locked
SBS 2003 com Exchange + ISA com 2wans. Como fazer? RRS feed

  • Pergunta

  • Boa noite.
    Estou tentando configurar outra WAN em meu sistema de modo que o tráfego pela porta 80 passe por uma, com ip dinamico mas em alta velocidade, e a outra funcione através de um Frame Relay da Embratel, a que está configurado corretamente o Exchange Server já há algum tempo.
    Para esta configuração, tentei sem sucesso o uso de um Router DLink DI-LB604. Configurei a DMZ (até encontrei alguem com um problema semelhante aqui no forum) e direcionei a porta 80 à WAN desejada. Porém, ao configurar o DMZ, o roteador ignora a regra de port binding e o resultado é que toda a banda continua a passar pela WAN da Embratel.

    Estou agora procurando outra alternativa e vi que posso fazer isso com o Mikrotik.
    Mas, no DI-LB604, eu tinha tentado sem sucesso configurar tudo somente através do Port Binding. Funcionou QUASE tudo, exceto o OWA e o acesso remoto. Tentei inserir novas regras no DLink, mas aquela porcaria só aceita 10.Como isso não acontece com o Mikrotik, creio que dará para fazer. 


    Minha dúvida é se esse é mesmo o caminho mais fácil ou se há outro. Se for, quais são as portas que devo configurar para trabalhar exclusivamente com a WAN a qual estará ligada à conexão da Embratel para que o acesso remoto e o OWA funcionem corretamente? Poderiam me ajudar?

    Obrigado

    PS: não é meio absurdo esse recurso não estar disponível no Server? É algo tão básico ter duas Wans e o SBS já é tão "All-in-One". Acho isso uma falha grosseira da MS. Tomara que no 2008 isso seja resolvido.


    terça-feira, 14 de outubro de 2008 22:32

Respostas

  • PROBLEMA RESOLVIDO COM O DLINK.

    Vou fazer um breve resumo do que deve ser feito caso alguem queira fazer a mesma coisa.


    EM GERAL, se voce tem um SBS ou qualquer Servidor que exija autenticações externas via HTTPS e outras conexões e deseja ter um link independente para navegação dos clientes internos, distintamente do link do Servidor, que no meu caso compreendia ao Web Server e Exchange Server, voce deve fazer os seguintes procedimentos no Dlink DL604:

     

    1)  a) Considerando que voce tenha vários IPs externos, com mais de um servidor externo rodando, minha sugestão é conectar os Servers, exceto o SBS ou o Server que queira configurar + Router de seu provedor de serviços + DLink num Hub Ethernet, sendo que todos eles terão a classe de IP fornecida por seu provedor. O Router, neste caso, tem o IP do Gateway. Feito isso, defina o IP fixo no DLink como o IP do seu server para, por exemplo, a porta WAN1. Se a segunda WAN for ip dinâmico, configure-a corretamente no Wizard do DLink. Não se esqueça de mudar o IP do seu Server antes de definir o IP no DLINK, pois caso contrário terá um conflito.

     

    b) Se voce tiver apenas um Server publicado, basta ligar o cabo de rede que sai do router de seu provedor de serviços e conecta-lo a uma das portas WAN do DLink. Para facilitar, estou me referido ao IP do Server Exchange como WAN1. Atribua a esta porta o IP de seu Server.

     

    2) O segundo passo é criar uma rede entre o DLink e o Server que está configurando. Utilize uma classe de IP distinda da sua rede interna. Exemplo: rede interna 10.1.0.1 e rede Server-DLink 192.168.0.1. Estabeleça um IP fixo para o Server, exemplo 192.168.0.2 e configure o gateway com o IP do DLink.

     

    3) Tendo configurado as WANs, o proximo passo é acessar TOOLS > MISC > Set Protocol & Port binding. Como a WAN2 so será utilizada para navegação, insira as seguintes regras:

     

    a) Enable; Protocol ALL; Port Range: 1 ~ 79; WAN1
    b) Enable; Protocol TCP: Port Range: 80 ~ 80; WAN2

    c) Enable; Protocol ALL; Port Range: 81~65535; WAN1

     

    O restante das opções ficam como está.
    Aqui se quer que todo o tráfego passe pela WAN1 que é o link externo e autenticado do Servidor. Se voce quiser definir outras regras, basta modificar. Mas não defina a porta 443 para funcionar com a WAN2, pois voce perderá o OWA.

     

    4) Configurar o Virtual Server.

