none
ISA SERVER - SITE TO SITE VPN - ISA COM ROTA ESTÁTICA NÃO FUNCIONA DIREITO RRS feed

  • Pergunta

  • Prezados, boa noite!!

    Estou com o seguinte problema, tenho duas filiais interligadas e ao pingar os IPs da da filial para á matriz ocorre normalmente e vice e versa também. Se eu tentar acessar um servidor web nos protocolos HTTP e FTP em uma das filias também ocorre normalmente, porém ao trafegar abrindo compartilhamento de arquivos ocorre um erro e após monitorar esse erro vi que os principais problemas eram nos seguintes protocolos abaixo.

    CIFS 445
    A connection was abortively closed after one of the peers sent a RST segment.

    NetBios Name Server 137
    A connection was gracefully closed in an orderly shutdown process with a three-way FIN-initiated handshake

    Depois de varios testes notei que o problema é que na Matriz eu tenho dois Gateways, o primeiro 192.168.0.2 o segundo 192.168.0.5 onde o segundo é quem faz o roteamento para minha filial 192.168.1.X. Notem que por ter um outro roteador faço uma roda estatica apotando para o ip 0.5, quando precisar encontrar a rede 192.168.1.x

    Quanto tento acessar \\192.168.40\c$, da maquina 192.168.1.17 diz que não consegue alcançar o caminho de rede.

    porém se eu pegar a configuração da placa de rede de:

          IP:   192.168.0.40

          MK:  255.255.255.0

          GW:  192.168.0.2

          DNS: 192.168.0.1

    para:

          IP:   192.168.0.40

          MK:  255.255.255.0

          GW:  192.168.0.5

          DNS: 192.168.0.1

    Passa a funcionar o acesso, porém as máquinas da propria rede 192.168.0.x param de acessar,  alguem pode me ajudar?

    terça-feira, 11 de janeiro de 2011 04:17

Todas as Respostas

  • amigo tem como vc fazer um diagrama da rede para melhor compreenssão?

    Esse site-to-site é através do ISA ou de uma provedor?


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    terça-feira, 11 de janeiro de 2011 04:21
  • Pedro,

    No seu ISA libere o protocolo MICROSOFT CIFS UDP e MICROSOFT CIFS TCP da rede origem que você quiser para a rede de destino que quiser.

    Faça esse teste.

    Abraços


    Se ajudei favor marcar minha resposta como solução

    Thiago Di Giorgio

    MCSA: Server 2003 / MCTS: ISA Server 2006

    E-Mail / Msn: thiago.gio@hotmail.com

    Blog:http://tgiorgio.wordpress.com

    LinkedIn: http://br.linkedin.com/in/tgiorgio

    terça-feira, 11 de janeiro de 2011 16:49
  • Felipe tomei a liberdade de publicar a seguinte link abaixo, com o diagrama:

    http://www.containersol.com.br/diagrama.jpg

     

    terça-feira, 11 de janeiro de 2011 21:39
  • Thiago,

    Note que no meu isa esta marcado assim

    ISA DA FILIAL (192.168.1.1):                         INTERNAL e VPN MATRIZ  para INTERNAL e VPN MATRIZ

    ISA ROTEADOR DA MATRIZ (192.168.0.5):     INTERNAL e VPN MATRIZ  para INTERNAL e VPN MATRIZ

    OBS: Note que o ISA de Internet da Matriz (192.168.0.2) esta configurado na rede INTERNAL as faixas de IP das filiais também, ou seja,

    192.168.0.1 até 192.168.0.255 e 192.168.1.1 até 192.168.1.255

    Desde já agradeço a ajuda.

    terça-feira, 11 de janeiro de 2011 21:44
  • Pedro, não entendi.

    Você conseguiu fazer a regra que falei?

    ABs


    Se ajudei favor marcar minha resposta como solução

    Thiago Di Giorgio

    MCSA: Server 2003 / MCTS: ISA Server 2006

    E-Mail / Msn: thiago.gio@hotmail.com

    Blog:http://tgiorgio.wordpress.com

    LinkedIn: http://br.linkedin.com/in/tgiorgio

    quarta-feira, 12 de janeiro de 2011 14:57
  • Olá Pedro,

    eu acredito os pacotes não estão passando todos pelo ISA (ida e volta). Pois, quando sai da rede 192.168.0.0/24 ele vai pelo ISA, porém quando volta pela rede 192.168.1.0/24 ele volta direto para o seu segundo gateway (192.168.0.5) e vai para o cliente, não passando pelo ISA.

