locked
Forefront TMG 2010 - Problemas com acesso à rede externa RRS feed

  • Pergunta

  • Oá pessoal. Estou fazendo a instalação do TMG e gostaria da ajuda de vocês. Tenho uma máquina Dell Poweredge com Win2008R2 que é o DC. Como trata-se de uma entidade filantrópica da qual sou voluntário, não temos recurso para adquirir outro server.

     Neste caso, como o TMG não instala em DC, criei uma máquina virtual utilizando o Hyper-V também com Win2008R2 e instalei o TMG. Antes de instalar o TMG, a VM acessava a placa externa sem problemas. Depois de instalado, não acessa mais. No Hyper-V, configurei a rede externa desabilitei a opção "Permitir que o sistema operacional de gerenciamento compartilhe este adaptador de rede" para que a comunicação com a Internet seja feita pela VM. Mas depois disso nenhuma das duas máquinas acessa. Nem a física nem a virtual. Quando habilito novamente esta opção, apenas a máquina física acessa a placa externa. Como trata-se de um produto novo da Microsoft, há pouca documentação para consulta, o que tem atrasado bastante o nosso trabalho aqui.

     

    Caso necessite criar uma regra para cesso a rede externa antes de instalar o TMG, saberiam me informar como devo fazer?

     

    Em um outro forum fui informado de que o Forefront TMG SP1 já roda no DC mas não estou achando a versão já com SP1. Encontr apenas o pacote de instalação separado.

     Agradeço antecipadamente a vocês!

    sábado, 9 de abril de 2011 20:53

Respostas

  • Olá,

    esse documento pode auxiliar também na configuração das interfaces do Hyper-V: http://technet.microsoft.com/en-us/library/cc891502.aspx

     

    Atenciosamente,

    Paulo Oliveira.


    Dúvidas, divulgação de blogs, discussões sobre ISA/TMG: Participe do grupo ISA/TMG Firewall Admins Brasil no LinkedIn: http://www.linkedin.com/groups? mostPopular=&gid=3774142

    Blog: http://poliveirasilva.wordpress.com

    TI Especialistas: http://www.tiespecialistas.com.br/author/paulo-oliveira/

     

    • Marcado como Resposta Richard Juhasz sexta-feira, 16 de setembro de 2011 19:54
    terça-feira, 2 de agosto de 2011 14:35
  • Quanto ao logmein...vc está usando o firewall client? Caso afirmativo, e se o logmein é uma aplicação instalada localmente, tente colocar o executável dele no Client Settings na parte de network no TMG...isso deve resolver.

    Caso contrário, é necessário verificar o tráfego pelo live log do TMG. Se quiser colocar aqui a gente dá uma olhada.

    Se puder colocar a minha resposta como "votar como resposta" eu agradeço..rs..rs

    abraços

    Uilson


    Uilson Souza Senior IT Support Analyst Microsoft Certified Technology Specialist - ISA Server 2006 Phone - 5511 83519920 MSN - uilson@hotmail.com UOL - souzajr.nc@uol.com.br Blog - http://uilson76.spaces.live.com Participe do Grupo ISA/TMG Firewall Admins Brazil no Linkedin - http://www.linkedin.com/groups? mostPopular=&gid=3774142
    • Marcado como Resposta Avelino Campos segunda-feira, 19 de setembro de 2011 12:07
    domingo, 18 de setembro de 2011 23:08

Todas as Respostas

  • Avelino,

    Você precisa de duas placas de rede para a maquina virtual TMG, externa e interna.

    http://www.isaserver.org/tutorials/Installing_Threat_Management_Gateway_2010_RTM_Enterprise_Edition.html

    Você pode instalar o TMG em um controlado de domínio mas ele tem que ser somente leitura.

    http://technet.microsoft.com/pt-br/library/ff808305.aspx

    []'s


    Lessandro Zampieri - http://lezampieri.wordpress.com
    segunda-feira, 11 de abril de 2011 17:51
  • leandro,

    Tudo bem? A máquina possui duas placas de rede configuradas. Uma externa e outra interna. Antes de instalar o TMG na VM esta enxergava perfeitamente as duas placas. Depois de instalado, parou de enxergar a externa. Só enxwerga a interna.

