none
Forefront TMG 2010 - Problemas com configuração de múltiplos gateways (vpn e internet) RRS feed

  • Pergunta

  • Caros boa tarde, achei algumas perguntas parecidas aqui no fórum, mas peço licença a vocês para esclarecer o meu problema, pois acho que pode ser um pouco diferente.

    Temos aqui na empresa dois links internet: Embratel e Virtua.
    Nosso objetivo é manter todo o tráfego VPN via Embratel e internet via Virtua.
    Tentamos de duas maneiras diferentes e em ambas não tivemos sucesso:

    1) Dois servidores

    Para esse teste, instalamos um Forefront TMG com dois adaptadores, interno e link do Virtua.
    Esse servidor ficou como o default gateway da rede interna e, através de rotas no servidor, direcionamos o tráfego para as sub-nets da VPN para o outro servidor que estava rodando o RRAS e conectado ao Link Embratel.
    Tudo parecia funcionar corretamente, porém, os clientes que chegavam na VPN no servidor RRAS, não conseguiam acesso aos servidores da rede interna, por utilizarem gateways diferentes.

    2) Um único servidor com 2 default gateways

    Para esse teste, instalamos um Forefront TMG com 3 adaptadores, interno, Virtua e Embratel.
    A princípio, tentamos com a redundância de links, não gostamos muito pois tudo fica tão automático que fica difícil identificar por onde se está saindo e, também não conseguimos fazer a rota para a internet ir por um link e vpn por outro.
    Testamos também sem a redundância, mas também não conseguimos resolver.

    Mais uma vez obrigado a todos,
    []'s
    Oberdan


    Oberdan Borges Nunes

    quinta-feira, 25 de outubro de 2012 16:09

Respostas

  • Boa noite amigo,

    Desculpe a demora, estava em uma reunião que me tomou o dia inteiro.

    Vamos la!

    É simples de resolver o seu cenário.

    Quando voce seguir o Wizard da configuração da VPN Site-to-site, ele ira te perguntar, qual é o IP que ira fechar a conexão e receber a vpn, neste momento voce fornecerá o IP da Embratel.
    Utilize para fechar a conexão o L2TP / IPSEC, alem de seguro é muito estavel.
    No proximo passo ira te pedir uma chave pré-compartilhada, neste momento utilize uma senha, por exemplo L0C4LH0$T@!@#$&*, esta mesma senha voce ira fornecer no outro lado da ponta, em SP.

    Mais a frente, voce ira fornecer a range de IP's da rede SP, e quando estiver em SP, ira fornecer a range de IP's da sua rede onde voce se encontra.

    Por ultimo voce ira dizer quais protocolos irao se comunicar entre as redes, coloque all outbound para finalidades de testes, e depois refina sua regra apenas permitindo protocolos nos quais serão utilizados entre suas redes.

    Neste momento, sua rede VPN esta OK.

    Para testes deixe pingando uma maquina da sua rede A com destino a sua rede B.

    Esse trafego estará atrelado apenas ao link da embratel.

    Agora voce deve apenas configurar o Faiolver no TMG, e indicar qual é o seu link principal, e o secundario.

    Se tiver mais alguma duvida, sinta-se a vontade de me ligar ou me mandar e-mail ok?

    Forte abs.


    Júnior Ramos | Analista em Tecnologia da informação| MCPID: 8549133 | Msn/e-mail: Consultoriaemredes@live.com | Fone: (47) 8417 - 3475 |

    • Marcado como Resposta Enderson Valente quarta-feira, 6 de fevereiro de 2013 11:36
    segunda-feira, 29 de outubro de 2012 22:27

Todas as Respostas

  • Bom dia Amigo,

    O Caminho correto a seguir seria esse.

    • Servidor TMG com 3 interfaces de rede
      1° Embratel
      2° Virtua
      3° LAN

    Vamos lá me responda algumas perguntas para darmos resolvermos o teu problema ai.