    Vc deve colocar o ISA no caminho dos pacotes de ida e volta.

    Atenciosamente,

    Paulo Oliveira.


    Paulo Oliveira Blogs: http://poliveirasilva.wordpress.com http://www.tiespecialistas.com.br/author/paulo-oliveira/
    quarta-feira, 12 de janeiro de 2011 15:10
  • Thiago, oque tu falou ja esta feito, ou seja, fui em access rule, e criei uma rota liberando todos os protocolos de interno pra vpn e da vpn pra interno.

    Note que também tentei liberar all networks para all networks com todos os protocolos e mesmo assim não funciona, tanto é que o isa não diz que foi negado, o isa entende simplesmente que foi um ataque, pq esperava a resposta de um servidor e recebeu de outra.

    De uma olhada no diagrama que lhe passei para tu entender.

    http://www.containersol.com.br/diagrama.jpg

    quarta-feira, 12 de janeiro de 2011 18:47
  • Paulo,

    se oque vc escreveu for oque eu entendi, você quis dizer que:

         O os pacotes vão pelo isa da filial.

         Saem pelo isa que está ná matriz e que roteia com a filial.

         porém voltam pelo isa principal que serve internet da matriz e por isso o isa entende como um ataque.

    Se for isso, realmente acredito em ti pois também acho que seja esse problema, porém como faço pra poder colocar o isa que está ná matriz e que roteia com a filial para devolver os pacotes ao invéz do isa principal que serve internet da matriz?

    Resumindo: Como faço para colocar o ISA no caminho dos pacotes de ida e volta, e qual isa devo fazer isso principal da matriz ou o isa que faz o roteamento?

    segue ai o diagrama da minha rede:

    http://www.containersol.com.br/diagrama.jpg

    quarta-feira, 12 de janeiro de 2011 18:55
  • Olá Pedro,

    isso mesmo, os pacotes que saem da Matriz estão indo por outro gateway e não pelo ISA.

    Como o ISA é um firewall e não um roteador, significa que ele inspeciona todos os pacotes que passam pelas interfaces ligadas à ele, ele identifica o pacote de retorno como tentativa de spoofing, pois esses pacotes não possuem nenhuma conexão associada na tabela de conexões do ISA.

    Nesse caso, para resolver o problema vc deve adicionar mais uma interface ao ISA da Matriz e configurar a conexão de VPN site-to-site entre a Matriz e a Filial no ISA.

    Ao adicionar essa nova placa de rede ao ISA é preciso criar uma rota estática no windows, pois o ISA não suporta múltiplos gateways. A rota deve ser conforme abaixo:

    route -p add <ip_valido_rede_destino> mask 255.255.255.255 <gateway_do_segundo_link_da_matriz> <ip_da_interface_do_segundo_link>

    Dessa forma vc terá duas Redes Externas no ISA, mas somente um gateway padrão configurado.

    Atenciosamente,

    Paulo Oliveira.


    Paulo Oliveira Blogs: http://poliveirasilva.wordpress.com http://www.tiespecialistas.com.br/author/paulo-oliveira/
    quarta-feira, 12 de janeiro de 2011 19:19
  • Boa noite Paulo,

    fiz toda a configuração, mesmo assim não funcionou.

    Tem alguma outra solução?

     

     

    quinta-feira, 13 de janeiro de 2011 00:55
  • Boa noite Pedro,

    ainda aparece algum alerta de spoofing? Oq aparece nos logs de seu ISA firewall?

    Atenciosamente,

    Paulo Oliveira.


    Paulo Oliveira Blogs: http://poliveirasilva.wordpress.com http://www.tiespecialistas.com.br/author/paulo-oliveira/
    quinta-feira, 13 de janeiro de 2011 01:49
  • Amigão por curiosidade porque vc tem dois ISA na empresa??

