none
Implementar VPN entre filiais com link dedicado !! RRS feed

  • Pergunta

  • Blz  galera !!

     

    Seguinte  

     

    Estou querendo implementar  VPN para interligar 2 filiais a Matriz, adquirimos um link de VPN da GVT que interliga a matriz  e as filiais diretamente sem precisar da internet.

     

    Utilizo o ISA 2006 e já tenho uma VPN ativada na qual os user podem discar de fora e se conectar na rede.

     

    Estou com duvida na implementação dessa vpn dedicada que acertamos com a GVT , minha rede esta da seguinte forma

     

    Matriz -   ISA 192.168.1.2  PL rede interna  e 200.34.5...  PL Rede externa

    Minha internet e controlada pelo isa  na matriz

     

                    Servidor AD/DNS/DHCP – 192.198.1.1  Gtw 192.168.1.2

     

    VPN da GVT chega na matriz com ip 192.168.1.10

     

    Na filial 1

    VPN chega na rede com ip 192.168.2.10

     

    Na filial 2

    VPN chega na rede com  ip 192.168.3.10

     

    Como posso interligar a matriz as filiais como uma só rede e qual a melhor forma

     

    Desde já obrigado

    quinta-feira, 9 de julho de 2009 19:57

Respostas

  • Primeiro, esqueça o seu acesso externo, não precisaremos dele, também não é necessário as informações de gateway, dhcp e dns, vamos nos concentrar nos ranges das redes internas, e dos roteadores da GVT.
    Vamos supor que a rede interna da tua filial tem range 192.168.4.0/24

    Então ficamos com o seguinte cenário:
    REDE DA MATRIZ: 192.168.1.0/24 / ROUTER GVT VPN: 192.168.2.10
    REDE DA FILIAL: 192.168.4.0/24 / ROUTER GVT VPN: 192.168.3.10

     - Primeiro, se você já não tiver feito isso, precisará adicionar um segundo site no Active Directory Sites and Services relacionado a filial, informando o range 192.168.4.0/24 e que a comunicação será feita por IP, validando as configurações para que os serviços de replicação funcionem normalmente entre as duas redes;

     - Garantir que as configurações de DNS estão ok tanto para filial quanto para matriz, e que uma resolve o nome da outra e vice-versa;

     - Adicionar uma terceira placa de rede no ISA da Matriz e no ISA da Filial, e nomear a conexão como MATRIZ-FILIAL;

     - Na placa de rede adicional no ISA da Matriz, configure um ip do range do ROUTER GVT VPN da Matriz, por exemplo:
    IP: 192.168.2.11

     - Na placa de rede adicional no ISA da Filial, configure um ip do range do ROUTER GVT VPN da Filial, por exemplo:
    IP: 192.168.3.11

     - Conecte a placa de rede adicional do ISA da Matriz ao ROUTER GVT VPN da Matriz e a placa de rede adicional do ISA da Filial ao ROUTER GVT VPN da Filial;

    - No ISA da Matriz, abra um prompt de comando, e digite o seguinte comando:
    route add 192.168.4.0 mask 255.255.255.0 192.168.2.10 -p

    - No ISA da Filial, abra um prompt de comando, e digite o seguinte comando:
    route add 192.168.1.0 mask 255.255.255.0 192.168.3.10 -p

    - Tanto no ISA da Matriz quanto no ISA da Filial, configure a seguinte regra:
    ORIGEM: REDE INTERNA
    DESTINO: MATRIZ-FILIAL
    PROTOCOLO: TODOS
    USER: ALL USERS

    Pode ser que precise mais algum detalhe de liberação, DHCP, DNS, ou algo assim, mas basicamente o cenário para te atender é este.
    Se útil, classifique

    []´s


    Ajude a melhorar a eficiência nas buscas, se foi útil, classifique. {http://rafaelcmachado.spaces.live.com} Rafael Carneiro Machado
    • Marcado como Resposta Everton-TI quinta-feira, 16 de julho de 2009 15:42
    sexta-feira, 10 de julho de 2009 12:36

Todas as Respostas

  • Olá Everton,

    pelo que entendi você não utlizará o ISA como servidor de VPN entre esses sites e sim o link provido pela GVT. Nesse caso, todo o roteamento de como as outras filiais acessarão a matriz tem que ser feito nos roteadores de sua prestadora de serviço.

    Não esqueça apenas de adicionar os ranges de rede das filiais no definição de Rede Interna do ISA.


