dia Galera,

    Continuo penando para fazer a VPN Site-To-Site funcionar, mas agora eu estou mudando de estratégica (Sabem que brasileiro nunca desiste né!!! Rsrsrs).
    Como aqui na empresa eu tenho um roteador e possuo 16 IPs, estou utilizando, dois destes IPs para os servidores abaixo acessarem a net.
    Peguei 04 PCs, formatei e instalei neles:

    PC 01 => Windows 2003 + ISA 2006 + DHCP + DNS e chamei ele de Servidor06
    PC 02 => Windows Vista e chamei ele de Marcao01

    PC 04 => Windows XP SP3 + IE 7 e chamei ele de: CarlosVitor01
    PC 03 => Windows 2003 + ISA 2006 + DHCP + DNS e chamei ele de Servidor07

    O PC 01 (Servidor de proxy) e o PC 02 (estação) representam a minha Matriz.
    A faixa de rede utilizada é: 192.168.17.0/24

    Servidor06
    IP Externo.: 200.214.53.36
    IP Interno.: 192.168.17.253

    Marcao01
    IP.: 192.168.17.1 (via DHCP)

    Configuração do ISA no Servidor06, pode ser vista Aqui.
    Estação Marcao01 acessando a net, pode ser vista Aqui.


    O PC 03 (Servidor de proxy) e o PC 04 (estação) representam a minha Filial.
    A faixa de rede utilizada é: 192.168.19.0/24

    Servidor07
    IP Externo.: 200.214.53.38
    IP Interno.: 192.168.19.254

    CarlosVitor01
    IP.: 192.168.19.1 (via DHCP)

    Configuração do ISA no Servidor07, pode ser vista Aqui.
    Estação CarlosVitor01 acessando a net, pode ser vista Aqui.

     

    Criei a VPN em ambos os servidores, e como pode ser visto nas imagens abaixo os dois estão conectados, mas NÃO ESTOU CONSEGUINDO PINGAR NAS ESTAÇÕES.
    Estou colocando estas imagens para tentar faciliar a quem possa tentar me ajudar nesta árdua tarefa.

    Filial => Configuração01, Configuração02, Configuração03.
    Matriz => Configuração04, Configuração05, Configuração06.

    Desde já agradeço a quem puder me ajudar, pois meu tempo para resolver isto está se esgotando.

    Um abraço.


    Alvaro J. P. Pereira (Analista de TI)
    • Editado Alvaro 007 quarta-feira, 13 de maio de 2009 12:51
    quarta-feira, 13 de maio de 2009 12:39
  • Amigo,

    Vc tem que criar uma network com o range de IP da sua filial e liberar em regra.
    Alem de criar uma regra de roteamento entre essas redes, dizer se é route ou nat. entende?

    Se as regras nao existirem o ISA nao irá liberar o acesso pois o range nao est aliberado para trabalhar.
    Luiz Fernando Dias - MVP
    quarta-feira, 13 de maio de 2009 13:31
    Moderador
  • Boa tarde Luiz,

    Não estou sabendo como devo agir. Me corrija se eu estiver errado.
    No servidor da filial, eu devo ir em: Array, Servidor07, Configuration, Networks, Networks (na parte de baixo). No lado direito: Create a new network.
    Quando entro neste item, após informar o nome da rede, aparecem 4 tipos, qual destes quatro tipos eu devo escolher?

    Quando eu for na aba Network Rules, quais as redes que eu devo relacionar?

    E quando eu tiver no item: Firewall Pollicy, que tipo de protocolos eu devo liberar e para quais redes.

    Se você puder falar mais detalhado eu lhe agradeceria muito.
    Caso queira disponibilizar algum material pra eu vizualizar, você pode postar neste endereço: ftp://200.214.53.34/UpLoad

    Outra coisa, eu deverei replicar esta configuração no servidor da Matriz?

    Desde já agradeço qualquer tipo de ajuda.

    Alvaro J. P. Pereira (Analista de TI)
    terça-feira, 19 de maio de 2009 19:50
  • Olá Álvaro,

    Como vc comentou em um outro post, eu implementei esta solução em um cliente, normalmente seguindo o Wizard para criar a VPN site to site do ISA funciona sem problemas, a grande sacada, é em relação as contas que vc utilizar para estabelecer a VPN, elas tem que ter o mesmo nome da VPN, por exemplo:
    Se em um escritório vc criar a VPN com o nome de VPN-ESCR1, no servidor de destino, terá que existir uma conta com o mesmo nome SERVER\VPN-ESCR1. O inverso também terá que ocorrer, vc terá que criar a VPN no servidor de destino, apontando para o seu escritório e colocando uma conta existente no seu servidor do escritório.
    Outra coisa importante é que as contas tem que ter a permissão de dial-in habilitada.

    Como vc pretende promover o servidor da filial como domain controller adicional, sugiro vc primeiro estabelecer uma VPN simples (PPTP) do servidor da filial para a Matriz, promover o servidor, não esqueça de instalar e alterar o DNS para ele mesmo antes de reiniciar. E depois tentar estabelecer a VPN site to Site utilizando uma conta do domínio. Crie esta conta antes de promover o servidor da filial como controlador adicional.

    Espero ter ajudado.

    Um abraço,

    Luis Alberto Gavlovski

    quinta-feira, 21 de maio de 2009 12:22