     Porque você vão usa o proprio 192.168.0.2 para fazer esse site to site?


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quinta-feira, 13 de janeiro de 2011 04:29
  • Amigão você pode também ao invés de criar a rota no ISA 192.168.0.2 criar a rota diretamente nos clientes

    route add 192.168.1.0 MASK 255.255.255.0 192.168.0.5 -P

    Mais Felipe eu tenho 500 estações!

    script+GPO


    Fazzani - MCP, MCSA, MCTS-ISA,VISTA
    quinta-feira, 13 de janeiro de 2011 05:19
  • Paulo, de spoofing, já nào aparecia, pq eu tinha desabilitado o Spoofing com um tutorial que manda eu ir no registro de cada isa e desabilitar.

    os unicos erros que dão são os abaixo:

    CIFS 445 (Closed Connection)
    A connection was abortively closed after one of the peers sent a RST segment.

    NetBios Name Server 137 (Closed Connection)
    A connection was gracefully closed in an orderly shutdown process with a three-way FIN-initiated handshake

    Note que não aparece nada dizendo que foi negado e sim que foi fechado.

    quinta-feira, 13 de janeiro de 2011 10:55
  • Felipe, era assim antes de adiquirirmos um novo link.

    Coloquei outro isa pois deixei dedicado um outro link, neste novo ISA, só para fazer a conexão com a filial, devido aos acessos de SQL Server e de arquivos.

    Já o isa principal é dedicado a servir internet e publicar o site e o FTP da empresa.

    Abraços!

    quinta-feira, 13 de janeiro de 2011 10:57
  • Felipe Bom dia,

    Mais é como te falei, as maquinas que tem o ISA 192.168.0.2 como o GW padrao e acessam a filial pelo ISA 192.168.0.5, funcionam normal.

    O problema é para acessar da filial  para a MATRIZ, note que a filial tem um gateway só!

    Ao tentar acessar da filial á matriz (em uma máquina que está com o GW padrão 192.168.0.2) não funciona. Ressalto que o acesso é de uma maquina 192.168.1.0 (Filial) á uma maquina 192.168.0.0 (Matriz), pois o inverso funciona normalmente.

    Porém se eu pegar essa estação da matriz e colocar o GW padrão dela como 192.168.0.5, funciona normamente, ou seja, consigo de uma maquina da filial 192.168.1.0 acessar um compartilhamento nessa maquina na matriz 192.168.0.0.

     Note também os pings funcionam em qualquer situação.

    OBS: encontrei um artigo também falando sobre o protocolo CIFS tentei, mais não consegui, vou postar aqui pra ver se ajudar em algo a pensar.

    www.containersol.com.br/cifs.pdf

    www.containersol.com.br/cifs2.pdf

    quinta-feira, 13 de janeiro de 2011 11:17
  • Bom dia Pedro,

    para facilitar o debug e não compremeter os seus firewalls, habilite novamente a detecção de spoofing.

    Vc pode postar as configurações (IP, mask, gw e dns) das suas placas de rede dos dois firewalls ISA?

    Se vc tb puder postar a tabela de roteamento dos dois firewalls seria de grande ajuda.

    Atenciosamente,

    Paulo Oliveira.


    Paulo Oliveira Blogs: http://poliveirasilva.wordpress.com http://www.tiespecialistas.com.br/author/paulo-oliveira/
    quinta-feira, 13 de janeiro de 2011 12:14
  • Prezados, obrigado pela atenção, mas realmente desiste do ISA Server, a solução foi trocar o servidor ISA em cada uma das pontas por um roteador MIROTIK, e assim com o mesmo configurei um tunel em cima da internet em bridge, e assim consegui oque eu queria e inclusive sem rotear, ou seja, funciona como se fosse dois switchs interligados pela internet, as maquinas dos dois lugares troquei tudo para mesma faixa de IP.

    Conclusão: Realmente o isa não serve para fazer roteamento em dois escritórios usando dois pontos de internet, ou realmente a forma de fazer deve ser muito avançada para o nosso entendimento. O roteador mirotik me economizou uma baba com servidor e com licenças.

    quarta-feira, 9 de fevereiro de 2011 12:55