    Atenciosamente,
    Paulo Oliveira.
    MCP ISA Firewall 2004 Blog: http://paulooliveirasilva.spaces.live.com/blog
    quinta-feira, 9 de julho de 2009 21:04
  • Ola Paulo dede já obrigado !!

     

    Mas como  ficaria minha configuração de rede para acessar as filiais ?

     

    O gateway que eu uso na matriz é o IP do meu ISA  se eu colocar o gateway  do roteador da GVT VPN da matriz que é 192.168.1.10 eu consigo ping no roteador VPN das filiais porem  os email e o  servidor AD que tem o BANCO de dados não acessam a internet,   não funcionam sem o gatway 192.168.1.2 que é do ISA.

     

    Como seria essa configuração ???  

     

    Valeu !!!

    quinta-feira, 9 de julho de 2009 21:36
  • Everton,

    você pode postar um desenho da sua rede atualmente?


    Atenciosamente,
    Paulo Oliveira.
    MCP ISA Firewall 2004 Blog: http://paulooliveirasilva.spaces.live.com/blog
    quinta-feira, 9 de julho de 2009 21:54

  • Blz

    ISA  Placa rede Interna  192.168.1.2  / 255.255.255.0 /

             Placa rede Externa   234.34.3.43  /  255.255.255.0 / Gateway 234.34.3.44 / DNS 200.175.5.139

     

    Server Rede  AD/ DNS / DHCP / Banco

    IP 192.168.1.1 / 255.255.255.0 / Gateway 192.168.1.2 / DNS  192.168.1.1

     

    Roteador GVT VPN 192.168.1.10

     

    Filal 1

    Roteador GVT VPN 192.168.2.10

     

    Filial 2

    Roteador GVT VPN 192.168.3.10

    Desde já obrigado

    quinta-feira, 9 de julho de 2009 22:03
  • Primeiro, esqueça o seu acesso externo, não precisaremos dele, também não é necessário as informações de gateway, dhcp e dns, vamos nos concentrar nos ranges das redes internas, e dos roteadores da GVT.
    Vamos supor que a rede interna da tua filial tem range 192.168.4.0/24

    Então ficamos com o seguinte cenário:
    REDE DA MATRIZ: 192.168.1.0/24 / ROUTER GVT VPN: 192.168.2.10
    REDE DA FILIAL: 192.168.4.0/24 / ROUTER GVT VPN: 192.168.3.10

     - Primeiro, se você já não tiver feito isso, precisará adicionar um segundo site no Active Directory Sites and Services relacionado a filial, informando o range 192.168.4.0/24 e que a comunicação será feita por IP, validando as configurações para que os serviços de replicação funcionem normalmente entre as duas redes;

     - Garantir que as configurações de DNS estão ok tanto para filial quanto para matriz, e que uma resolve o nome da outra e vice-versa;

     - Adicionar uma terceira placa de rede no ISA da Matriz e no ISA da Filial, e nomear a conexão como MATRIZ-FILIAL;

     - Na placa de rede adicional no ISA da Matriz, configure um ip do range do ROUTER GVT VPN da Matriz, por exemplo:
    IP: 192.168.2.11

     - Na placa de rede adicional no ISA da Filial, configure um ip do range do ROUTER GVT VPN da Filial, por exemplo:
    IP: 192.168.3.11

     - Conecte a placa de rede adicional do ISA da Matriz ao ROUTER GVT VPN da Matriz e a placa de rede adicional do ISA da Filial ao ROUTER GVT VPN da Filial;

    - No ISA da Matriz, abra um prompt de comando, e digite o seguinte comando:
    route add 192.168.4.0 mask 255.255.255.0 192.168.2.10 -p

    - No ISA da Filial, abra um prompt de comando, e digite o seguinte comando:
    route add 192.168.1.0 mask 255.255.255.0 192.168.3.10 -p

    - Tanto no ISA da Matriz quanto no ISA da Filial, configure a seguinte regra:
    ORIGEM: REDE INTERNA
    DESTINO: MATRIZ-FILIAL
    PROTOCOLO: TODOS
    USER: ALL USERS

    Pode ser que precise mais algum detalhe de liberação, DHCP, DNS, ou algo assim, mas basicamente o cenário para te atender é este.
    Se útil, classifique

    []´s


    Ajude a melhorar a eficiência nas buscas, se foi útil, classifique. {http://rafaelcmachado.spaces.live.com} Rafael Carneiro Machado
    • Marcado como Resposta Everton-TI quinta-feira, 16 de julho de 2009 15:42
    sexta-feira, 10 de julho de 2009 12:36
  • Blz Obrigado  !!

