none
TMG 2010 2 placas de rede na mesma gama RRS feed

  • Pergunta

  • boas pessoal estou a tentar instalar tmg  , tenho duas plcas de rede

    placa 1 - interna 192.168.1.10 - mask 255.255.255.0 - sem gateway - dns 192.168.1.1

    placa 1 - externa 192.168.1.10 - mask 255.255.255.0 -gateway 192.168.1.254 - dns 192.168.1.1

    outra duvida é: no computador de cliente no gateway tenho que colocar por exemplo

    placa pc Cliente - 192.168.1.50 - mask 255.255.255.0 - gateway 192.168.1.10 - dns 192.168.1.1 - está correcto?

    para o tmg é necessario sempre proxy configurado no internet explorer.

    Desculpem as duvidas basicas.

    terça-feira, 28 de agosto de 2012 18:32

Respostas

  • Apenas uma correção, o dns que deverá ser configurado na interface externa, voce deve deixar sem endereço IP de DNS

    E na interface LAN, voce deve deixar o IP DNS do seu Active Directory.

    Isso é importante na hora de gerar relatorios por usuarios, ou sites sendo que a resolução de nomes fica dentro da sua LAN.

    Abs


    Júnior Ramos | Analista em Tecnologia da informação| MCPID: 8549133 | e-mail: Consultoriaemredes@live.com | Fone: (47) 8417 - 3475 |

    • Marcado como Resposta srjohny quinta-feira, 30 de agosto de 2012 10:53
    quarta-feira, 29 de agosto de 2012 11:34
  • Realmente, acabei deixando passar, valeu Junior pela informação.

    abraços


    Douglas Urbano

    • Marcado como Resposta srjohny quinta-feira, 30 de agosto de 2012 10:53
    quarta-feira, 29 de agosto de 2012 11:57
  • Boa noite srjohny,

    Eu entendi. Uma coisa que você pode fazer é instalar o forefront como rede de perímetro, ou seja, com apenas uma placa de rede. Ai resolverá seu problema.

    Vai manter o gateway e as lan de sua rede. O forefront tmg não necessita necessariamente de duas placas para funcionar.

    Obrigado

    Vinicius Mozart


    By Bbiskua


    • Editado Vinicius MozartMVP quarta-feira, 29 de agosto de 2012 22:42
    • Marcado como Resposta srjohny quinta-feira, 30 de agosto de 2012 10:53
    quarta-feira, 29 de agosto de 2012 22:41

Todas as Respostas

  • Boa tarde,

    placa 1 - interna 192.168.1.10 - mask 255.255.255.0 - sem gateway - dns 192.168.1.1<o:p></o:p>


    placa 2 - externa 192.168.10.10 - mask 255.255.255.0 -gateway 192.168.10.9 -  Altere o ip do seu externo, vai conflitar, por exemplo, altere para 192.168.10.10.<o:p></o:p>


    Configurando TMG Placas de Rede

    Na maquina do client, nas configurações do proxy, você precisa informar o ip do seu TMG e a porta, por exemplo: 8080, mas aconselho a fazer via gpo. Não é obrigado a autenticar, pode ser proxy transparente, mas aconselho a correr, tenha controle sobre sua estrutura e força saírem pelo proxy habilitando os acessos necessários.



    Douglas Urbano



    terça-feira, 28 de agosto de 2012 18:52
  • Apenas uma correção, o dns que deverá ser configurado na interface externa, voce deve deixar sem endereço IP de DNS

    E na interface LAN, voce deve deixar o IP DNS do seu Active Directory.

    Isso é importante na hora de gerar relatorios por usuarios, ou sites sendo que a resolução de nomes fica dentro da sua LAN.

    Abs


    Júnior Ramos | Analista em Tecnologia da informação| MCPID: 8549133 | e-mail: Consultoriaemredes@live.com | Fone: (47) 8417 - 3475 |

    • Marcado como Resposta srjohny quinta-feira, 30 de agosto de 2012 10:53
    quarta-feira, 29 de agosto de 2012 11:34
  • Realmente, acabei deixando passar, valeu Junior pela informação.

    abraços


    Douglas Urbano

    • Marcado como Resposta srjohny quinta-feira, 30 de agosto de 2012 10:53
    quarta-feira, 29 de agosto de 2012 11:57
  • entao deverá ficar assim.

    placa 1 - interna 192.168.1.10 - mask 255.255.255.0 - sem gateway - dns 192.168.1.1

    placa 1 - externa 192.168.1.10 - mask 255.255.255.0 -gateway 192.168.1.254 - DNS VAZIO

    O tmg está a matar-me lol

    quarta-feira, 29 de agosto de 2012 14:55
  • vinicius você  tem  razao . mas ai esta o meu problema . o ip qu evem no router  192.168.1.1 e toda empresa a empresa  esta configurada  com 192.168.1.xx 3e tenho vpns ligadas a filiais . se troco internamente  a gama de ips como vai as filiais aceder.
    quarta-feira, 29 de agosto de 2012 21:38
  • Boa noite srjohny,

    Eu entendi. Uma coisa que você pode fazer é instalar o forefront como rede de perímetro, ou seja, com apenas uma placa de rede. Ai resolverá seu problema.