    O DLink LB604 já vem com várias regras pré-definidas. O que voce deve fazer é habilitar todas, como no exemplo abaixo:

    Enable; SMTP;192.168.0.2;TCP;25 ~25 ;WAN1;25~25

     

    Aqui o DLink está direcionando a porta 25 que vem do chamado externo a porta 25 do Server. Voce deverá habilitar TODAS as portas externas que necessitar em seu Server.
    O que recomendo é olhar as regras do ISA e replica-las aqui. Exemplo: a regra do acesso remoto diz que o RDP utiliza a porta 3389. Então, crie uma regra com esta porta, tal que:

    Enable; RDP;192.168.0.2;TCP;3389 ~3389 ;WAN1;3389~3389

     

    Faça isso para todas as sessões externas que possa vir a ter. Como elas devem estar publicadas no ISA, é só ir olhando quais são as portas e replicando no Dlink,

     

    Pronto, feito isso é só por no ar e testar.

    Tive problema com alguns clientes que utilizam o Firewall Client. Estou vendo o que possa ser, mas acredito que seja alguma porta que ainda preciso abrir. Tenho Macintoshs na rede e todos funcionaram corretamente.

    Se alguem tiver mais alguma coisa a acrescentar, ou correção ao que fiz, por favor, fique a vontade para fazer sua sugestão.

     

    Abraços a todos.

    quarta-feira, 22 de outubro de 2008 03:38

Todas as Respostas

  • Olá,

     

    Na verdade todos esses recursos estão disponíveis no server, mas se você envolver roteador vai ter que redirecionar a porta 25 do exchange e porta 443 para owa.

     

    Se você ligar direto na placa de rede externa a sua conexão WAN, basta rodar o wizard de acesso a internet e email e configurar o owa e exchange. Se tiver um roteador na rede ai vai ter que redirecionar as portas que citei acima.

     

    Abraço

    quarta-feira, 15 de outubro de 2008 21:36
    Moderador
  • Daniel, deixa-me ver se entendi, pois todos os técnicos com quem conversei disseram que o SBS 2003 não faz esta tarefa: voce está dizendo para eu deixar meu server com 3 placas de rede, sendo 1 para rede interna, 1 para Exchange e OWA e outra para internet? Não é necessário o uso de um Router?

    Reiterando: 1 link frame relay + 1 com Ip dinâmico, que é o Net Virtua. Posso configurar isso sem uso de um router, bastando instalar uma terceira placa placa de rede e executar o Wizard????

    Muito obrigado pela atenção.

    Att
    Gian.

    quarta-feira, 15 de outubro de 2008 22:08
  • Olá,

     

    Não é isso. O SBS trabalha no máximo com duas placas de rede.

     

    Uma para Internet, OWA e Exchange

     

    Outra para rede interna.

     

    Abraço

    quinta-feira, 16 de outubro de 2008 00:08
    Moderador
  • Então como voce disse que posso resolver meu problema somente utilizando o Wizard? Eu sinceramente não entendi. Obrigado.

     

    quinta-feira, 16 de outubro de 2008 00:26
  • Olá Gian,

     

    Você quer dividir o tráfego entre as duas conexões WAN que você tem? Se for isso sinceramente não sei como fazer.

     

    Agora se quiser compartilhar a internet e os serviços relatados no post ai é só seguir o que te falei.

     

    Abraço

    quinta-feira, 16 de outubro de 2008 17:39
    Moderador
  • Vou repostar o primeiro parágrafo da minha pergunta, pois nele está bem explícito o que quero. Além disso, o título do post fala em 2 Wans.

     

    "Estou tentando configurar outra WAN em meu sistema de modo que o tráfego pela porta 80 passe por uma, com ip dinamico mas em alta velocidade, e a outra funcione através de um Frame Relay da Embratel, a que está configurado corretamente o Exchange Server já há algum tempo"


    Ou seja: o Exchange está configurado corretamente para funcionar com o Frame Relay. Agora quero adicionar um link para trafegar apenas a porta 80, sendo este link de IP Dinâmico. Tentei sem sucesso o DL604 da Dlink e agora estou tentando com o Mikrotik. Minha pergunta era se este é este o melhor procedimento para conseguir o que estou querendo.

     

    Muito obrigado.

    quinta-feira, 16 de outubro de 2008 17:54
  • Olá,

     

    Nunca vi esse tipo de configuração. Infelizmente não tenho como ajudar. Espero que alguém do fórum tenha essa resposta.

     

    Abraço

    quinta-feira, 16 de outubro de 2008 20:54
    Moderador
  • PROBLEMA RESOLVIDO COM O DLINK.

    Vou fazer um breve resumo do que deve ser feito caso alguem queira fazer a mesma coisa.


