none
VPN ISA SERVER SITE TO SITE. RRS feed

  • Pergunta

  • BOM PESSOAL SEREI BREVE POIS É FINAL DE ANO E NOS SEMPRE TEMOS METAS A CUMPRIR.

    SEGUINTE, TENHO ISA SERVER 2006 FUNCIONANDO NA MATRIZ E FILIAL.

    AS DUAS COM IP FIXO DIRETO NA PLACA DE REDE E ACESSÍVEIS.

    AS DUAS RECEBEM CLIENTE VIA VPN DISCADA.

    CONFIGUREI O SITE TO SITE PARA USAR SOMENTE UM  AD, DNS BANDO DE DADOS E ETC...

    AS DUAS COM VPN SITE TO SITE CONDIFURADA, EM SESSIONS APARECE LOG E EM DASHBOARD APARECE VPN SITE TO SITE 1.

    QUANDO PINGO O SERVIDOR AD DA MATRIZ ELE RESPONDE (NEGOCIANDO SEGURANÇA) MAS NÃO RESPONDE.

    COMO POSSO TESTAR ESSA CONFIGURAÇÃO APESAR DASSES INFORMAÇÃO CHEGAREM A MIM?

    DETALHE SO A MATRIZ TEM SERVIDOR AD, A FILIAL ESTA SOMENTE COM O ISA SERVER PROVENDO INTERNET E VPN.

    OBRIGADO A TODOS.
    segunda-feira, 15 de dezembro de 2008 20:18

Todas as Respostas

  • Aqui...

     

    ótimo turorial do amigo Nathan Medeiros..

     

    é do ISA 2004 mas o procedimento é quase igual

     

    http://www.andersonpatricio.org/Tutoriais/Tutoriais.asp?Tut=097

     

    terça-feira, 16 de dezembro de 2008 09:41
  • Srs,

     

    Post movido para a área correta.

     

    Abraço

    terça-feira, 16 de dezembro de 2008 12:50
  • E quando o servidor remoto só tem uma placa de rede?

     

    O servidor local tem duas placas de rede, a que conecta ele com a LAN e a que com conecta com a WAN (Internet), mas o servidor remoto só tem uma placa de rede, que conecta ele com a WAN (Internet). Como fazer para ligar esses dois servidores numa conexão VPN site-to-site?

     

     

    Abraços,

    Pedro.

    terça-feira, 16 de dezembro de 2008 13:00
  • Olá,

    o ISA não suporta configurações VPN com apenas uma placa de rede.


    Atenciosamente,
    Paulo Oliveira.
    terça-feira, 16 de dezembro de 2008 17:01
  • Mesmo se tratando do servidor remoto? Porque no servidor remoto, que é onde tenho uma placa só, eu não tenho ISA Server instalado. No servidor local, que é onde o ISA Server está instalado, temos duas placas.

     

    Abraços,

    Pedro.

    terça-feira, 16 de dezembro de 2008 17:09
  • Olá,

    hum... ae depende do servidor remoto. Do lado do ISA tudo OK.


    Atenciosamente,
    Paulo Oliveira.
    terça-feira, 16 de dezembro de 2008 17:20
  • O servidor remoto é Windows Server 2003 R2 Datacenter Edition SP1, usando o RRAS pra criar a conexão VPN. Estou há semanas tentando fazer isso funcionar, AARRGGHH! Hehehe:

     

    Conexão VPN Site-to-Site (Servidor no DataCenter)
    http://forums.microsoft.com/technet-br/ShowPost.aspx?PostID=4196911&SiteID=29

     

    Re: Promovendo um Domain Controller remoto

    http://forums.microsoft.com/technet-br/showpost.aspx?postid=4193015&siteid=29&sb=0&d=1&at=7&ft=11&tf=0&pageid=1

     

     

    Abraços,

    Pedro.

    terça-feira, 16 de dezembro de 2008 17:27
  • Lobo,

    Porque você não implementa a sugestão que eu te passei..

