none
Dificuldades com nova distribuição de IP's RRS feed

  • Pergunta

  • Pessoal é o seguinte estou passando por uma dificuldade que até então nunca tinha me deparado.

    Tenho uma empresa onde a matriz fica em uma cidade e a filial em outra, as duas estão interligadas por um link dedicado (sem internet ou VPN, um link apenas ligando os dois locais)

    Empresa 1) faixa de IP 10.10.0.0/255.255.0.0, o DHCP entrega o range 10.10.3.1 - 10.10.15.254, o gateway padrão dessa rede éo ISA Server 10.10.0.3, no ISA possui a seguinte rota  persistente 10.0.0.0 msk 255.255.248.0 10.10.0.7(Router da Operadora que linka com a outra empresa)

     

    Empresa 2) faixa de IP 10.0.0.0/255.255.248.0, DHCP entrega o range 10.0.4.1 - 10.0.7.1, o gateway padrão é outro ISA Server 10.0.3.3, esse ISA possui a rota persistente, 10.10.0.0 msk 255.255.0.0 10.0.3.6 (router da operadora que linka a outra empresa

    O Problema começa aqui.

    Qualquer teste com ping que faço por nome ou IP para qualquer máquinas das EMPRESAS 1 e 2 funciona perfeitamente.

    Mas outros serviços como acesso ao FILE SERVER, VNC, TS e outros só funciona quando é feito  EMPRESA 1 para 2, mesmo respondendo os ping não consigo acessar essas funções da EMPRESA 2 para EMPRESA 1.

    Já verifiquei FIrewalls e estão desligado, as máquinas estão com configurações de rede corretas, o que pode ser o causador desse meu problema? o que pode estar errado?

    Lembro que existem regras nos dois servidores ISA liberando todo e qualquer trafego na rede interna já até desativei o ISA para certificar que não era ele que estava fazendo os bloqueios e não era.

    Pessoal quem puder me ajudar agradeço muito esse caso é muito urgente!!!!

    terça-feira, 3 de agosto de 2010 04:24

Respostas

  • Nicholas Alexander

    Acredito que no seu caso o problema não é somente a configuração do ISA.

    Vale a pena estudar no seu caso a questão de rede.

    Sua primeira1 tem a mascara de rede 255.255.0.0 a segunda empresa tem a mascara de rede 255.255.248.0.
    Não sou especialista em rede, mas acredito que isso esteja influenciando em sua rede. Não tem como uma rede 255.255.248.0 acessar
    um rede 255.255.0.0.

    Máscara de sub-rede: A máscara é um componente importante do endereço IP. É ela que explica para o sistema operacional como é feita a divisão do endereço, ou seja, quais dos 4 octetos compõem o endereço da rede e quais contêm o endereço do host, isto é, o endereço de cada micro dentro da rede.

    Ao contrário do endereço IP, que é formado por valores entre 0 e 255, a máscara de sub-rede é formada por apenas dois valores: 0 e 255, como em 255.255.0.0 ou 255.0.0.0, onde um valor 255 indica a parte do endereço IP referente à rede, e um valor 0 indica a parte do endereço IP referente ao host dentro da rede.

    Se você está usando a faixa 192.168.0.x, por exemplo, que é um endereço de classe C, então a máscara de sub-rede vai ser 255.255.255.0 para todos os micros. Você poderia usar uma máscara diferente: 255.255.0.0 ou mesmo 255.0.0.0, desde que a máscara seja a mesma em todos os micros.

    Se você tiver dois micros, 192.168.0.1 e 192.168.0.2, mas um configurado com a máscara "255.255.255.0" e o outro com "255.255.0.0", você terá na verdade duas redes diferentes. Um dos micros será o "1" conectado na rede "192.168.0", e o outro será o "0.2", conectado na rede "192.168".

    Vou estudar também mais sobre isso e volto a postar aqui.


    Raphael Carvalho Cardoso

    terça-feira, 10 de agosto de 2010 12:38

Todas as Respostas

  • O primeiro passo que eu faria é verificar o log nos dois ISAs, filtrando IP de origem para IP de destino e analisá-lo. A primeira coisa que você precisa descobrir é onde o tráfego está sendo barrado. O log vai te falar se o tráfego saiu da empresa 2, se chegou na empresa 1, passa pelos dois ISA ou se nem chega a registrar no ISA. Verifique também o tráfego entre as placas envolvidas. Provavelmente neste tráfego, você vai querer criar uma regra de rede (Network Rule), informando ao ISA que este tráfego deve ser Roteado (ida e volta), pra ele não fazer NAT.

