none
Bloqueio ao acesso VNC atravéz de VPN RRS feed

  • Pergunta

  • Pessoal,
    Estou com o seguinte problema, após estabelecer uma conexão VPN com um cliente eu não consigo me conectar em nenhuma estação liberada por eles, o log do ISA 2006 não mostra o bloqueio mas creio que só pode ser ele que está bloqueando, já que testei o mesmo acesso via 3G e consgeui acessar a estação normalmente.
    Alguem sabe que tipo de regra devo criar para resolver o problema?
    Grato.
    Fábio Nascimento
    sexta-feira, 6 de março de 2009 12:00

Respostas

  • Brother,

    Vc necessita do Firewall Client instalado em sua rede????
    Repetindo, como em vários posts já ditos, a instalação do Firewall Client só se faz necessária se vc utiliza clientes SOCKS? Você tem algum cliente SOCKS em sua rede?
    Neste caso trabalhe somente com o WebProxy e com o SecureNat!
    Para trabalhar com os dois vou te explicar melhor:
    WebProxy: Crie uma GPO para sua rede determinando o proxy do IE dos terminais.Lembrando que o proxy é o IP do ISA acompanhado com uma porta(Geralmente a porta padrão do ISA é a 8080). Vá em Configurações de Usuário > Configurações do Windows . Manutenção do IE > Conexão > Configuração de Proxy. Ative esta opção e coloque o seu endereço proxy.
    SecureNat: Adicione um gateway nos terminais. Neste caso, se vc tiver um DHCP ativado em seu server, somente adicione a opção de router, e coloque o IP do ISA.

    espero ter ajudado...
    OBS: Se útil, não esqueça de marcar como resposta.
    Diogo Ramos - IT Security
    • Marcado como Resposta Fábio-TI terça-feira, 10 de março de 2009 19:22
    segunda-feira, 9 de março de 2009 14:53
  • Fábio,

    O firewall client é recomendado apenas quando se utilizam aplicações SOCKS...acredito que nao seja o seu caso.

    Sim s evc tira ro client e utilizar apenas o webproxy vc consegue monitorar os usuario pelo seu nome, porem com um adendo.
    Sua regra de liberação de internet deve conter apenas USUARIOS AUTENTICADOS, se vc deixar ALL USERS vc nao pégará absolutamente nada  nao ser IP. Ok??

    Espero ter ajudado.

    Se util nao esuqçea de classificar.

    abraços
    Luiz Fernando Dias
    segunda-feira, 9 de março de 2009 19:43
    Moderador

Todas as Respostas

  • Olá Fábio,

    essa é uma conexão s2s (site-to-site)? Se sim, talvez o firewall de seu cliente possa estar bloqueando seu acesso, uma vez que o seu firewall está liberando.

    Atenciosamente,
    Paulo Oliveira.
    sexta-feira, 6 de março de 2009 12:03
  • Paulo, eu nao creio que seja este o problema, uma vez que ele tentou pelo modem 3g e conseguiu.

    Fabio, quando voce tenta pela conexa VPN do seu computador, voce está ligado diretamente na internet ou voce está na rede ?
    Pode ser um problema na sua rede.

    Quando voce faz logg no ISA , pelomenos mostra voce acessando ?

    Abraços.

    msn : nikxx@bol.com.br
    sexta-feira, 6 de março de 2009 12:51
  •  Fabio,

    Vc precisa ver se a porta que o VNC esta utilizando para fazer essa coenxão esta liberada.
    Por default o VNC utiliza as portas 5900 para aceitar conexões, se o seu ISA nao estiver com essa porta liberada ele nao vai funcionar.

    abraços
    Luiz Fernando Dias
    sexta-feira, 6 de março de 2009 14:28
    Moderador
  • Luiz,

    Vi um post antigo seu explicando mais ou menos isso, vc dizia que além de liberar a porta deveria ser adicionado o range da rede de destino para trafegar no isa.

    Eu não entendi o que quiz dizer, poderia me explicar melhor?

    Enquanto isso vou tentar liberando a porta 5900.

    Valeu.


