none
ISA, RAS e VPN RRS feed

  • Pergunta

  • Bom dia,
    tenho um ISA 2006, com RAS quen não fui eu quem configurou.
    O ISA tem 2 network, e Internal, que tem minha rede interna, e uma Wireless, onde os notebook conectam numa VPN.
    Atualmente está tudo funcionando normalmente, mas estou tentando implementar um Squid com SquidGuardian para melhorar o filtro a internet e está acontecendo algo estranho. Ao colocar o squid entre meu isa e a internet, para minha rede interna funciona que é uma beleza, bloqueia e libera tudo que é devido. Mas para minha rede Wireless está esquisito, alguns sites que era pra bloquear não bloqueia, e alguns que era pra navegar não navega (mas não bloqueia).
    Usando o Monitor Logging do ISA reparei que pelo VPN Clients, as requisições HTTP estão saindo com o IP de destino ao invés da URL, oq explica o fato do squid não bloquear oque deveria, já que bloqueia URLs e não IP.
    Gostaria de saber como faço paras os clientes VPN navegarem normalmente.
    Grato
    quarta-feira, 25 de novembro de 2009 18:12

Respostas

  • Mas ai vc tem que ver como esta a opção de gateway do seu discador VPN.

    Vai nas opçoes do discador, depois em propriedades do TCP/Ip, depois em advanced e veja o checkbox do gateway, esta marcado ou desmarcado?
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    sexta-feira, 27 de novembro de 2009 16:12
    Moderador

Todas as Respostas

  • Amigão o ISA server usa o RRAS para conexão VPN então é normal ter RRAS. Porque vc não usa ISA para fazer os bloqueios??

    Num entendi essa parte do notebook que se conecta via wireless e depois vpn. Descreva seu ambiente com detalhes.
    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quarta-feira, 25 de novembro de 2009 18:50
  • Atualmente uso o ISA para esse bloqueio, mas quero migrar para o Squid Guardian, pois o ISA é muito fraco nesse aspecto.
    Sim o RRAS está instalado e configurado e funcionando.
    é o seguinte:
    a rede wireless usa o endereçamento 10.1.x.x/16 para os notebook, sendo 10.1.0.1 o GW, ou seja a interface interna do meu ISA.
    minha rede interna tem o endereçamento 172.30.0.x/17 sendo 172.30.11.55 a interface do ISA.
    os notebooks acessam a VPN configurada no ISA, e essa VPN tem o endereçamenteo 10.2.x.x/16 para poderem acessar nossos servidores internos.
    como os notebooks não estão no dominio, os browser não usam Web Proxy, estão configurados SecureNat.
    na rede interna (172.30.0.x) estão no dominio e usam Web Proxy, e funcionam normalmente (com ou sem esquid).
    Somente com o VPN Client quando coloco o Squid que está ocorrendo o problema.
    A configuração da VPN não foi eu quem fez, mas se precisar fuçar.
    Agradeço desde já pela força.
    quarta-feira, 25 de novembro de 2009 19:18
  • O ISA fraco?????????????????????

    eu mudaria a frase, o seu ISA foi mau implementado.
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quarta-feira, 25 de novembro de 2009 19:42
    Moderador
  • Fraco no sentido que tenho um lista com milhares de sites bloqueado, mas oque realmente é efetivo nessa lista é 50% (sendo otimista).
    Ficar monitorando e adicionando numa lista considero uma solução fraca, pelo menos existem ferramentas mais eficientes por aí.
    quarta-feira, 25 de novembro de 2009 19:56
  • "Usando o Monitor Logging do ISA reparei que pelo VPN Clients, as requisições HTTP estão saindo com o IP de destino ao invés da URL, oq explica o fato do squid não bloquear oque deveria, já que bloqueia URLs e não IP." 

    ISSO so ocorre quando você usa o Squid?? Ou ocorre idenpendente do SQUID? Creio que ocorre nos dois cenários.

    So te lembrando que a maquina não precisa estar no dominio para ser cliente WebProxy. Tente configurar esses clientes Vpns como webClient e veja se continua saindo url por IP e não por nome.

    No aguardo.

    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quinta-feira, 26 de novembro de 2009 02:06
  • Bruno,

    Pelo que estou entendendo vc precisa de uma soluçao especifica entao, nem squid aprende sozinho os sites que bloquear..

    Mas vale apena vc fazer um teste com o TMG e validar a funcionalidade de Categorizaçao de URLs.

    http://blogs.technet.com/isablog/archive/2009/06/10/url-filtering-is-here.aspx

    abraços


    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quinta-feira, 26 de novembro de 2009 02:23
    Moderador
  • ok, vou dar uma pesquisada sobre o produto.
    Mas mesmo assim não resolveu meu problema, gostaria de saber porque o ISA está enviando o IP ao invés da URL.
    quinta-feira, 26 de novembro de 2009 11:50
  • Na verdade acho que é a VPN que está fazendo isso, só não sei como arrumar.
    quinta-feira, 26 de novembro de 2009 11:53
  • O seu ISA trabalha como proxy e firewall?

    Isso normalmente é problema de ma configuração das placas de rede.

    http://lfdias.mvpbrasil.com.br/blog/Lists/Postagens/Post.aspx?ID=19

    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quinta-feira, 26 de novembro de 2009 12:36
    Moderador
  • Bom pessoal,
    fazendo uns testes e pesquisando vi o seguinte:
    Quando é usado como SecureNat, o ISA tem esse comportamento de colocar no GET Resquest do HTTP, somente configurando o browser como Web Proxy se resolve esse problema. É oque ocorre na minha rede interna, mas no tunel VPN a coisa não é tão bonita assim, pois o tunel deixa o ISA como DW ou seja funcionando como SecureNat, mas mesmo configurando o browser como Web Proxy, o ISA continua alterando o URL do Get Request do protocolo HTTP pelo IP de destino, ou seja continua se comportando como SecureNat. Tentei tambem usando o Firewall client, mas dentro do tunel da VPN sempre tem esse mesmo comportamento, ou seja, no tunelamento o ISA não se enxerga como proxy, só como router.
    Alguém tem alguma sugestão?
    quinta-feira, 26 de novembro de 2009 17:23
  • Bruno,

    Esse tunelamento VPN que vc est afalando é de dentro pra fora ou de for apra dentro?
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quinta-feira, 26 de novembro de 2009 17:33
    Moderador
  • de dentro pra fora.
    Do notebook até o ISA, e do ISA sai para a web.
    quinta-feira, 26 de novembro de 2009 17:51
  • Vc quer dizer que quando vc conecta uma VPN externa.
    Quando vc faz o acesso a websites eles saem com IP é isso?
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    quinta-feira, 26 de novembro de 2009 19:43
    Moderador
  • Isso mesmo, quando se conecta na VPN, o os clientes VPN funcionam como SecureNat, mesmo configurado como Web Proxy.
    sexta-feira, 27 de novembro de 2009 12:42
  • Mas ai vc tem que ver como esta a opção de gateway do seu discador VPN.

    Vai nas opçoes do discador, depois em propriedades do TCP/Ip, depois em advanced e veja o checkbox do gateway, esta marcado ou desmarcado?
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    sexta-feira, 27 de novembro de 2009 16:12
    Moderador
  • Isso mesmo, funcionou!!!
    Achei que marcando direto no browser não era necessário marcar do discador.
    Valeu!!!!
    segunda-feira, 30 de novembro de 2009 12:48
  • MAravilhaa..

    qualquer coisa é só gritar.

    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    segunda-feira, 30 de novembro de 2009 13:02
    Moderador