    Vou implementar e postar o resultado

    Duvida  - Nao teriamos um router ou outra forma de rotiarmos as duas filiais com a matriz tenho receio de sobrecaregar o ISA que tem que da conta de uma conexao de 1 mb full a demanda é grande ??

    Valeu pela força

    sexta-feira, 10 de julho de 2009 21:52
  • Pode sim, você pode colocar um roteador em cada ponta, e configurar esse roteamento através dele. Porém aí você precisará informar as estações de que caso queiram acessar a outra rede da empresa, deverão sair pelo ip do roteador e não pelo default gateway deles que é o ISA. Neste caso você pode configurar esse redirecionamento pelo ISA, mas aí a carga que é a sua preocupação continua caindo toda sobre ele, ou configurar a rota para isso em cada estação do domínio, você pode fazer isso por login script, ou pelas opções do DHCP.

    Não esqueça de classificar o post.
    []´s
    Ajude a melhorar a eficiência nas buscas, se foi útil, classifique. {http://rafaelcmachado.spaces.live.com} Rafael Carneiro Machado
    segunda-feira, 13 de julho de 2009 12:48
  • Blz Rafael Obrigado pelas Dicas

     

    Eu tenho 2 filiais terei que adicionar uma placa de rede e um ranger para cada uma no isa da matriz,  já que um é 192.168.2.10 e outra filial é 192.168.3.10 .

     

    Eu não uso o ISA nas filiais que são em outras cidades, usam direto modem dlink 500 eu teria que usar o ISA ??

     

    Qual o método que vc me aconselharia ??

     

    Desde já obrigado

    segunda-feira, 13 de julho de 2009 18:29
  • Se for link dedicado para conexão WAN não precisa, basta configurar o roteamento conforme eu te falei.

    Não esqueça de classificar o post.
    []´s
    Ajude a melhorar a eficiência nas buscas, se foi útil, classifique. {http://rafaelcmachado.spaces.live.com} Rafael Carneiro Machado
    segunda-feira, 13 de julho de 2009 18:39
  • Blz Rafael obrigado pela ajuda

    Ultima duvida como eu informo as estaçoes conforme vc me escreveu   ???

    " Porém aí você precisará informar as estações de que caso queiram acessar a outra rede da empresa, deverão sair pelo ip do roteador e não pelo default gateway deles que é o ISA"

    Valeu

    quinta-feira, 16 de julho de 2009 15:46
  • Adiciona a rota manualmente em cada estação, ou você pode passar a configuração através de uma opção própria para isso no servidor DHCP. No histórico aqui do fórum tem a informação.

    Grande abraço.


    Ajude a melhorar a eficiência nas buscas, se foi útil, classifique. {http://rafaelcmachado.spaces.live.com} Rafael Carneiro Machado
    quinta-feira, 16 de julho de 2009 17:02
  • Prezados, bom dia!!

    Estou com o mesmo problema, o grande lance é que tenho as filias todas interligadas inclusive tenho até um tutorial de como fazer no ISA SERVER caso interesse pra alguem, porém o problema é que eu pingo os IPs da da filial e os da matriz normalmente, porém o trafego ao abrir compartilhamento de arquivos ocorre um erro. após monitorar esse erro vi que os principais problemas eram nos seguintes protocolos abaixo.

    CIFS 445
    A connection was abortively closed after one of the peers sent a RST segment.

    NetBios Name Server 137
    A connection was gracefully closed in an orderly shutdown process with a three-way FIN-initiated handshake

    Depois de varios testes notei que o problema é que na Matriz eu tenho dois Gateways, o primeiro 192.168.0.2 o segundo 192.168.0.5 onde o segundo é quem faz o roteamento para minha filial 192.168.1.X.

    Quanto tento acessar \\192.168.40\c$, da maquina 192.168.1.17 diz que não consegue alcançar o caminho de rede.

    porém se eu pegar a configuração da placa de rede de:

          IP:   192.168.0.40

          MK:  255.255.255.0

          GW:  192.168.0.2

          DNS: 192.168.0.1

    para:

          IP:   192.168.0.40

          MK:  255.255.255.0

          GW:  192.168.0.5

          DNS: 192.168.0.1

    Passa a funcionar o acesso, porém as máquinas da propria rede 192.168.0.x param de acessar,  alguem pode me ajudar?

    segunda-feira, 10 de janeiro de 2011 11:22