none
Porta do Cliente do Forefront TMG RRS feed

  • Pergunta

  • Bom dia,

     

    Preciso manipular algumas rotas que são requisitadas por computadores que possuem o cliente do Forefront TMG instalado. O equipamento que estou utilizando é um SonicWALL TZ-100 que fecha uma VPN com o Forefront TMG, por onde passa todo tráfego. Para isso preciso saber como essa requisição é feita pelo cliente. Pelo que observei o cliente trabalha na porta 1745 TCP e UDP.

    Quando a conexão é feita entre o cliente e o servidor do Forefront TMG, ela é feita de forma persistente, não deixando que depois que a conexão é fechada eu possa manipular o tráfego que passa por ela?

    O objetivo é que para um determinado endereço IP em uma determinada porta (111.111.111.111:21) a conexão não seja enviada ao Forefront TMG e sim ao link de acesso local.

    segunda-feira, 25 de abril de 2011 12:14

Respostas

  • Vc pode colcoar rota nesses clientes....

    Proxy.... Vc pode entregar o proxy por GPO ou entao trabalhar com proxy transparante WPAD.

     

    Eu ainda nao fechei nenhuma VPN do TMG/ISA com Sonicwall.

    De uma olhada.

    http://www.sonicwall.com/downloads/VPN_Interoperability_Between_SonicOS_3_1_Enhanced_and_Microsoft_ISA_Server_2004.pdf

    http://technet.microsoft.com/en-us/library/cc302517.aspx


     

    Para trabalhar da forma que vc esta desejando so seria atraves de tunnel VPN e vc limitando essa conexao no Sonicwall, ja que o TMG nao da esse suporte.


    David Dellacenta || SonicWall-CSSA ||http://daviddellacenta.wordpress.com||


    • Marcado como Resposta Richard Juhasz sexta-feira, 6 de maio de 2011 13:57
    terça-feira, 26 de abril de 2011 19:18

Todas as Respostas

  • Não entendi muito bem....

    Vc quer bloquear o trafego quando um usuario que esta atras do TMG se conecta a um Servidor VPN com Sonicwall?


    David Dellacenta || SonicWall-CSSA ||http://daviddellacenta.wordpress.com||
    terça-feira, 26 de abril de 2011 13:10
  • Bom dia David182,

     

    Tenho um SonicWALL TZ-100 em um ambiente remoto conectado por meio de um tunel VPN IPSec com o Forefront TMG. Os clientes que estão atrás do SonicWALL, ou seja, na rede remota, possuem o cliente do TMG instalado. O que eu preciso é que quando esses clientes acessem um site FTP específico, essa requisição não seja feita ao TMG, mas sim ao link local. Sei que o cliente do TMG utiliza a porta 1745 para se comunicar ao servidor TMG.

    O que gostaria de saber é se a conexão que é estabelecidade entre o cliente e o servidor não deixa eu dizer por exemplo que quando for para aquele IP naquela porta ele não deve ir para o servidor remoto. Pergunto isso porque não sei se isso é uma caracteristica do protocolo RWSP, que é utilizado pelo cliente.

    terça-feira, 26 de abril de 2011 14:42
  • Vamos lah....

    Os clientes que estao atras do SONICWALL tem Client TMG instalado? pq?

    (desabilite o client TMG e faça o teste)

     

    o Sonicwall possui mais de um link de internet?

     

    Qualquer solicitação que vem do clientes atras do sonicwall esta saindo pelo link do TMG da outra localidade??


    David Dellacenta || SonicWall-CSSA ||http://daviddellacenta.wordpress.com||
    terça-feira, 26 de abril de 2011 14:53
  • Olá Ulissis,

    esse link de acesso local, se encontra na mesma rede que a máquina cliente?

     

    Atenciosamente,

    Paulo Oliveira.


    Dúvidas, divulgação de blogs, discussões sobre ISA/TMG: Participe do grupo ISA/TMG Firewall Admins Brasil no LinkedIn: http://www.linkedin.com/groups? mostPopular=&gid=3774142

    Blog: http://poliveirasilva.wordpress.com

    TI Especialistas: http://www.tiespecialistas.com.br/author/paulo-oliveira/

     

    terça-feira, 26 de abril de 2011 15:10
  • Boa tarde,

    Eles tem o cliente instalado porque utilizam as credenciais do AD para a autenticação integrada. Existe também a necessidade de alguns aplicativos especificos que utilizam acesso a web através do proxy.