    Cria uma conexão VPN no servidor remoto, e antes de logar manda discar para a VPN

    e não é problema do DataCenter , pois instalei o servidor e é listada a opção..

    mas vou testar uma possivel solução com uma placa.. já tentou adicionar um IP Virtual para rede interna

    nesta placa.. ?

     

    abs,

     

     

    terça-feira, 16 de dezembro de 2008 18:09
    Moderador
  • Oi Felipe.

     

    Então, como eu tinha falado na outra discussão (Promovendo um Domain Controller remoto) essa opção não aparece na tela de login para mim, não sei porque. Mas isso não é mais problema porque eu consegui fazer a conexão permanente do servidor remoto para o servidor local pelo RRAS, que acho que ficou melhor.

     

    Só que com essa conexão de mão única, eu vejo o servidor local lá do servidor remoto, mas o contrário não acontece, por isso queria colocar pra funcionar a conexão VPN site-to-site. Vou precisar, por exemplo, que as máquinas clientes aqui na nossa rede local acessem pastas do servidor remoto pelo Windows Explorer, como fazem hoje com o servidor local, e acho que só conseguirei isso com esse tipo de conexão site-to-site (me corrijam se eu estiver errado).

     

    Sobre criar um IP virtual na placa: não sei como fazer isso!  :-\

     

    Abraços,

    Pedro.

    terça-feira, 16 de dezembro de 2008 18:16
  • Olá Pedro,

    acredito que tenha que utilizar duas interfaces. Afinal de contas tem que ter uma interface interna.


    Nesse link tem uns exemplos de como fazer VPN entre o ISA e Windows: http://technet.microsoft.com/en-us/library/cc302474.aspx

    Atenciosamente,
    Paulo Oliveira.
    terça-feira, 16 de dezembro de 2008 19:01
  • Esta com duas placas em cada ponta.

     

    mas não comunica, ele fala que esta negociando a segurança do ip.

     

    quarta-feira, 17 de dezembro de 2008 12:03
  • Tem algum comando para que eu possa testar se esta comunicandpo entre os dois pontos?

     

    quarta-feira, 17 de dezembro de 2008 12:13
  • Oi Isaac.

     

    Você já tentou, no computador da matriz:

    PING ip-da-rede-interna-da-filial

     

    e no computador da filial:

    PING ip-da-rede-interna-da-matriz

    ?

     

     

    Abraços,

    Pedro.

    quarta-feira, 17 de dezembro de 2008 12:33
  • sim, quando tento pingar o servidor AD por exemplo ele responde assim:

     

    1ª - Esgotado tempo limite

    2ª - Negociando Segurança IP

    3ª - Negociando Segurança IP

    4ª - Negociando Segurança IP

     

    é isso, ou qualquer outro ip da rede.

    quarta-feira, 17 de dezembro de 2008 12:47
  • Você chegou a ver aquele link que o Filipe postou? Fez os passos que estão lá? Tipo adicionar um Remote Site Network e etc.?

     

    Abraços,

    Pedro.

    quarta-feira, 17 de dezembro de 2008 17:00
  •  LoboFX wrote:

    Oi Felipe.

     

    Então, como eu tinha falado na outra discussão (Promovendo um Domain Controller remoto) essa opção não aparece na tela de login para mim, não sei porque. Mas isso não é mais problema porque eu consegui fazer a conexão permanente do servidor remoto para o servidor local pelo RRAS, que acho que ficou melhor.

     

    Só que com essa conexão de mão única, eu vejo o servidor local lá do servidor remoto, mas o contrário não acontece, por isso queria colocar pra funcionar a conexão VPN site-to-site. Vou precisar, por exemplo, que as máquinas clientes aqui na nossa rede local acessem pastas do servidor remoto pelo Windows Explorer, como fazem hoje com o servidor local, e acho que só conseguirei isso com esse tipo de conexão site-to-site (me corrijam se eu estiver errado).

     

    Sobre criar um IP virtual na placa: não sei como fazer isso!  :-\

     

    Abraços,

    Pedro.