    Na preparação para instalação, há uma tela em que é solicitada a placa de rede que faz comunicação com a rede interna, a qual fiz, acre dito que, corretamente. Depois disso, parou de comunicar e no momento da configuração do TMG, ele informa que não há comunicação com a placa externa.

    No Hyper-V, marquei novamente a opção para compartilhar a placa de rede externa com a máquina física. Aí a máquina física, que é o DC passou a enxergar a rede externa. Mas a VM continua sem enxergar.

    Tirei um Snapshot da VM antes de instalar o TMG para o ca so de ter que reinstalá-lo.

    Caso necessite de mais alguma informação, é só falar. Obrigado!


    José Avelino Campos
    segunda-feira, 11 de abril de 2011 18:42
  • Opa..é Lessandro, rs

    Veja se esse tutorial do Douglas lhe ajuda.

    http://douglasfilipe.wordpress.com/2010/05/02/instalando-e-configurando-o-forefront-tmg-2010/

    []


    Lessandro Zampieri - http://lezampieri.wordpress.com
    segunda-feira, 11 de abril de 2011 23:08
  • Lessandro,

    Desculpe o erro anterior... rsrs

    Infelizmente este tutorial não me ajudou neste caso pois o problema é no final da instalação.

    Depois que termino de instalar o TMG o ele altera as regras de firewall do Wun2008r2 e bloqueia todos os acessos. Inclusive o acesso à placa externa. Nem o TMG enxerga mais que tem a conexão de saída e não deixa continuar a configuração.

    Já reinstalei umas 3 vezes mas não consigo encontra o problema.

    Se você olhar no tutorial do Douglas, eu travo no seguinte ponto:

     "Na tela Seleção do Modelo de Rede selecione Firewall de borda e clique em Avançar."

    Neste ponto, a tela fica toda inibida e marcada como firewall de borda, que é a opção que tenho que escolher mesmo. Quando vou em Avançar, já me dá a mensagem informando que nõa foi encontrada a placa de saída.

    Mais uma vez, valeu pela ajuda!


    José Avelino Campos
    sexta-feira, 15 de abril de 2011 18:51
  • Avelino, quando vc termina a instalação vc cria a regra de liberação? Como
    Uilson Souza Senior IT Support Analyst Microsoft Certified Technology Specialist - ISA Server 2006 Phone - 5511 83519920 MSN - uilson@hotmail.com UOL - souzajr.nc@uol.com.br Blog - http://uilson76.spaces.live.com Participe do Grupo ISA/TMG Firewall Admins Brazil no Linkedin - http://www.linkedin.com/groups? mostPopular=&gid=3774142
    sábado, 30 de julho de 2011 14:22
  • Uilson, Não chego a criar as regras pois no momento em que encerra a instalação e entra na parte deconfiguração, o Forefront já não me deixa passar deste ponto, informando que não há conexão com a rede externa.

    Não sei se tenho que parar a configuração do Forefront para primeiro criar as regras de liberação.

    Como não tenho conhecimento do Forefront e estou aprendendo a mexer nele, estoutendo esta dificuldade.

    Fiz a instalação no Hyper-V do Win2008 R2. Criei a máquina virtual também com Win2008 R2. Até este ponto, a máquina física e a virtual se comunicavam sem problemas, tanto que consegui ingressar o server virtual no domínio.

    Sei que o Forefront TMG é um firewall, e como tal, parte do princício de que tudo deve ser bloqueado e o administrador é quem deve informar o que deve ou não ser liberado. Acho que é aí que estou com problemas. Pode ser isso mesmo?

    Obrigado!


    José Avelino Campos
    segunda-feira, 1 de agosto de 2011 17:34
  • Ele vai bloquear, mas, não antes do fim da instalação. Vc consegue, pelo menos abrir o console.

    Vc chegou a configurar o padrão de rede (Edge...etc)?


