Question

Hola amigos, pese a que mi tema se parece en parte a algunos del foro, no encuentro mi caso por eso planteo mi problema:

Antecedente: el cliente decidio reemplazar el actual servidor Linux Centos el cual es firewall y proxy por Microsoft TMG 2010.
Todos los servicios estan centralizados en matriz.

En matriz existe un router del ISP que proporciona internet y mediante su red de fibra optica arma un tunel vpn con el router de la sucursal.

En sucursal solo estan el ruteador del isp con el que arma el tunel hacia matriz y las estaciones windows xp y 7.

El tunel vpn lo arman entre los ruteadores (matriz ip lan: 192.168.1.10 – sucursal ip lan: 192.168.2.10).

En la matriz existe directorio activo win 2008r2, exchange 2010 y Linux Centos (proxy firewall), esta red es 192.168.1.x /24 Y  todos tienen como gateway al server Linux Centos ip: 192.168.1.4.

En la sucursal la red es 192.168.2.x y las estaciones tienen como gateway 192.168.2.10.

Mi nueva configuracion:

Excepto el Linux Centos, el resto de los servidores y configuración se mantiene.

Configuracion Windows del server tmg 2010: 3 nic : LAN , WEB y DMZ
LAN: ip: 192.168.1.1 / 24 dns: 192.168.1.1 (ip del controlador de dominio, quien tiene una regla de tmg para que SOLO el realice consultas dns hacia afuera de la red)
WEB: ip: 200.x.y.z / 30 gateway: 200.x.y.z1  dns: 192.168.1.1.
DMZ:ip: 192.168.254.5

Ruta persistente: 192.168.2.0 (sucursal) 255.255.255.0 (msk), 192.168.1.10 (gateway) , 256 (metric),

Configuracion de las estaciones en matriz: ip: 192.168.1.X /24, Gateway: 192.168.1.4 (server tmg 2010), dns 192.168.1.1 (server controlador de dominio).

Configuracion de las estaciones en sucursal: ip: 192.168.2.X /24, Gateway: 192.168.2.10 (ip lan del router isp con el que esta armado el túnel hacia matriz).

Configuracion TMG 2010: Objeto de red llamado sucursal con rango ip 192.168.2.0-192.168.2.255 creado a partir de red interna LAN,
Regla de red: Route entre objeto de red Internal y sucursal.
Regla de acceso: permitir todo trafico, desde interna, local host y sucursal hacia interna, local host y sucursal.

Problema: Una vez instalado y probado el TMG 2010 funcionan perfectamente todas reglas PERO no alcanzo a la sucursal, es decir no rutea a mi sucursal, no ping, no nada!!  .

Si algun dato olvide o no he sido claro , por favor indicarlo.  
Que me falta o esta mal configurado?. Muchas gracias por su valioso apoyo.

Comments

255.355.355.0 (msk) ??? creo que ahi va 255.255.255.0
256 (metric) <<< ???
que red tiene la sucursal destino ? que hay en el otro extremo para armar la VPN site to site ?
tienes una ensalada me parece a mi...
consulta al administrador del linux para conseguir toda config necesaria o a tu ISP, ya que puede que haya rutas estaticas en un MPLS en los routers de tu ISP. Añade toda configuracion necesaria

---

Tu Gateway debería de ser el puerto vlan que es el que sirve para la conexión site to site con la sucursal y no el tmg ¿O me equivoco?, es que tu pones Gateway 192.168.1.4, TMG 2010, NIC1 LAN 192.168.1.4.

Saludos

---

Hola Anónimo, por favor agrega todos datos a tu pregunta original, de esta manera no será necesario leer todos los comentarios para entender bien el escenario y será mucho más fácil ayudarte. Para editarla, haz clic en editar.

---

Creo que puede estar pasando por aca el tema, si la VPN del ISP es transparente, entonces tu ruta persistente deberia ser que para alcanzar la red 192.168.2.x deberias conocer directamente el router destino 192.168.2.10

Ruta persistente: 192.168.2.0 (sucursal) 255.255.255.0 (msk), 192.168.2.10 (gateway) , 256 (metric)

Prueba con eso.

---

No funciona eso...Gracias

---

El linux estaba conectado directamente al puerto VLAN del router ISP de la casa matriz ? o en un puerto taggeado vtrunk en el switch de la casa matriz ? si es asi coloca la interface LAN del TMG en el mismo puerto del switch o puerto LAN del router ISP, o quiza necesites una cuarta placa NIC para hacer esto, ya que si colocas la LAN del tmg directamente al router ISP no estaras en la LAN, se entiende ? Averigua cuales son los requerimientos del router ISP para hacer el ruteo, o si ellos bloquearon a nivel VLAN o MAC address del LINUX para que solo el pueda transmitir / recibir en ese puerto u OS.

Creo que a nivel de TMG deberia estar bien configurado

Prueba colocar una IP secundaria a la internal del tmg con IP 192.168.2.x algo...y ve si llegas a la IP 192.168.2.10

Prueba quitando el TMG 2010 de la LAN y con un equipo / laptop, haz un ruteo estatico como lo has hecho en el TMG o como te he indicado yo mas arriba en el mismo puerto del switch donde estaba conectado el linux o en el router ISP directamente y ahi haz la prueba de pinguear hacia la 192.168.2.10 o una IP de la sucursal.

Exitos.

Answer 1

Te invito a que conoscas la solución de HOB RD VPN, es sencilla practica y segura, te evita todos los problemas de comunicación, incluyendo los de impresión, ancho de banda, y te ahorras las licencias de Terminal Server.

Visita http://www.hob.com.mx.