    A estrutura seria mais ou menos a seguinte:

    Cliente --> SonicWALL --> VPN --> TMG --> Internet (Nesse caso o acesso web do cliente remoto é feito atravéz do TMG)

    A configuração é semelhante, pelo menos em teoria, a configuração de split-tunnel, onde parte do tráfego sai pelo túnel VPN e outra pelo gateway local. O link local que me refiro é o mesmo que estabelece o túnel VPN.

    terça-feira, 26 de abril de 2011 16:24
  • Mas não precisa utilizar o client TMG.....

    No Sonicwall vc consegue criar rota baseado em protocolo.... Vc pode fazer isso lah.

    Falando que protocolo "TAL" sair pelo gateway "TAL"

    Opção:

    Networking

            Routing

     

     


    David Dellacenta || SonicWall-CSSA ||http://daviddellacenta.wordpress.com||
    terça-feira, 26 de abril de 2011 17:30
  • Mas como a VPN é baseada em politica e não em rota eu não consigo rotear o tráfego para um gateway remoto. Tentei criar um túnel VPN com a configuração Tunnel ao invés de Site to Site para poder redirecionar esse tráfego, mas dessa forma a VPN não fecha, acusando ID inválida. A configuração atual é uma VPN Site-to-Site e o cliente do TMG direciona todo o tráfego para o TMG. Para eu utilizar a autenticação integrada do AD não é preciso do cliente?

    terça-feira, 26 de abril de 2011 17:41
  • Para redirecioanar somente o trafego que deseja no Sonicwall vc tem que trabalhar com Tunnel VPN...

    Vc tem que trabalhr com Tunnel VPN em ambos os lados....

     

    Seu DC fica so onde tem o TMG??? Ou tem um sengundario onde tem o Soniwall?

     

    Vc nao precisa ter o Client TMG para trabalhar com autenticação intergrada.

     

    So vc apontar o proxy no IE para o servidor TMG.

     

     


    David Dellacenta || SonicWall-CSSA ||http://daviddellacenta.wordpress.com||
    terça-feira, 26 de abril de 2011 18:09
  • Sim, como trabalho com o modo túnel no TMG? Sei como trabalhar no SonicOS mas no TMG é mostrado somente no modo padrão. No modo túnel eu já utilizei essa configuração que você mencionou, mas com outro produto que não o TMG e funciona bem. Um dos motivos de eu também estar utilizando o cliente é justamente esse que você mencionou. Como o acesso será feito de filiais que utilizam aplicativos que não possuem configuração de webproxy, não é viável no momento implantar da forma mencionada pois teriamos que instruir a configuração para IE e Firefox, além de ficar buscando formas de ter que liberar acesso direto a aplicativos que não possuam um cliente integrado de proxy.

     

    Em relação ao DC, o primário é externo e o secundário fica na filial, mas para o cliente o DNS preferencial é o secundário que é local. Isso para autenticação de sessão, no TMG é utilizado o primário.

    terça-feira, 26 de abril de 2011 18:59
  • Vc pode colcoar rota nesses clientes....

    Proxy.... Vc pode entregar o proxy por GPO ou entao trabalhar com proxy transparante WPAD.

     

    Eu ainda nao fechei nenhuma VPN do TMG/ISA com Sonicwall.

    De uma olhada.

    http://www.sonicwall.com/downloads/VPN_Interoperability_Between_SonicOS_3_1_Enhanced_and_Microsoft_ISA_Server_2004.pdf

    http://technet.microsoft.com/en-us/library/cc302517.aspx


     

    Para trabalhar da forma que vc esta desejando so seria atraves de tunnel VPN e vc limitando essa conexao no Sonicwall, ja que o TMG nao da esse suporte.


    David Dellacenta || SonicWall-CSSA ||http://daviddellacenta.wordpress.com||


    • Marcado como Resposta Richard Juhasz sexta-feira, 6 de maio de 2011 13:57
    terça-feira, 26 de abril de 2011 19:18