none
Isa Server - Dropando conexões VPN RRS feed

  • Pergunta

  • Amigos,

    Estou tendo problemas com Spoofing do ISA 2006. Atualmente ele funciona como servidor Proxy e VPN.

    Meu ambiente:

    - Servidor ISA Server 2006 (1 placa de rede)

    IP 192.168.0.5

    GTW: 192.168.194.24

    - Servidor Exchange

    IP 192.168.0.100

    GTW: 192.168.194.24

    - 1 Roteador Dual Wan conectado a um link dedicado Telefonica

    IP 192.168.194.

    Este roteador existe na ponta, porque fecha VPN IPsec com outras 15 filials que possuem roteadores deste mesmo modelo. É através deste túnel VPN que as franquias acessam recursos na minha rede interna.

    ---------

    Agora, vamos ao problema:

    Um funcionário está fora da empresa com um notebook logado em cache no domínio e um modem 3G. Ele disca e estabelece uma conexão VPN com o meu ISA. O ISA Server está configurado para ofececer IPs através do DHCP da minha rede interna.

    Deixo um ping rodando no notebook apontando para qualquer IP da minha rede interna, apenas para teste de conectividade.

    Ao abrir o Microsoft Outlook e pressionar F9 para sincronizar com o exchange, ou acessar algum arquivo por exemplo, em alguns minutos, o ping pára de responder. A conexão VPN continua ativa no notebook e no Monitor VPN do ISA.

    No ISA, eu encontro os seguintes logs:

    Evento 14147:

    O ISA Server detectou rotas através do adaptador de rede Rede Local que não se correlacionam com a rede à qual este adaptador pertence. Quando as redes são configuradas corretamente, os intervalos de endereços IP incluídos em cada rede no nível de matriz devem conter todos os endereços IP que podem ser roteados através dos adaptadores de rede de acordo com as respectivas tabelas de roteamento. Caso contrário, os pacotes válidos poderão ser descartados como falsificados. Os seguintes intervalos foram incluídos nos intervalos de endereços IP da rede, mas não podem ser roteados por nenhum dos adaptadores da rede: 192.168.194.61-192.168.0.61;. Este evento pode ser gerado uma vez depois que você adiciona uma rota, cria uma rede de sites remotos ou configura o Balanceamento de Carga de Rede e poderá ser ignorado com segurança se não ocorrer novamente.

    Evento 14147:

    A tabela de roteamento do adaptador de rede Interno inclui intervalos de endereços IP que não estão definidos na rede no nível de matriz Clientes VPN à qual está ligada. Como resultado, os pacotes que chegam a este adaptador de rede provenientes dos intervalos de endereços IP listados abaixo ou enviados a esses intervalos de endereços IP através deste adaptador de rede serão descartados como falsificados. Para resolver o problema, adicione os intervalos de endereços IP ausentes à rede da matriz. Os seguintes intervalos de endereços IP serão descartados como falsificados: Interno:192.168.0.61-192.168.0.61;

    Este IP que aparece nos logs é justamente o que o ISA forneceu para o notebook, quando efetuei a conexão VPN e também faz parte da minha rede local, cadastrada no ISA como: 192.168.0.0 - 192.168.0.255.

    Porque o ISA não reconhece o IP da VPN como participante da rede local ?

    Seria porque o Gateway do Servidor Exchange não é o do ISA (192.168.0.5), mas sim o do Roteador (192.168.0.24) ?

    Outro teste que fiz. Se eu disco uma conexão VPN no ISA, utilizando o mesmo notebook, mas usando uma conta local (fora do domínio) sem acessar recurso nenhum da minha rede interna, a conexão funciona perfeitamente e o ISA não barra a conexão.

    Quando o notebook está em cache no domínio e acesso recursos, o ISA barra em alguns minutos e gera log.

    Quando o notebook está logado localmente e não acesso recusros, o ISA não barra de jeito nenhum. Funciona perfeitamente.

    Alguém pode me ajudar ?

    Tentei desabilitar o Spoofing apenas para ajudar no diagnóstico, mas só encontrei um KB para desabilitar este recurso no ISA 2004.

    Obrigado pela ajuda.


    Paul Haro - Microsoft Certified Professional
    terça-feira, 25 de maio de 2010 21:40

Respostas

  • Paul,

     

    Otima noticia :-)

    O broadcast deve estar liberado pois as vezes na sua rede alguma maquina o aplicativo pode enviar broadcast até mesmo dhcp por ex....entao se o mesmo nao esta ativo ele será bloqueado e a descobert ado DHCP po rex pode falhar, mas lembre-se broadcast em excesso nao é nada bom.

     

    Sobre essa configuração, vai da politica da sua empresa, caso vc mantenh aisso ativo e nao crie uma regra no seu ISA de que clientes VPN possam sair para a internet eles nao irao navegar, ou entao vc pode criar uma regra e tb configurar o discador para quando essa VPN estiver ativa ele encaminhar tudo para o IP do seu proxy (ISA) validando assim a conexão, esse é o ambiente ideal, minimizando o risco do usuário tornar-se um back door na sua rede. Entende?

     

    Forte abraço

    Depois das duvidas esclarecidas nao esqueça de classificar o post util.

     

     


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    • Marcado como Resposta Paul Haro quinta-feira, 27 de maio de 2010 22:48
    quinta-feira, 27 de maio de 2010 21:27
    Moderador
  • Paul,

     

    Vamos la, primeiro vamos concertar uma coisa. Deixar o seu DHCP entregar IPs para VPN vai contra as boas praticas Microsoft.

    Com isso vc corre risco de ter OVERLAP na rede.