    EM GERAL, se voce tem um SBS ou qualquer Servidor que exija autenticações externas via HTTPS e outras conexões e deseja ter um link independente para navegação dos clientes internos, distintamente do link do Servidor, que no meu caso compreendia ao Web Server e Exchange Server, voce deve fazer os seguintes procedimentos no Dlink DL604:

     

    1)  a) Considerando que voce tenha vários IPs externos, com mais de um servidor externo rodando, minha sugestão é conectar os Servers, exceto o SBS ou o Server que queira configurar + Router de seu provedor de serviços + DLink num Hub Ethernet, sendo que todos eles terão a classe de IP fornecida por seu provedor. O Router, neste caso, tem o IP do Gateway. Feito isso, defina o IP fixo no DLink como o IP do seu server para, por exemplo, a porta WAN1. Se a segunda WAN for ip dinâmico, configure-a corretamente no Wizard do DLink. Não se esqueça de mudar o IP do seu Server antes de definir o IP no DLINK, pois caso contrário terá um conflito.

     

    b) Se voce tiver apenas um Server publicado, basta ligar o cabo de rede que sai do router de seu provedor de serviços e conecta-lo a uma das portas WAN do DLink. Para facilitar, estou me referido ao IP do Server Exchange como WAN1. Atribua a esta porta o IP de seu Server.

     

    2) O segundo passo é criar uma rede entre o DLink e o Server que está configurando. Utilize uma classe de IP distinda da sua rede interna. Exemplo: rede interna 10.1.0.1 e rede Server-DLink 192.168.0.1. Estabeleça um IP fixo para o Server, exemplo 192.168.0.2 e configure o gateway com o IP do DLink.

     

    3) Tendo configurado as WANs, o proximo passo é acessar TOOLS > MISC > Set Protocol & Port binding. Como a WAN2 so será utilizada para navegação, insira as seguintes regras:

     

    a) Enable; Protocol ALL; Port Range: 1 ~ 79; WAN1
    b) Enable; Protocol TCP: Port Range: 80 ~ 80; WAN2

    c) Enable; Protocol ALL; Port Range: 81~65535; WAN1

     

    O restante das opções ficam como está.
    Aqui se quer que todo o tráfego passe pela WAN1 que é o link externo e autenticado do Servidor. Se voce quiser definir outras regras, basta modificar. Mas não defina a porta 443 para funcionar com a WAN2, pois voce perderá o OWA.

     

    4) Configurar o Virtual Server.

    O DLink LB604 já vem com várias regras pré-definidas. O que voce deve fazer é habilitar todas, como no exemplo abaixo:

    Enable; SMTP;192.168.0.2;TCP;25 ~25 ;WAN1;25~25

     

    Aqui o DLink está direcionando a porta 25 que vem do chamado externo a porta 25 do Server. Voce deverá habilitar TODAS as portas externas que necessitar em seu Server.
    O que recomendo é olhar as regras do ISA e replica-las aqui. Exemplo: a regra do acesso remoto diz que o RDP utiliza a porta 3389. Então, crie uma regra com esta porta, tal que:

    Enable; RDP;192.168.0.2;TCP;3389 ~3389 ;WAN1;3389~3389

     

    Faça isso para todas as sessões externas que possa vir a ter. Como elas devem estar publicadas no ISA, é só ir olhando quais são as portas e replicando no Dlink,

     

    Pronto, feito isso é só por no ar e testar.

    Tive problema com alguns clientes que utilizam o Firewall Client. Estou vendo o que possa ser, mas acredito que seja alguma porta que ainda preciso abrir. Tenho Macintoshs na rede e todos funcionaram corretamente.

    Se alguem tiver mais alguma coisa a acrescentar, ou correção ao que fiz, por favor, fique a vontade para fazer sua sugestão.

     

    Abraços a todos.

    quarta-feira, 22 de outubro de 2008 03:38
  • Estou usando o Virtual Server de um modo mais simples.
    Já que o ISA é o Firewall da rede, não vi problemas em abrir todas as portas no DLink.


    Configurei-o da seguinte maneira:

     

     

    Enable; TCP1;192.168.0.2;TCP;1 ~ 65000 ;WAN1;1 ~ 65000

    Enable; TCP2;192.168.0.2;TCP;65001 ~ 65535 ;WAN1;65001 ~ 65535

    Enable; UDP1;192.168.0.2;UDP;1 ~ 65000 ;WAN1;1 ~ 65000

    Enable; UDP2;192.168.0.2;UDP;65001 ~ 65535 ;WAN1;65001 ~ 65535

     

    Por algum motivo, o DLink não aceitou a regra da porta 1 ~ 65535. Por isso esta "quebrada" em duas. Dá na mesma.

    IMPORTANTE: Desabilite qualquer regra que esteja configurada, pois, caso contrário, o DLink irá alegar que já existe regra para uma das portas referidas. Como se está usando uma regra para todas as portas, não pode haver nenhuma outra regra ativada.


    Era isso!

    quarta-feira, 22 de outubro de 2008 04:01