    Fábio Nascimento
    sexta-feira, 6 de março de 2009 17:00
  •  Fabio,

    Sobre liberar o range, voce precisa criar uma regra assim

    Exemplo:

    Permitir Acess > Allow > Todos os Protocolos > Rede de Destino > ISA e Rede Interna.

    Acho que é essa sua dúvida.

    Abraços.
    msn : nikxx@bol.com.br
    sexta-feira, 6 de março de 2009 17:56
  • Fabio,

    Kbeça falou acima,

     

    faz o teste..

    no aguardo

    abraços


    Luiz Fernando Dias
    sexta-feira, 6 de março de 2009 18:04
    Moderador
  • Pessoal,
    Criei a regra sugerida pelo Kbça e uma outra liberando as portas de 5800 a 5900, porém eu só consigo me conectar na estação se desabilitar o firewall client, faltou fazer alguma coisa ou algo está errado?
    Fábio Nascimento
    segunda-feira, 9 de março de 2009 14:36
  • Firewall client do ISA ou o firewall do Windows?
    Luiz Fernando Dias
    segunda-feira, 9 de março de 2009 14:45
    Moderador
  • Brother,

    Vc necessita do Firewall Client instalado em sua rede????
    Repetindo, como em vários posts já ditos, a instalação do Firewall Client só se faz necessária se vc utiliza clientes SOCKS? Você tem algum cliente SOCKS em sua rede?
    Neste caso trabalhe somente com o WebProxy e com o SecureNat!
    Para trabalhar com os dois vou te explicar melhor:
    WebProxy: Crie uma GPO para sua rede determinando o proxy do IE dos terminais.Lembrando que o proxy é o IP do ISA acompanhado com uma porta(Geralmente a porta padrão do ISA é a 8080). Vá em Configurações de Usuário > Configurações do Windows . Manutenção do IE > Conexão > Configuração de Proxy. Ative esta opção e coloque o seu endereço proxy.
    SecureNat: Adicione um gateway nos terminais. Neste caso, se vc tiver um DHCP ativado em seu server, somente adicione a opção de router, e coloque o IP do ISA.

    espero ter ajudado...
    OBS: Se útil, não esqueça de marcar como resposta.
    Diogo Ramos - IT Security
    • Marcado como Resposta Fábio-TI terça-feira, 10 de março de 2009 19:22
    segunda-feira, 9 de março de 2009 14:53
  • Luiz,
    É o firewall client do ISA mesmo.

    Diogo,

    Eu utilizo o firewall client para autenticar os usuários, antes no log do isa eu via apenas os IP´s.

    Também utilizo o secureNat, com a configuração descrita por você.

    Minha dúvida é: se eu tirar o firewall client e fizer esse procedimento do proxy vou conseguir por exemplo monitorar as conexões visualizando o nome do usuário? quando eu for visualizar o relatório  dos usuários que mais acessam a internet conseguirei ver da mesma forma (dominio\usuário)?

    Grato.


    Fábio Nascimento
    segunda-feira, 9 de março de 2009 19:10
  • Fábio,

    O firewall client é recomendado apenas quando se utilizam aplicações SOCKS...acredito que nao seja o seu caso.

    Sim s evc tira ro client e utilizar apenas o webproxy vc consegue monitorar os usuario pelo seu nome, porem com um adendo.
    Sua regra de liberação de internet deve conter apenas USUARIOS AUTENTICADOS, se vc deixar ALL USERS vc nao pégará absolutamente nada  nao ser IP. Ok??

    Espero ter ajudado.

    Se util nao esuqçea de classificar.

    abraços
    Luiz Fernando Dias
    segunda-feira, 9 de março de 2009 19:43
    Moderador
  • Valeu pela dica, vou ver se removo e deixo só por conta do web proxy.
    Obrigado a todos.


    Fábio Nascimento
    terça-feira, 10 de março de 2009 19:24
  • Brother,

    Segue as dicas do brother Luiz, que vc vai pra frente, mas não esqueça de marcar a resposta do brother que tb te ajudou ai.

    Valeu e abraços.


    Diogo Ramos - IT Security
    terça-feira, 10 de março de 2009 20:47