    Vai manter o gateway e as lan de sua rede. O forefront tmg não necessita necessariamente de duas placas para funcionar.

    Obrigado

    Vinicius Mozart


    By Bbiskua


    • Editado Vinicius MozartMVP quarta-feira, 29 de agosto de 2012 22:42
    • Marcado como Resposta srjohny quinta-feira, 30 de agosto de 2012 10:53
    quarta-feira, 29 de agosto de 2012 22:41
  • Consegui colocar duas redes separadas e ficou logo a funcionar. agora é so pesquisar como bloqueio determinado site. do genero deixar o streamibng bloqueado mas desbloquear por exemplo o youtube apenas

    quinta-feira, 30 de agosto de 2012 10:53
  • Srjohny

    Seguinte, voce deve alterar o IP do seu modem para uma outra faixa, por exemplo 192.168.0.1, e deixar na placa lan a faixa de ip's que ja era utilizada anteriormente dentro da sua rede.

    Quanto ao TMG e as configurações, realmente nao tem como deixar dois ip's da mesma range nas interfaces, por isso ficou a dica acima.

    Outro ponto a ser detalhado, é que se voce esta procurando uma solução ( Firewall ) voce deve ter 2 placas de rede, para filtrar todo o trafego de entrada e saida da sua rede, bem como utilização de proxy nas estações.

    Agora usar uma interface de rede " rsss " é gostar de fazer o uso das tecnologias contra o administrador, ao inves de voce resolver varios problemas, voce dará inicio aos que te restaram e oque estão por vir.

    abs.


    Júnior Ramos | Analista em Tecnologia da informação| MCPID: 8549133 | e-mail: Consultoriaemredes@live.com | Fone: (47) 8417 - 3475 |

    quinta-feira, 30 de agosto de 2012 11:10
  • eu vou usar duas placas de rede em gamas diferentes mesmo para filtrar toda a informação.
    quinta-feira, 30 de agosto de 2012 13:53
  • estou aqui com um duvida. eu se quiser controlar regras por usuarios tenho que ter proxy activo . nao estou a usar proxy agora e criei um regra so para domain users o que acontece é que bloqueia quem nao faz parte do dominio.

    quinta-feira, 30 de agosto de 2012 14:12
  • Bom dia,

    Amigo você quer instalar seu TMG em modo Edge (DMZ), correto? Seguir por favor, as orientações mencionadas acima, use duas placas de rede, uma para externo e outra para interno.

    As topologias de rede do Forefront TMG a seguir estão disponíveis:

    • Firewall de borda — Nesta topologia, o Forefront TMG está localizado na borda da rede, onde funciona como o firewall de borda da organização, e está conectado a duas redes: a rede interna e a rede externa (geralmente a Internet). 
    • Perímetro de base tripla — Esta topologia implementa uma rede de perímetro. O Forefront TMG é conectado a pelo menos três redes físicas: a rede interna, uma ou mais redes de perímetro e a rede externa. 
    • Firewall interno — Nesta topologia, o Forefront TMG está localizado no back-end da rede. Use essa topologia quando outro elemento de rede, como uma rede de perímetro ou um dispositivo de segurança de borda, estiver localizado entre o Forefront TMG e a rede externa. O Forefront TMG é conectado à rede interna e ao elemento de rede à sua frente.
    • Adaptador de rede exclusivo — Esta topologia habilita funcionalidades limitadas do Forefront TMG. Nessa topologia, o Forefront TMG é conectado a apenas uma rede: a rede interna ou uma rede de perímetro. Geralmente, é possível usar essa configuração quando o Forefront TMG está localizado na rede interna da empresa ou em uma rede de perímetro e outro firewall está localizado na borda, protegendo os recursos da empresa da Internet. Para obter mais informações, consulte Sobre a topologia do adaptador de rede único.



    Douglas Urbano

    quinta-feira, 30 de agosto de 2012 14:14
  • Sim claro,

    1° O TMG que trabalha com Single Network ( Unica placa de rede ) é quando possui um forefront na Edge.

    OU seja um forefront voce tem na sua rede Edge, e o Single Network é apenas para trabalhar como proxy.

    Na maioria dos cenarios em empresas grandes como na qual eu trabalho é esses cenario.
    Por medidas de segurança um TMG fica na DMZ, e o outro fica na LAN para autenticar os usuarios do AD.
    Uma boa pratica recomendada pela microsoft.

