none
Rotas estaticas entre Matriz e Filiais RRS feed

 > 

  • Pergunta

  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Olá pessoal.

    Aqui na empresa, estamos num projeto de implantação de ISA SERVER, atualmente nossos servidores Firewall/Proxy são em Linux.

    Estamos com dificulades em fazer a comunicação entre as redes. Trabalhamos com link da embratel e em cada unidade temos um link de internet e um link mpls que faz a ligações entre as mesmas.
    Meu cenário de rede interna é o seguinte:

    Matriz  - 192.168.0.0/24 gtw(roteador embratel) 192.168.0.253
    Filial01 - 192.168.1.0/24 gtw(roteador embratel) 192.168.1.253
    Filial02 - 192.168.2.0/24 gtw(roteador embratel) 192.168.2.253
    Filial03 - 192.168.3.0/24 gtw(roteador embratel) 192.168.3.253

    Esse gtw que coloquei é para o acesso interno entre as mesmas, não vms falar de acesso externo aqui, ok.
    Muito bem, nos servidore linux, tenho configuradas rotas estaticas em cada um deles e o acesso funciona bem.
    Estamos tentando colocar isso no servidor ISA mas não estamos tendo sucesso. Já fiz a configuração atraves do PROMPT usando ROUTE ADD, no servidor, do servidor pras outras redes funcionou perfeitamente, agora dos terminais de uma rede pra outra não funciona.

    Já vasculhei no ISA alguma opção onde eu adiciono as redes e consiga apontar o gtw pra saída, pois toda a configuração do roteamento entre as redes é por conta da embratel, temos somente que apontar esses gtw.

    Ajudem ai galera.

    quarta-feira, 24 de fevereiro de 2010 20:21
    |

Respostas

  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Vc criou uma Network referente a cada filial sua?

    E liberou a comunicação entre as redes?
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    • Marcado como Resposta RenanMendes quarta-feira, 10 de março de 2010 15:10
    quarta-feira, 24 de fevereiro de 2010 20:38
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Fala Renan!

    Você falou que o roteamento é por conta da embratel.

    Pergunta: Em cada localidade quem é o gateway das estações?

    tnosch
    • Marcado como Resposta RenanMendes quarta-feira, 10 de março de 2010 15:10
    quarta-feira, 24 de fevereiro de 2010 21:23
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Como o David falou, deve existir regras de firewall liberando as redes entre si.

    Obviamente que os objetos NETWORK como cada range tb devem estar criados.


    estao?

    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    • Marcado como Resposta RenanMendes quarta-feira, 10 de março de 2010 15:10
    quinta-feira, 25 de fevereiro de 2010 17:14
    |
    Moderador
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Seria melhor vc criar uma network para cada filial sua e fazer a liberação.

    Vc consegue pingar todos seus ISA, de filias diferentes??





    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    • Marcado como Resposta RenanMendes quarta-feira, 10 de março de 2010 15:10
    sexta-feira, 26 de fevereiro de 2010 14:47
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Como o David disse o ideal é vc ter cada range de cada filial com um objeto network

    Assim vc consegue criar as regras, ter mais granularidade nas liberações e bloqueios, alem de poder configurar ocrretamente o tipo de roteamento entre as redes...
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    • Marcado como Resposta RenanMendes quarta-feira, 10 de março de 2010 15:10
    sexta-feira, 26 de fevereiro de 2010 15:11
    |
    Moderador
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Sim... o GTW tem q ser da MPLS.
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    • Marcado como Resposta RenanMendes quarta-feira, 10 de março de 2010 15:10
    segunda-feira, 1 de março de 2010 11:40
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Ola Renan! Bom se ainda não conseguiu resolver vou te passar a experiencia que tive entre MPLS e firewall ISA.
     
    Temos duas situações o MPLS e a saida dos que estão na sua rede interna seja na matriz ou na filial para externo.

    De inicio voce deve visualizar a rede entre a matriz e as filiais, MPLS que isso não é tratado como rede externa,vou pontuar como deve proceder:

    Ligue o router MPLS no Swicth da rede interna ou em uma placa periferica no isa, essa placa fica sem gateway. Seu unico gateway no Isa é o router de internet.

    A Embratel entrega a rede transparente, ja com o ip local, mas todos os seus computadores na MPLs estão apontados ao router local (192.168.x.253)como gateway e este router aponta para o router da matriz(192.168.0.253) o router da matriz precisa apontar para o  servidor isa, supomos (192.168.0.1), pois ele é o gateway principal entre as redes. Solicite a Embratel que insira essa rota estatica.