    Uilson Souza Senior IT Support Analyst Microsoft Certified Technology Specialist - ISA Server 2006 Phone - 5511 83519920 MSN - uilson@hotmail.com UOL - souzajr.nc@uol.com.br Blog - http://uilson76.spaces.live.com Participe do Grupo ISA/TMG Firewall Admins Brazil no Linkedin - http://www.linkedin.com/groups? mostPopular=&gid=3774142
    segunda-feira, 1 de agosto de 2011 17:41
  • Uilson,

    Quando termina a instalação, abro a console para dar prosseguimento na configuração.

    Neste ponto ele abre automaticamente a tela de configuração do firewall, com a tela inibida com a opção de firewall de borda marcada. Como já é a opção que preciso, clico em avançar e abre uma caixa informando que não foi encontrada a placa externa me dando apenas a opção OK.

    Fecho a janela e o console fica gerenciável mas perco a comunicação com a saída para a internet.

    Não sei se estou certo mas, já que ele tem a opção desta configuração, deveria estar mostrando a saída para a internet para continuar a configuração.

    Estava seguindo o tutorial feito pelo Douglas Felipe, cujo link foi postado acima pelo Lessandro e no qual essa tela está OK e é dada continuidade na configuração.

    O problema ocorre na tela "Seleção do modelo de rede" e já fica marcada a opção "Firewall de borda" e o restante das opções fica inibida

    Caso você acesse o tutorial e for na parte descrita entenderá melhor o problema.

    http://douglasfilipe.wordpress.com/2010/05/02/instalando-e-configurando-o-forefront-tmg-2010/

    Obrigado!


    José Avelino Campos
    segunda-feira, 1 de agosto de 2011 18:18
  • Avelino, a configuração firewall de borda já é a correta (seria a edge em inglês). No mais está correto, quando vc defini firewall de borda, ele já dá o erro?

    Como está a ordem de bind das suas placas de rede?

    Abraços


    Uilson Souza Senior IT Support Analyst Microsoft Certified Technology Specialist - ISA Server 2006 Phone - 5511 83519920 MSN - uilson@hotmail.com UOL - souzajr.nc@uol.com.br Blog - http://uilson76.spaces.live.com Participe do Grupo ISA/TMG Firewall Admins Brazil no Linkedin - http://www.linkedin.com/groups? mostPopular=&gid=3774142
    segunda-feira, 1 de agosto de 2011 19:12
  • Uilson,

    A tela de configuração do Forefront não me dá nenhuma opção de escolha. As outras opções ficam inibidas, permanecendo marcada a opção de firewall de borda (tanto o Win2008 quanto o Forefront são em pt-br).

    Quando clico em AVANÇAR, abre a caixa de erro informando que não foi encontrada placa de rede externa.

    Quanto a sua pergunta sobre o bind, fiz a configuração seguindo o procedimento do Douglas Felipe e coloquei a rede interna primeiro e depois a externa, na sequência.

    Valeu! Abraços!


    José Avelino Campos
    segunda-feira, 1 de agosto de 2011 23:12
  • Vou dar uma pesquisada...já retorno
    Uilson Souza Senior IT Support Analyst Microsoft Certified Technology Specialist - ISA Server 2006 Phone - 5511 83519920 MSN - uilson@hotmail.com UOL - souzajr.nc@uol.com.br Blog - http://uilson76.spaces.live.com Participe do Grupo ISA/TMG Firewall Admins Brazil no Linkedin - http://www.linkedin.com/groups? mostPopular=&gid=3774142
    terça-feira, 2 de agosto de 2011 00:35
  • Estou verificando isso ainda...mas, vc deu uma olhada no firewall do windows do host físico?