    2º Se o amigo pago por uma licença do Forefront TMG 2010, para a finalidade de firewall pq o mesmo nao deve utiliza-la?
    Da maneira a ser passada pra ele com apenas uma placa de rede, não é firewall, oque se deve ter entendiment é

    firewall e proxy, sao duas tecnologias totalmente diferentes!

    Em uma suposição era a mesma coisa eu comprar um carro e não usar os freios !!!

    3° com uma unica placa de rede voce consegue filtrar todos os pacotes que saem da sua rede e entram?

    Não vamos estender para uma discução, minha intenção aqui e a do Douglas foi e sempre será ajudar os amigos do forum.
    A unica diferença no entanto é que não afirmamos algo que nao temos certeza, as vezes passa algo despercebidos, tbem erramos!

    Aconselho voce a estudar uma pouco mais sobre o TMG, e realmente entender os cenarios que a microsoft disponibilizou para utilização do mesmo!

    Forte abraços!




    Júnior Ramos | Analista em Tecnologia da informação| MCPID: 8549133 | e-mail: Consultoriaemredes@live.com | Fone: (47) 8417 - 3475 |

    quinta-feira, 30 de agosto de 2012 14:30
  • Boa tarde Vinicius,

    Não havia necessidade da exclusão, mais tudo bem!

    O Douglas postou um link interessante sobre as topologias de rede do TMG.
    E caso precise de ajuda ou tenha duvidas relacionadas a ambientes Microsoft, voce pode entrar em contato quando precisar
    Ou perguntar aqui no forum.
    Na minha assinatura tem meu e-mail e fone.

    abração!


    Júnior Ramos | Analista em Tecnologia da informação| MCPID: 8549133 | e-mail: Consultoriaemredes@live.com | Fone: (47) 8417 - 3475 |

    quinta-feira, 30 de agosto de 2012 18:10
  • Beleza Vinicius, tranquilo

    é nesse ponto que voce tem que entender as tecnologias, é bem provavel que voce tenha apenas proxy na sua rede, que é diferente de firewall.

    Com uma unica placa excluisiva onde fica o roteador conectado?

    Se tiver duvidas vai perguntando que vamos respondendo!

    abs


    Júnior Ramos | Analista em Tecnologia da informação| MCPID: 8549133 | e-mail: Consultoriaemredes@live.com | Fone: (47) 8417 - 3475 |

    quinta-feira, 30 de agosto de 2012 18:22
  • Oque seria um router comun antes do firewall. um d-link 500b por exemplo?

    Olha a definição da placa exclusiva!

    Limitações de uma topologia de adaptador de rede exclusiva

    As seguintes limitações se aplicam quando você usa a topologia de adaptador de rede exclusiva:

    • Não há suporte para a publicação de servidor e a VPN de site-a-site.
    • Não há suporte para SecureNAT e tráfego de Cliente do Forefront TMG.
    • As regras de Access devem ser configuradas com endereços de origem que usam apenas endereços IP internos.
    • As diretivas de firewall não devem se referir à rede externa.

    Sendo secure NAT, voce não tem log's de acesso de entrada e saida da sua rede, tudo que passa por ela voce nao ve, apenas trafego web proxy.

    Tudo que entra fica disponivel no seu roteador.

    Firewall de borda — Nesta topologia, o Forefront TMG está localizado na borda da rede, onde funciona como o firewall de borda da organização, e está conectado a duas redes: a rede interna e a rede externa (geralmente a Internet).

    Nesse cenario voce tem log's geral da sua rede, pq tudo que passa entre ela o TMG captura.


    Júnior Ramos | Analista em Tecnologia da informação| MCPID: 8549133 | e-mail: Consultoriaemredes@live.com | Fone: (47) 8417 - 3475 |

    quinta-feira, 30 de agosto de 2012 18:35
  • Disponha Vinicius, por gentileza me add no msn, tenho bastante material que posso te enviar por e-mail que vai te ajudar

    a entender melhor a ferramenta, e seguir as boas praticas Microsoft.

    Forte abraço.


    Júnior Ramos | Analista em Tecnologia da informação| MCPID: 8549133 | e-mail: Consultoriaemredes@live.com | Fone: (47) 8417 - 3475 |

    quinta-feira, 30 de agosto de 2012 18:47
  • Pra isso que serve o forum, caso ele tenha alguma duvida ele reportara a nos aqui, e com todo prazer iremos ajudar.

    abraços!


    Júnior Ramos | Analista em Tecnologia da informação| MCPID: 8549133 | e-mail: Consultoriaemredes@live.com | Fone: (47) 8417 - 3475 |

    quinta-feira, 30 de agosto de 2012 18:52