    1. Essa VPN é site-to-site, voce esta ligando uma vpn a uma unidade da sua empresa, ou a clientes que ira discar para ter acesso a sua rede?
    2. Voce quer que os clientes vpn saiam pelo link de internet seu?

    Não te recomendo a utilizar redudancia de link neste seu ambiente, caso sua rede seja baseada em vpn, e que sua rede vpn ira sair pelo mesmo link de internet que sua rede local saira.

    Pelo simples fato de que quando o link principal cair, o trafego vpn se mantera no link 2 + trafego VPN, ira ficar muito lento e voce tera de criar outra rota para que sua rede vpn saia pelo mesmo link que o trafego da sendo fechado.

    Caso precise realmente ter uma redundancia adquira mais um link.

    no aguardo.


    Júnior Ramos | Analista em Tecnologia da informação| MCPID: 8549133 | Msn/e-mail: Consultoriaemredes@live.com | Fone: (47) 8417 - 3475 |

    segunda-feira, 29 de outubro de 2012 14:11
  • Bom dia Júnior, obrigado pela ajuda, seguem as respostas abaixo:

    Ok, adaptadores configurados.

    1) Nós temos uma VPN site-to-site com o escritório de SP e também receberemos conexões VPN dos recursos que estiverem trabalhando remotamente; O que seria importante deixar exclusivo no link embratel é a site-to-site;

    2) A idéia geral é deixar separado, VPN site-to-site -> Embratel e, internet em geral -> Virtua. Isso porque nosso link Embratel é simétrico (4/4) e nesse caso favorece o trabalho com os servidores da rede em SP;

    Nosso objetivo aqui Junior, é manter separado os links e, em caso de problemas em algum deles, ter condições de redirecionar o tráfego do link que estiver down para o outro link.

    Mais uma vez muito obrigado pela ajuda,
    []'s
    Oberdan


    Oberdan Borges Nunes

    segunda-feira, 29 de outubro de 2012 17:04
  • Boa noite amigo,

    Desculpe a demora, estava em uma reunião que me tomou o dia inteiro.

    Vamos la!

    É simples de resolver o seu cenário.

    Quando voce seguir o Wizard da configuração da VPN Site-to-site, ele ira te perguntar, qual é o IP que ira fechar a conexão e receber a vpn, neste momento voce fornecerá o IP da Embratel.
    Utilize para fechar a conexão o L2TP / IPSEC, alem de seguro é muito estavel.
    No proximo passo ira te pedir uma chave pré-compartilhada, neste momento utilize uma senha, por exemplo L0C4LH0$T@!@#$&*, esta mesma senha voce ira fornecer no outro lado da ponta, em SP.

    Mais a frente, voce ira fornecer a range de IP's da rede SP, e quando estiver em SP, ira fornecer a range de IP's da sua rede onde voce se encontra.

    Por ultimo voce ira dizer quais protocolos irao se comunicar entre as redes, coloque all outbound para finalidades de testes, e depois refina sua regra apenas permitindo protocolos nos quais serão utilizados entre suas redes.

    Neste momento, sua rede VPN esta OK.

    Para testes deixe pingando uma maquina da sua rede A com destino a sua rede B.

    Esse trafego estará atrelado apenas ao link da embratel.

    Agora voce deve apenas configurar o Faiolver no TMG, e indicar qual é o seu link principal, e o secundario.

    Se tiver mais alguma duvida, sinta-se a vontade de me ligar ou me mandar e-mail ok?

    Forte abs.


    Júnior Ramos | Analista em Tecnologia da informação| MCPID: 8549133 | Msn/e-mail: Consultoriaemredes@live.com | Fone: (47) 8417 - 3475 |

    • Marcado como Resposta Enderson Valente quarta-feira, 6 de fevereiro de 2013 11:36
    segunda-feira, 29 de outubro de 2012 22:27