none
VPN em modem Roteado RRS feed

  • Pergunta

  • Ola pessoal,

     

    Para reduzir custos , estou pensando em substiuir o Link da Filial de Frame Relay para ADSL e criar uma VPN com a matriz(não tenho ISA Server na filial). O modem  ADSL da filial estaria roteado, e configurado como servidor de DHCP da rede.

    A dúvida é a seguinte:

     

    Os clientes da filial conseguirão conectar na VPN com a matriz ( por estar configurado atras de NAT), ou será necessário configurar o modem como bridge?

     

    Nesta configuração(modem roteado) é possível que mais de um micro desta filial consiga acessar a VPN com a matriz ao mesmo tempo?

     

    Alguem sabe se existe algum modem/router que tenha um cliente interno de VPN que consiga conectar ao ISA Server da matriz, sem precisar configurar a conexão manualmente nos micros.

     

    Abraços,

     

    Roney.

     

     

    segunda-feira, 23 de abril de 2007 20:22

Todas as Respostas

  • Oi Roney. Tudo tranquilo contigo?

    Mano, é possível sim utilizar um modem ADSL roteado para este tipo de configuração. Mas você tem que considerar os seguintes pontos:

    • Configurar uma conexão VPN para cada micro pode tornar a conexão extremamente lenta devido à criptografia e ao encapsulamento de protocolos inerentes à este tipo de conexão.
    • Mesmo que tu não tenhas um ISA Server na filial, se tiveres um Windows Server 2003 com RRAS configurado, poderás fechar uma VPN com um único ponto de saída para a matriz. Se este método for o escolhido, precisarás:
      • Ou configurar o Windows Server como gateway padrão das estações;
      • ou configurar as rotas estáticas para a matriz nas estações.
    • Liberar as portas para uso de VPN através do Modem. Este artigo da Microsoft ensina como fazê-lo: http://support.microsoft.com/kb/837453/en-us
    • Usar um serviço de DNS dinâmico (que não é confiável) para possibilitar ao ISA Server da Matriz localizar o endereço IP de Internet da filial.

    O processo é trabalhoso mas, dependendo da criticidade do ambiente, possui uma estabilidade aceitável.

    Leve em consideração se a economia vale realmente a pena. Muitas vezes só pela perda da estabilidade e segurança, este tipo de configuração torna-se não recomendada.

    Um grande abraço pra ti!!!

    segunda-feira, 25 de junho de 2007 22:05
  •  

    Rogerio utilizo as seguintes configs em minha Rede:

    Servidor AD, DHCP e DNS e ISA Server instalado em uma mesma maquina:

     

    IP placa externa: 10.0.0.5 (acesso a internet)

    mask: 255.255.255.0

    gw: 10.0.0.1

     

    IP placa interna: 192.168.1.1 (acesso a rede local)

    mask: 255.255.255.0

    gw: none

     

    A placa externa se comunica com um modem roteado Velox:

    IP: 10.0.0.1

    mask: 255.255.255.0

    gw: none

    porta liberada: TCP - 1723 p/ 10.0.0.5

    protocolo liberado: GRE - 47 

     

    E uso o aplicativo do no-ip p/ DNS virtual da VPN.

     

    Tudo funciona perfeitamente bem dos meus clientes p/ a Internet e p/ a Rede Local.... exceto a VPN!!!!

    Ao me logar remotamente aparece a tela de "Validando usuario e senha..." e pau... a conexão não ocorre!!!!

    * Qual o problema???

    * Li googando p ai q o aplicativo do no-ip não funciona com VPN sob IP dinamico, apenas o DDNS, procede (se souberem algo)???

    * A porta e protocolo liberados no roteador/modem são as mesmas do link da Microsoft indicado p/ vc, falta mais algo????

    * As liberações de porta e protocolo são p/ o IP da placa externa ou da placa Interna??? Se for p/ a placa Interna, o setup do modem rejeita p/ não estar no mesmo range q o seu IP!!!!!!!!!.....