    Boa sorte!


    Se foi útil, não se esqueça de Marcar como Resposta. Cláudio Costa - http://claudio-costa.blogspot.com
    terça-feira, 3 de agosto de 2010 10:49
  • uma pergunta vc utiliza o uma vpn sobre o protocolo mpls?

     

    terça-feira, 3 de agosto de 2010 12:01
  • Não é uma VPN é uma VPN e sim um link direto dedicado.
    terça-feira, 3 de agosto de 2010 13:09
  • O primeiro passo que eu faria é verificar o log nos dois ISAs, filtrando IP de origem para IP de destino e analisá-lo. A primeira coisa que você precisa descobrir é onde o tráfego está sendo barrado. O log vai te falar se o tráfego saiu da empresa 2, se chegou na empresa 1, passa pelos dois ISA ou se nem chega a registrar no ISA. Verifique também o tráfego entre as placas envolvidas. Provavelmente neste tráfego, você vai querer criar uma regra de rede (Network Rule), informando ao ISA que este tráfego deve ser Roteado (ida e volta), pra ele não fazer NAT.

    Boa sorte!


    Se foi útil, não se esqueça de Marcar como Resposta. Cláudio Costa - http://claudio-costa.blogspot.com

    Conferi e não existe qualquer Network Rule criada em nenhum dos ISA Servers, apenas o roteamento criado no command, (as rotas são mostradas acima),  a forma que está feito hoje não é a recomendavel? É imprescindivel a criação da network rule?
    terça-feira, 3 de agosto de 2010 13:57
  • É sim, caso contrário o ISA vai negar o tráfego, provavelmente considerando o tráfego como spoofing. Você vai ter que criar os objetos das redes no ISA e criar as regras de relacionamento entre elas, falando que o tráfego entre elas é roteado. Entendeu? Se precisa de mais alguma informação, me avisa.
    Se foi útil, não se esqueça de Marcar como Resposta. Cláudio Costa - http://claudio-costa.blogspot.com
    terça-feira, 3 de agosto de 2010 14:54
  • É sim, caso contrário o ISA vai negar o tráfego, provavelmente considerando o tráfego como spoofing. Você vai ter que criar os objetos das redes no ISA e criar as regras de relacionamento entre elas, falando que o tráfego entre elas é roteado. Entendeu? Se precisa de mais alguma informação, me avisa.
    Se foi útil, não se esqueça de Marcar como Resposta. Cláudio Costa - http://claudio-costa.blogspot.com

    Já entendi a solução do problema, a única duvida que sobrou é se devo criar a regra no ISA dos dois lados e se existe alguma configuração específica para essas regras. Ou se apenas crio a Network Rule e crio uma regra liberando os protocolos desejados tanto para entrada como para saida.
    terça-feira, 3 de agosto de 2010 20:32
  • Pessoal não consegui criar a rota no ISA, a rota que preciso é a seguinte;

     

    Toda requisição para IP's da faixa 10.10.0.0 seja encaminhado para o IP interno 10.0.3.33, não consegui criar essa rota, alguém pode me ajudar por favor? Caso não seja essa a forma correta de configurar a rota no meu caso, por favor me ajudem com a forma correta.

    terça-feira, 3 de agosto de 2010 21:54
  • Não é esta a rota que vc vai criar no ISA. Esta rota é a rota estática que você criou mesmo. Não tenho agora uma interface do ISA aqui agora pra lembrar exatamente os passos, mas resumindo, você vai criar um Objeto Network para a rede 10.10.0.0 e outro para a rede 10.0.0.0, com suas máscaras. Depois você vai criar um relacionamento entre as duas redes falando que a ação do ISA é rotear. Nesta regra, você não coloca gateway, apenas se o ISA vai rotear ou natear.  A rota você vai criar no ISA no Sistema Operacional com o comando route add mesmo.

     

     


    Se foi útil, não se esqueça de Marcar como Resposta. Cláudio Costa - http://claudio-costa.blogspot.com
    terça-feira, 3 de agosto de 2010 22:10
  • Nicholas Alexander

    Acredito que no seu caso o problema não é somente a configuração do ISA.

    Vale a pena estudar no seu caso a questão de rede.

