none
Duvidas com ISA EE RRS feed

  • Pergunta

  • Olá pessoal

     

    Estou configurando um novo servidor( ISA 2006 EE)  pararelo ao atual (ISA 2000) e estou com algumas duvidas:

     

    Configurei o VPN server mas a comunicaçao dos vpn clients so funciona se estiver com a opçao de gateway remoto estiver selecionada.

    Eu ja li varios tutoriais e aparenemente tudo esta correto.Estou usando ip automatico na vpn.Seria uma configuraçao de RAS ?

     

    Outra duvida é sobre subredes.Apesar de nao ter encontrado um tutorial sobre configuraçao da subrede , (achei apenas como criar ) eu criei a rede , criei o network rule , configurei a policy.A  comunicaçao so funcionou corretamente desativando o ip spoofing e na network rule fazendo NAT. Esse roteamento so funciona com NAT ? ou eh isso foi problema de configuraçao ?

    O Ip spoofing , uma vez criado a subrede, network rule e policy e ainda o isa dropando os pacotes, como resolver este problema sem desativar o ip spoofing?

     

    Obrigado

    segunda-feira, 11 de junho de 2007 13:32

Todas as Respostas

  • Mano tem como tu passar teu cenário p/ que possamos visualizar sua rede e possamos dar a melhor solução... abs do amigo Maycon Alves!!
    terça-feira, 12 de junho de 2007 16:08
  • Olá,

     

    Imagino que você configurou manualmente o range ip da VPN para um range que não é o de sua rede interna, correto? Se sim, é normal que não funcione com a opção de gateway de rede remota desmarcado. Por padrão o ISA roteia os pacotes da rede de VPN para a sua rede interna. O seu cliente remoto não sabe para onde enviar os pacotes referentes a sua rede interna. Sendo assim, seus clientes VPN não conseguem se comunicar com a rede interna. Você já verificou qual o ip seus clientes VPN recebem?Monitore as tentativas de acesso dos clientes.

     

    Sobre a segunda pergunta, para que o ISA reconheça redes que não estão diretamente conectadas a ele, o mínimo que ele precisa é conhecer uma rota para a subrede em questão. Assim ele pode direcionar os pacotes para o destino desejado. Não existe limitação sobre rotear ou fazer nat entre subredes.

     

    []´s

    Alberto

    segunda-feira, 18 de junho de 2007 03:34
    Moderador
  • Obrigado pelas respostas

     

    Eu configurei manualmente a vpn e coloquei outra faixa de ip uma vez que eu nao posso colocar alguns ips da mesma faixa da rede interna.

    Na faixa de ip da vpn coloquei 192.168.2.x

    VPN gateway  192.168.2.1

    E minha rede interna eh 192.168.10.x

    Nesse caso com ficaria minha rota ? tem que ser uma rota persistente ?

     

    Obrigado e aguardo

    quarta-feira, 20 de junho de 2007 14:36
  • Obrigado pela ajuda alberto

     

    A VPN eu resolve usando DHCP e atribuindo alguns ip na mesma faixa da rede interna.. desse modo esta funcionando tudo corretamente , nao tenho nenhum erro , tudo ok , mas no log do isa  os acessos sao registrados como interno e nao como vpn clients. Teria como resolver isso ?

     

    Mas o problema maior é com minhas subnets, o Isa esta dropando tudo.Eu ja verifiquei tudo li varios tutoriais e nao consigo entende pq ele dropa todos os pacotes.

     

    A rede interna so tem a faixa de ip da rede interna: 192.168.10.0

    Criei as subredes separadas com suas respectivas faixa.

    Criei o network rule com route do internal para subnet

    A policy esta ok tb pq o erro é de spoofing ele esta passando pela policy normalmente ,mas dropa tudo:
    FWX_E_FWE_SPOOFING_PACKET_DROPPED

    Eu ta adicionei as rotas manualmente e inclusive conferi as rotas do  servidor ISA 2000 (atual isa rodando) e nao funciona..

    E quando eu fiz o teste o servidor ISA 2000 estava OFF.

    Ja ate desabilitei o IP Spoofing mas mesmo assim nao funcionou ficou dando ERROR_SUCCESS

     

    Por favor preciso de opinioes

     

    Obrigado

    quarta-feira, 27 de junho de 2007 18:58
  • Grande Totta. Tudo bem contigo?

    Olha, a mensagem FWX_E_FWE_SPOOFING_PACKET_DROPPED surge quando o ISA Server recebe um pacote com um endereço IP através de uma interface através da qual ele não poderia ser alcançado.

    Por exemplo, você tem um ISA Server com três interfaces: Externa, Interna (192.168.0.0/24) e Perímetro (172.16.0.0/24). Através da placa de rede interna do ISA você pode chegar outras sub-redes de filiais (192.168.16.0/24, 192.168.17.0/24) por um roteador X. Você configurou o objeto Internal Network com as redes das filiais.

    Contudo, roteador da rede interna danificou e durante uma mudança na infra-estrutura de rede, você configurou um outro roteador na rede 172.16.0.0/24 para encaminhar os pacotes para as filiais, bem como configurou o objeto Perimeter Network do ISA Server com os IPs das redes das filiais. Porém, você acabou esquecendo-se de alterar as rotas para saírem através do roteador da rede de perímetro.

    Com as rotas ainda apontando para sair pelo roteador quebrado, os pacotes que chegam através da interface de perímetro do ISA começam a ser descartados com a mensagem acima.

    Portanto, tenta dar uma checada nas rotas e nos objetos Network para saber se não há algum problema de configuração ou de roteamento.

    Há um artigo na Microsoft que mostra como desativar o IP Spoof Detection Feature. Caso queira desativar, abaixo está o artigo:

    http://support.microsoft.com/kb/838114/en-us

    Porém, não recomendamos a desativação deste recurso pois aumentaria a vulnerabilidade de seu firewall. Procure dar prioridade em resolver as questões relativas ao roteamento. Uma outra coisa é que o artigo trata do ISA 2004; não há referências da desativação do Spoof Detection para o ISA 2006.

    Se precisar de qualquer ajuda, estamos à disposição.

    Não esqueça-se de informar se esta postagem foi útil a ti, para que outros usuários possam localizá-la mais facilmente.

    Um grande abraço!!!

    sexta-feira, 29 de junho de 2007 02:26
  • Olá,

     

    Você tem várias subnets em sua rede, certo? O ISA vai identificar o spoof porque você, apesar de ter rotas e redes, não informou a ele por qual interface os pacotes vão chegar. Ele até conhece a rede, mas não sabe de onde deve receber os pacotes. Não sei quais os requitos de acesso que você deseja prover entre as redes, mas você pode colocar os ranges dentro da sua rede internal . Com as rotas, mesmo não tendo ip configurado na placa, ele sabe por onde o pacote chega e sabe como processar. Se você quiser colocar mais detalhes do ambiente para fornecermos uma solução mais completa, sinta-se a vontade.

     

    []'s

    Alberto

    terça-feira, 3 de julho de 2007 18:13
    Moderador