     

    Roney, se tais informações lhe ajudarem a começar... esteja a vontade!!!

     

    Obrigado!

     

    Franco

                                   

    segunda-feira, 9 de julho de 2007 03:06
  • Mano,

    é registrado algum evento nos logs de sistema, aplicativo ou segurança do Windows Server 2003 durante o processo de conexão?

    Se tiver, posta aqui pra a gente tentar te ajudar.

    Um abraço!

    segunda-feira, 9 de julho de 2007 12:34
  •  

    Rogerio, desculpe a ignorancia...

     

    Mas não seria o ISA Server a acusar alguma tentativa de entrada???

     

    Talvez eu não tenha explicado direito... ms o ISA é q possui a config da VPN e não o W2K3.

     

    Ms vou checar assim mesmo... ambos!

     

    Valeu.

     

    Franco

    segunda-feira, 9 de julho de 2007 13:05
  • Grande Franco!

    Cara, o ISA Server se utiliza do RRAS do Windows Server 2003 para cuidar da parte de VPN. Apesar de você mexer na console do ISA e visualizar alguns logs de registro dentro da console dele, na verdade tu estás operando o RRAS do Windows.

    Pode até ser que o ISA esteja barrando algum tráfego, mas tu tens que monitorar para saber se de fato há um problema relacionado a bloqueio no ISA.

    Há um amigo meu que tem um ambiente extremamente semelhante ao seu e a bronca dele era com o ISA barrando o tráfego de VPN. Por isso é importante analisar o contexto em que a conexão está sendo estabelecida.

    Um abraço!!!

    segunda-feira, 9 de julho de 2007 13:18
  •  

    Rogerio, bom dia!!!

     

    Vc tinha razão: ao procurar em Eventos localizei a seguinte mensagem:

     

    Eventos -> Sistema -> Aviso

    Fonte: Rasman

    Uma conexão entre o servidor VPN e o cliente VPN 201.39.91.10 foi estabelecida,
    mas a conexão VPN não pode ser concluída. A causa mais comum disso é que um
    firewall ou roteador entre o servidor VPN e o cliente VPN não está configurado
    para permitir pacotes de Encapsulamento de Roteamento Genérico (GRE, protocolo 47).
    Verifique se os firewalls e protocolos entre seu servidor VPN e a Internet irão
    permitir pacotes GRE. Certifique-se de que os firewalls e roteadores da rede do
    usuário também estão configurados para permitir pacotes GRE. Se o problema
    continuar, o usuário deve contactar seu provedor de serviços de Internet para
    determinar se ele está bloqueando os pacotes GRE.

     

    Bem, voltei ao Modem e pude observar q o 5200 da Efficient não permite q coloquemos o numero do protocolo p a especificação GRE, ou seja fica apenas o protocolo GRE sem numero p o IP 10.0.0.5 (minha placa externa do ISA Server).

     

    Com isso resolvi ativar o NAT do modem, redirecionando para a minha placa externa. CONSEGUI ENTÃO ME CONECTAR VIA VPN!!!

     

    Mas... (sempre tem um mas) não consigo acessar meu servidor... ao tentar me conectar via "Conexão de Área de Trabalho Remota" (eta nome grande) ao IP 192.168.1.1 do meu servidor ele não consegue!!!!!!!!!!!!

     

    Alguma idéia????

     

    Obrigadaço!

     

    Franco

    terça-feira, 10 de julho de 2007 10:52
  • Beleza, mano! Fico feliz porque conseguistes resolver essa bronca. Depois de um passo dado, vamos ao outro.

    Para não conseguires conectar via RDP no ISA é porque não tens uma regra liberando ou publicando o serviço.

    Dá uma olhada nas tuas regras e vê se há alguma que libere esta conexão para ti.

    Não esqueces de marcar a resposta do modem como útil, pois ela servirá para outros usuários aqui no fórum também.

    Um grande abraço!

    quinta-feira, 12 de julho de 2007 01:45