    Sua primeira1 tem a mascara de rede 255.255.0.0 a segunda empresa tem a mascara de rede 255.255.248.0.
    Não sou especialista em rede, mas acredito que isso esteja influenciando em sua rede. Não tem como uma rede 255.255.248.0 acessar
    um rede 255.255.0.0.

    Máscara de sub-rede: A máscara é um componente importante do endereço IP. É ela que explica para o sistema operacional como é feita a divisão do endereço, ou seja, quais dos 4 octetos compõem o endereço da rede e quais contêm o endereço do host, isto é, o endereço de cada micro dentro da rede.

    Ao contrário do endereço IP, que é formado por valores entre 0 e 255, a máscara de sub-rede é formada por apenas dois valores: 0 e 255, como em 255.255.0.0 ou 255.0.0.0, onde um valor 255 indica a parte do endereço IP referente à rede, e um valor 0 indica a parte do endereço IP referente ao host dentro da rede.

    Se você está usando a faixa 192.168.0.x, por exemplo, que é um endereço de classe C, então a máscara de sub-rede vai ser 255.255.255.0 para todos os micros. Você poderia usar uma máscara diferente: 255.255.0.0 ou mesmo 255.0.0.0, desde que a máscara seja a mesma em todos os micros.

    Se você tiver dois micros, 192.168.0.1 e 192.168.0.2, mas um configurado com a máscara "255.255.255.0" e o outro com "255.255.0.0", você terá na verdade duas redes diferentes. Um dos micros será o "1" conectado na rede "192.168.0", e o outro será o "0.2", conectado na rede "192.168".

    Vou estudar também mais sobre isso e volto a postar aqui.


    Raphael Carvalho Cardoso

    terça-feira, 10 de agosto de 2010 12:38
  • Mestre Raphael, eu tinha visto isso e já tinha até escrito um texto parecido com o seu quando me toquei que na verdade a máscara neste caso não é problema:

    A rede 10.10.0.0/255.255.0.0 começa com 10.10.0.0 e termina em 10.10.255.255 (Sendo 10.10.0.0 NetID e 10.10.255.255 Broadcast)

    A rede 10.0.0.0/255.255.248.0 começa com 10.0.0.0 e termina com 10.0.7.255 (sendo 10.0.0.0 NETID e 10.0.7.255 Broadcast). Como as redes são diferentes, não se intercalam, mesmo de tamanhos diferentes, são perfeitamente roteáveis.  (se a primeira fosse 10.0.0.0/255.255.0.0) realmente não funcionaria.

    Acredito que o problema é no ISA mesmo.


    Se foi útil, não se esqueça de Marcar como Resposta. Cláudio Costa - http://claudio-costa.blogspot.com
    terça-feira, 10 de agosto de 2010 14:47
  • Cláudio,

    Tenho que concordar com você, realmente eu não tinha percebido essa diferença no ip das redes.

    Nesse caso acredito realmente que o problema esteja no ISA.

     

    Raphael Carvalho Cardoso

    terça-feira, 10 de agosto de 2010 14:57
  • Usar este IP em prova seria uma pegadinha, a grande quantidade de 0 fica confuso mesmo. Vamos esperar o Nicholas atualizar a thread e ver se o problema já foi resolvido.

    Abraço


    Se foi útil, não se esqueça de Marcar como Resposta. Cláudio Costa - http://claudio-costa.blogspot.com
    terça-feira, 10 de agosto de 2010 15:45
  • Pessoal valeu pelas dicas, o problema acabou se resolvendo em partes, eu segui as dicas e criei as regras de Firewall liberando o trafego de uma rede para outra e coloquei em primeiro nos dois ISA, apesar de estar funcinoando na maioria das vezes de vez em quando não funciona FILE SERVER, VNC e TS, a inconsistência só acontece de uma rede para outra, e não encontrei qualquer Log do ISA bloqueando esse trafego.

    segunda-feira, 16 de agosto de 2010 15:18
  • Para testar:

    Cria uma rule liberando todas as portas de uma maquina para o destino em questão.

    se funcionar, bloqueia por porta e destino por REDE.

    portas:

    file server: 445

    VNC 5800/5900 (default)

    ts 3389

    eu nunca trabalhei com ISA mas deve ser simples de implementar.

    Revisa as regras que pra mim o problema esta nelas!

    abraço!


    Leandro Ribeiro Email: leandronh@gmail.com MSN: leandrors@sinos.net MSTECHAID
    quarta-feira, 16 de fevereiro de 2011 20:41