     

    Lobo,

    Resolvido aqui..conexão persistente RRAS com apenas uma placa no servidor remoto. inserindo IP virtual na interface, 192.168.0.1 , exemplo.

    Levei uma surrinha.. corrigi alguns problemas no DNS. mas está resolvido no meu Lab.

    Replica AD/DNS

    Acessa a rede IP/Nome.. funcionando 100%..

     

    foi um bom teste.

     

    abs,

     

    sábado, 20 de dezembro de 2008 15:31
    Moderador
  • Isso é bom, Felipe! E em algum dos lados tinha o ISA Server também?

     

    Mas, afinal, como fazer para inserir um IP virtual na placa de rede? Não sei como fazer e não consegui achar na internet... Se puder dar umas dicas, agradeço!

     

    Abraços,

    Pedro.

    sábado, 20 de dezembro de 2008 21:04
  • Não utilizei o ISA, mas certamente funciona com o ISA

    pois na verdade o ISA Server não faz Site-To-Site, ele utiliza o RRAS para realizar esta tarefa

    se você configurar o ISA e abrir o RRAS perceberá o servidor configurado VPN e discagem por demanda..

    adicionar o IP virtual seria apenas apontar mais um IP na interface de rede..

    vai nas configurações TCP/IP , avançado , então você possui a guia IP, DNS , WINS, basta adicionar..

    então o seu servidor terá um IP válido (internet) e um IP não-válido..

     

    abs,

     

     

    domingo, 21 de dezembro de 2008 00:05
    Moderador
  • Valeu Felipe, agora consegui adicionar o IP Virtual!

     

    Mas ainda não funcionou... continua na mesma. Eu acho que o problema agora deve ser com o ISA, porque se eu não configuro o ISA (que está no servidor local), a conexão do servidor remoto para o local funciona perfeitamente, mas a conexão do servidor local para o remoto não funciona (nem conecta, dá um erro).

     

    Já quando eu configuro o ISA (no servidor local), a conexão do servidor local para o remoto passa a funcionar bem (além de conectar, consigo pingar o servidor remoto), mas aí a conexão do servidor remoto para o servidor local que deixa de funcionar (conecta, mas, não consigo mais pingar o servidor local).

     

    Logo, a conexão site-to-site nunca funciona 100% porque sempre tem um dos lados que não está funcionando direito, e acho que o problema é o ISA, mas não consegui identificar qual o detalhe (que deve ser uma coisa muito besta) que está interferindo no bom funcionamento da conexão site-to-site.

     

    Abraços,

    Pedro.

    segunda-feira, 22 de dezembro de 2008 19:27
  • mas aí a conexão do servidor remoto para o servidor local que deixa de funcionar (conecta, mas, não consigo mais pingar o servidor local).

    No caso você tem que a network remota, criar um network rule para o roteamento entre as redes

    e criar uma regra permitindo comunicação entre as redes.. você fez esta tarefa..

     

    abs,

     

    segunda-feira, 22 de dezembro de 2008 21:13
    Moderador
  • No ISA eu fiz 3 coisas:

    • Adicionei uma 'VPN Remote Site Network' (chamada VPN_ServidorRemoto);
    • Criei uma Network Rule que roteia o tráfego originado na rede Internal com destino à VPN_ServidorRemoto;
    • Criei duas Access Rules, uma para permitir o acesso de todos os protocolos da rede Internal para VPN_ServidorRemoto, e outra para permitir o acesso de todos os protocolos da rede VPN_ServidorRemoto para Internal.

    Isso no servidor local. No servidor remoto eu apenas configurei o RRAS, porque lá não tem ISA Server. Eu tenho que fazer algo lá também? Ou esse network rule que você comentou é do ISA mesmo, esse que eu já fiz?

     

    Abraços,

    Pedro.

    segunda-feira, 22 de dezembro de 2008 21:26
  • Vou testar isso..

     

    abs,

     

    terça-feira, 23 de dezembro de 2008 16:16
    Moderador