    Ative o Routing and remote Acess, em static route crie as rotas estaticas usando a interface interna, ou a periferica(depende onde ligou a rede) insira em destination 192.168.1.0 mask 255.255.255.0  gateway 192.168.1.253, faça o mesmo com a rede 192.168.2.0 e 192.168.3.0 a rede 192.168.0.0 não precisa pois é a rede interna.
    No ISA na rede interna coloque as ranges das redes, caso opte por placa periferica coloque a rede  192.168.0.0 na rede interna e as outras ranges na periferica, va em network rules e crie a relação de route entre a interna e a periferica e nas regras abra a permissão entre a rede interna e a periferica.

    Pronto!
     
    Supomos um ping do computador em 192.168.1.10 para o  192.168.0.10, vai para o gateway 192.168.1.253 que manda para o gateway 192.168.0.253 que manda para 192.168.0.1 que passa pelo rota estatica do Isa e vai para 192.168.0.10.
     O retorno 192.168.0.10 envia para o gateway ISA 192.168.0.1 que ve o destino como 192.168.1.10 encaminha para 192.168.0.253 que encaminha para 192.168.1.253 que encaminha para 192.168.1.10

    Acho que é isso, se tiver faltando algo, posta que ajudo no que puder. Quando fiz funcionou, liguei uma empresa com 15 MPLS, rede Matriz e internet e funciona certinho.

    PS: para sair pra internet do Mpls pra externo e so criar a regra permitindo a rede sair pra externo.

    Evandro   

    • Marcado como Resposta RenanMendes quarta-feira, 10 de março de 2010 15:10
    quinta-feira, 4 de março de 2010 21:58
    |

Todas as Respostas

  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Vc criou uma Network referente a cada filial sua?

    E liberou a comunicação entre as redes?
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    • Marcado como Resposta RenanMendes quarta-feira, 10 de março de 2010 15:10
    quarta-feira, 24 de fevereiro de 2010 20:38
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Fala Renan!

    Você falou que o roteamento é por conta da embratel.

    Pergunta: Em cada localidade quem é o gateway das estações?

    tnosch
    • Marcado como Resposta RenanMendes quarta-feira, 10 de março de 2010 15:10
    quarta-feira, 24 de fevereiro de 2010 21:23
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Como o David falou, deve existir regras de firewall liberando as redes entre si.

    Obviamente que os objetos NETWORK como cada range tb devem estar criados.


    estao?

    abraços
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    • Marcado como Resposta RenanMendes quarta-feira, 10 de março de 2010 15:10
    quinta-feira, 25 de fevereiro de 2010 17:14
    |
    Moderador
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Em cada localidade o GTW é o servidor Firewall/Proxy 192.168.x.254. o gtw 192.168.x.253 é somente pra sair na mpls.
    quinta-feira, 25 de fevereiro de 2010 21:25
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Na network INTERNAL padrão o range está de 192.168.0.0 a 192.168.3.255, ou seja abanje toda minha rede. Criei uma Rule Liberando da INTERNAL pra INTERNAL para All outbounb. Seria correto?
    quinta-feira, 25 de fevereiro de 2010 21:27
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Seria melhor vc criar uma network para cada filial sua e fazer a liberação.

    Vc consegue pingar todos seus ISA, de filias diferentes??





    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    • Marcado como Resposta RenanMendes quarta-feira, 10 de março de 2010 15:10
    sexta-feira, 26 de fevereiro de 2010 14:47
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Como o David disse o ideal é vc ter cada range de cada filial com um objeto network

    Assim vc consegue criar as regras, ter mais granularidade nas liberações e bloqueios, alem de poder configurar ocrretamente o tipo de roteamento entre as redes...
    Luiz Fernando Dias - MVP .::http://lfdias.mvpbrasil.com.br::.::http://lfdias.mvpbrasil.com.br/blog::.
    • Marcado como Resposta RenanMendes quarta-feira, 10 de março de 2010 15:10
    sexta-feira, 26 de fevereiro de 2010 15:11
    |
    Moderador
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Mas criando essas NETWORKS, como faço pra apontar que essa determinada rede deve sair pelo GTW da MPLS ?
    • Marcado como Resposta RenanMendes quarta-feira, 10 de março de 2010 15:10
    • Não Marcado como Resposta RenanMendes quarta-feira, 10 de março de 2010 15:10
    sexta-feira, 26 de fevereiro de 2010 19:00
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Sim... o GTW tem q ser da MPLS.
    David Dellacenta http://daviddellacenta.spaces.live.com || http://www.andersonpatricio.org || http://www.itcentral.com.br || http://lfdias.mvpbrasil.com.br || http://ffazzani.spaces.live.com
    • Marcado como Resposta RenanMendes quarta-feira, 10 de março de 2010 15:10
    segunda-feira, 1 de março de 2010 11:40
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Ola Renan! Bom se ainda não conseguiu resolver vou te passar a experiencia que tive entre MPLS e firewall ISA.
     