    Ou seja o range DHCP esta contido na sua rede internal, e ele pega um IP dessa rede...Mas onde na verdade éle é um cliente VPN ou seja a parte da sua rede.

    Então vc deve separar um range no seu DHCP e atribui-lo MANUALMENTE no ISA, deixando que o ISA entregue apenas os IPs dentro do Range configurado , certo?

     

    Depois disso criar as regras utilizando o objeto clientes VPN da maneira que vc quer.

     

    Faça uma validação.

     

    no aguardo


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    • Marcado como Resposta Paul Haro quinta-feira, 27 de maio de 2010 22:48
    quarta-feira, 26 de maio de 2010 15:22
    Moderador

Todas as Respostas

  • Paul,

     

    Vamos la, primeiro vamos concertar uma coisa. Deixar o seu DHCP entregar IPs para VPN vai contra as boas praticas Microsoft.

    Com isso vc corre risco de ter OVERLAP na rede.

    Ou seja o range DHCP esta contido na sua rede internal, e ele pega um IP dessa rede...Mas onde na verdade éle é um cliente VPN ou seja a parte da sua rede.

    Então vc deve separar um range no seu DHCP e atribui-lo MANUALMENTE no ISA, deixando que o ISA entregue apenas os IPs dentro do Range configurado , certo?

     

    Depois disso criar as regras utilizando o objeto clientes VPN da maneira que vc quer.

     

    Faça uma validação.

     

    no aguardo


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    • Marcado como Resposta Paul Haro quinta-feira, 27 de maio de 2010 22:48
    quarta-feira, 26 de maio de 2010 15:22
    Moderador
  • Luiz,

    Meu escopo DHCP vai de 192.168.0.60 até 192.168.0.240

    No ISA, minha rede interna está publicada como 192.168.0.0 até 192.168.0.255.

    Após a alteração, ficou de 192.168.0.0 até 192.168.0.240.

    Atribuí um intervalo de endereços estáticos no ISA para entregar IPs VPN de 192.168.0.241 até 192.168.0.246.

    Fiz um teste de conexão VPN e o ISA está me entregando IPs de acordo com a nova configuração acima.

    Vou validar novamente uma conexão VPN e verificar se ainda estou sendo barrado como spoofing.

    Postarei o resultado.

    Obrigado pela ajuda.

     

     

     


    Paul Haro - Microsoft Certified Professional
    quarta-feira, 26 de maio de 2010 16:28
  • Ajusta a sua rede interna do ISA

    Os IPs de clientes VPN nao devem ser tratados como INTERNAL

    Coloque:

    192.168.0.0 até 192.168.0.240

    192.168.0.255 até 192.168.0.255 (broadcast)


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quarta-feira, 26 de maio de 2010 19:09
    Moderador
  • Ok Luiz,

    Cadastrei apenas o broadcast.

    A alteração de 192.168.0.0 até 192.168.0.240 eu já havia feito no último post.

    Devo efetuar mais alguma alteração ou testar a conexão VPN ?

    Obrigado.


    Paul Haro - Microsoft Certified Professional
    quarta-feira, 26 de maio de 2010 19:57
  • NA sua rede interna no ISA vc ajustou?

     

    tiorou fora os IPs que sao VPN?


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quarta-feira, 26 de maio de 2010 20:00
    Moderador
  • Exatamente.
    Paul Haro - Microsoft Certified Professional
    quarta-feira, 26 de maio de 2010 20:01
  • Oi Luiz,

    A alteração realmente surtiu efeito. Minhas conexões VPN estão estáveis e não tenho mais logs de Spoofing ou erro de roteamento.

    Como o ISA está tratando este range estático de endereços IP para VPN, uma vez que dissemos que não faz mais parte da rede interna ?

    Qual o efeito do cadastro do Broadcast na rede interna do ISA (de 192.168.0.255 até 192.168.0.255) ?

    Nas propriedades da conexão VPN do cliente, existe alguma prática recomendada em relação a aquela opção "Utilizar Gateway padrão em rede remota" ?

    Desde já, muito obrigado pela ajuda !!! Está me ajudando muito !!!

    abs.


    Paul Haro - Microsoft Certified Professional
    quinta-feira, 27 de maio de 2010 18:04
  • Paul,

     

    Otima noticia :-)

    O broadcast deve estar liberado pois as vezes na sua rede alguma maquina o aplicativo pode enviar broadcast até mesmo dhcp por ex....entao se o mesmo nao esta ativo ele será bloqueado e a descobert ado DHCP po rex pode falhar, mas lembre-se broadcast em excesso nao é nada bom.

     

    Sobre essa configuração, vai da politica da sua empresa, caso vc mantenh aisso ativo e nao crie uma regra no seu ISA de que clientes VPN possam sair para a internet eles nao irao navegar, ou entao vc pode criar uma regra e tb configurar o discador para quando essa VPN estiver ativa ele encaminhar tudo para o IP do seu proxy (ISA) validando assim a conexão, esse é o ambiente ideal, minimizando o risco do usuário tornar-se um back door na sua rede. Entende?

     

    Forte abraço

    Depois das duvidas esclarecidas nao esqueça de classificar o post util.

     

     


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    • Marcado como Resposta Paul Haro quinta-feira, 27 de maio de 2010 22:48
    quinta-feira, 27 de maio de 2010 21:27
    Moderador
  • Luiz,

    Extremamente útil !!!

    Agradeço muito pela sua ajuda e estarei sempre à disposição.

    Abs.


    Paul Haro - Microsoft Certified Professional
    quinta-feira, 27 de maio de 2010 22:47