    Uilson Souza Senior IT Support Analyst Microsoft Certified Technology Specialist - ISA Server 2006 Phone - 5511 83519920 MSN - uilson@hotmail.com UOL - souzajr.nc@uol.com.br Blog - http://uilson76.spaces.live.com Participe do Grupo ISA/TMG Firewall Admins Brazil no Linkedin - http://www.linkedin.com/groups? mostPopular=&gid=3774142
    terça-feira, 2 de agosto de 2011 01:48
  • Avelino, dei uma pesquisada e encontrei este post. É extenso, mas, pode ser útil. Dê uma lida nele e veja se ajuda:

    http://www.carbonwind.net/Forefront_TMG/Hyper-V/tmg_hyper-v.htm

    Vou verificar mais e te retorno.

    Abs.


    Uilson Souza Senior IT Support Analyst Microsoft Certified Technology Specialist - ISA Server 2006 Phone - 5511 83519920 MSN - uilson@hotmail.com UOL - souzajr.nc@uol.com.br Blog - http://uilson76.spaces.live.com Participe do Grupo ISA/TMG Firewall Admins Brazil no Linkedin - http://www.linkedin.com/groups? mostPopular=&gid=3774142
    terça-feira, 2 de agosto de 2011 01:55
  • Avelino, boa noite.

    Gostaria de fazer algumas perguntas:

    1 - Qual a versão do TMG que você está instalando ?? Standard ou Enterprise?

    2 - Existe algum antivírus nessa máquina?? Se sim, o mesmo possui modo firewall ou IPS instalado/implementado??

    3 - Qual a saida do ipconfig da VM nesse momento??Criou as placas "padrão" ou usou modelo legacy??

    Abraços,

    Alberto

    terça-feira, 2 de agosto de 2011 02:04
  • Oi Alberto, o post que deixei pro Avelino olhar mostra um exemplo em que houve problemas na instalação do TMG justamente pela escolha das placas de rede.

    Quando ele mudou para legacy, parece que rolou...


    Uilson Souza Senior IT Support Analyst Microsoft Certified Technology Specialist - ISA Server 2006 Phone - 5511 83519920 MSN - uilson@hotmail.com UOL - souzajr.nc@uol.com.br Blog - http://uilson76.spaces.live.com Participe do Grupo ISA/TMG Firewall Admins Brazil no Linkedin - http://www.linkedin.com/groups? mostPopular=&gid=3774142
    terça-feira, 2 de agosto de 2011 02:08
  • Olá,

    esse documento pode auxiliar também na configuração das interfaces do Hyper-V: http://technet.microsoft.com/en-us/library/cc891502.aspx

     

    Atenciosamente,

    Paulo Oliveira.


    Dúvidas, divulgação de blogs, discussões sobre ISA/TMG: Participe do grupo ISA/TMG Firewall Admins Brasil no LinkedIn: http://www.linkedin.com/groups? mostPopular=&gid=3774142

    Blog: http://poliveirasilva.wordpress.com

    TI Especialistas: http://www.tiespecialistas.com.br/author/paulo-oliveira/

     

    • Marcado como Resposta Richard Juhasz sexta-feira, 16 de setembro de 2011 19:54
    terça-feira, 2 de agosto de 2011 14:35
  • Alberto,

    Tudo bem? A versão do TMG é Standard e instalei o Microsoft Sercurity Essentials no DC, que é o servidor físico mas ainda não instalei na VM. Quanto ao Firewall, por se tratar também de um produto Microsoft, acredito que não altere nada, pois o único questionamento que é feito durante a instalação é se desejo usar o firewall do Windows.

    As placas de rede foram criadas pelo gerenciador de redes do Hyper-V, adicionando as placas. Neste caso, ele cria as interfaces virtuais na máquina física. Neste ponto, as interfaces virtuais assumem a configuração de rede das placas físicas e as físicas ficam com as configurações modificadas, desabilitando a opção de IPv4.

    Como faço trabalho voluntário em uma instituição filantrópica, vou apenas aos sábados pela manhã, por isso não tenho a informação sobre a saída do ipconfig, mas já deixo setado o IP fixo para a rede interna e DHCP para rede externa. O problema é que não tenho como deixar constantemente setado IP fixo na rede externa pois o link é doação do governo e já tem um DHCP que não é gerenciado por nós. Sendo assim, a concessão de IP expira de tempso em tempos e o IP para aquela máquina pode alterar, deixando a máquina fora ou com duplicidade de IP.