    Temos duas situações o MPLS e a saida dos que estão na sua rede interna seja na matriz ou na filial para externo.

    De inicio voce deve visualizar a rede entre a matriz e as filiais, MPLS que isso não é tratado como rede externa,vou pontuar como deve proceder:

    Ligue o router MPLS no Swicth da rede interna ou em uma placa periferica no isa, essa placa fica sem gateway. Seu unico gateway no Isa é o router de internet.

    A Embratel entrega a rede transparente, ja com o ip local, mas todos os seus computadores na MPLs estão apontados ao router local (192.168.x.253)como gateway e este router aponta para o router da matriz(192.168.0.253) o router da matriz precisa apontar para o  servidor isa, supomos (192.168.0.1), pois ele é o gateway principal entre as redes. Solicite a Embratel que insira essa rota estatica.

    Ative o Routing and remote Acess, em static route crie as rotas estaticas usando a interface interna, ou a periferica(depende onde ligou a rede) insira em destination 192.168.1.0 mask 255.255.255.0  gateway 192.168.1.253, faça o mesmo com a rede 192.168.2.0 e 192.168.3.0 a rede 192.168.0.0 não precisa pois é a rede interna.
    No ISA na rede interna coloque as ranges das redes, caso opte por placa periferica coloque a rede  192.168.0.0 na rede interna e as outras ranges na periferica, va em network rules e crie a relação de route entre a interna e a periferica e nas regras abra a permissão entre a rede interna e a periferica.

    Pronto!
     
    Supomos um ping do computador em 192.168.1.10 para o  192.168.0.10, vai para o gateway 192.168.1.253 que manda para o gateway 192.168.0.253 que manda para 192.168.0.1 que passa pelo rota estatica do Isa e vai para 192.168.0.10.
     O retorno 192.168.0.10 envia para o gateway ISA 192.168.0.1 que ve o destino como 192.168.1.10 encaminha para 192.168.0.253 que encaminha para 192.168.1.253 que encaminha para 192.168.1.10

    Acho que é isso, se tiver faltando algo, posta que ajudo no que puder. Quando fiz funcionou, liguei uma empresa com 15 MPLS, rede Matriz e internet e funciona certinho.

    PS: para sair pra internet do Mpls pra externo e so criar a regra permitindo a rede sair pra externo.

    Evandro   

    • Marcado como Resposta RenanMendes quarta-feira, 10 de março de 2010 15:10
    quinta-feira, 4 de março de 2010 21:58
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar
    Olá pessoal, desculpe a falta de retorno mas estava indisponivel.

    Evandro, agradeço a explicação, estarei fazendo os testes e retornando em breve.
    sábado, 6 de março de 2010 14:47
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Evandro, bom dia.

    Ainda estou com dificuldades sobre o Tópico. Tem algum email pra eu fazer um contato com vc pra discutir melhor esse caso.

    Grato.

    segunda-feira, 30 de agosto de 2010 11:58
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Ola Renan

    se ainda tiver  dificuldades para interligar sua rede manda para evandroab@msn.com, o importante é apos resolvido voce publicar aqui a solução.

     

    quinta-feira, 2 de setembro de 2010 15:12
    |
  • Question
    Entrar para Votar
    0
    Entrar para Votar

    Boa tarde,

     

    Acabei de ver sua resposta no fórum da TechNet referente à como fazer a rota entre filiais e matriz, e gostaria de uma ajuda para solucionar um problema simples comparado ao do amigo que postou a duvida. e estou a 48 horas com a filial parada, acho que vou ser demitido desse jeito.

    Eu tenho duas redes, a matriz e as filias que se conectam através da mpls da telefônica

    ISA

    IP REDE INTERNA 10.1.1.1/8

    IP REDE MPLS 192.168.0.2/24

    IP ROUTER MPLS (PONTO CONCENTRADOR) 192.168.0.1/24

    IPS DAS FILIAIS

    192.168.2.3/24

    192.168.3.3/24

    192.168.4.3/24

     

    Eu não estou conseguindo pingar minhas filiais pela rede interna, somente pelo Isa.

    Foi criada uma network com os ranges de cada filial, e estou conseguindo pingar os roteadores de cada filial e acessar internamente as maquinas conectada nele.

    Mas não estou conseguindo que as filiais cheguem até a minha rede interna na matriz, no firewall já foi liberado todo o acesso entre as redes.

    Não sei como fazer a rota de retorno liberando o acesso a minha rede interna e posteriormente liberando a internet pelo isa server para eles.

    Se puder me dar uma dica eu agradeço.

     

     

    sexta-feira, 12 de novembro de 2010 16:20
    |