    José Avelino Campos
    quarta-feira, 3 de agosto de 2011 11:34
  • Uilson,

    Tudo bem? Já estou olhando a documentação que você me mandou e vou colocar em prática no sábado, que é o único dia que disponho para mexer neste servidor, que pertence a uma entidade filantrópica na qual faço trabalho voluntário aqui em Belo Horizonte.

    Assim que tiver um resultado te aviso, OK?

    Muito opbrigado pela sua ajuda!

    Abraços!


    José Avelino Campos
    quarta-feira, 3 de agosto de 2011 11:37
  • Paulo,

     

    Tudo bem? Peguei a documentação no link que você me mandou e também estou verificando. Na semana que vem terei um resultado, espero que positivo, para este problema quase sem solução! rsrsrs

    Valeu!


    José Avelino Campos
    quarta-feira, 3 de agosto de 2011 11:40
  • OK Avelino! Nos conte depois como transcorreu as alterações.

    Abs.


    Uilson Souza Senior IT Support Analyst Microsoft Certified Technology Specialist - ISA Server 2006 Phone - 5511 83519920 MSN - uilson@hotmail.com UOL - souzajr.nc@uol.com.br Blog - http://uilson76.spaces.live.com Participe do Grupo ISA/TMG Firewall Admins Brazil no Linkedin - http://www.linkedin.com/groups? mostPopular=&gid=3774142
    quarta-feira, 3 de agosto de 2011 12:55
  • Amigão. Antes de instalar o TMG na VM ele acessa a rede interna e Acessa a Internet?
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    terça-feira, 9 de agosto de 2011 04:16
  • Uilson,

    Tudo bem? Desculpe a demora na resposta mas, como tenho apenas os sábados pela manhã para fazer a configuração, fiz todos os testes antes de responder.

    Cara, o link que vc me mandou foi batata! Realmente as placas tinham que estar como Legacy. Depois que fiz isso, deu certo! O Forefront está instalado e rodando beleza... Agora estou quebrando a cabeça com as regras.

    Apesar de já ter feito a filtragem da Internet, faltam alguns itens que estou na dúvida.

    O mais importante deles é que, depois da instalação do TMG perdi o acesso ao Logmein e fiquei limitado apenas a acessar o servidor in loco. Eu já sabia que isso ia acontecer pois o TMG bloqueia todo o tráfego. Andei lendo alguns textos que dizem que é necessária a liberação da porta 443 para que o acesso volte mas o problema é que o logmein está no DC (servidor físico) e o TMG no virtual. Tem alguma idéia sobre como fazer isso? Instalo o Logmein na VM (Só ela tem acesso a rede externa no momento) ou compartilho a rede externa com o DC?

    Um grande abraço e muito obrigado pela ajuda!


    José Avelino Campos
    sábado, 17 de setembro de 2011 13:35
  • Quanto ao logmein...vc está usando o firewall client? Caso afirmativo, e se o logmein é uma aplicação instalada localmente, tente colocar o executável dele no Client Settings na parte de network no TMG...isso deve resolver.

    Caso contrário, é necessário verificar o tráfego pelo live log do TMG. Se quiser colocar aqui a gente dá uma olhada.

    Se puder colocar a minha resposta como "votar como resposta" eu agradeço..rs..rs

    abraços

    Uilson


    Uilson Souza Senior IT Support Analyst Microsoft Certified Technology Specialist - ISA Server 2006 Phone - 5511 83519920 MSN - uilson@hotmail.com UOL - souzajr.nc@uol.com.br Blog - http://uilson76.spaces.live.com Participe do Grupo ISA/TMG Firewall Admins Brazil no Linkedin - http://www.linkedin.com/groups? mostPopular=&gid=3774142
    • Marcado como Resposta Avelino Campos segunda-feira, 19 de setembro de 2011 12:07
    domingo, 18 de setembro de 2011 23:08