Archive

Archive for the ‘IPSEC’ Category

Problemas ao acessar HTTP e HTTPS em uma VPN Site to Site

12 de julho de 2011 1 comentário

Problema
=============================

– Cliente tem uma VPN site to site e precisa acessar o webserver localizado no site remoto mas não está sendo possivel.

Ambiente
==================================

– VPN IPSEC Site to Site entre um TMG e um CISCO ASA.

– Nas configurações do TMG em Network Rules o relacionamento entre as redes da VPN era Route.

Resolução
=============================

– Nesse caso, só não era possível fazer o acesso HTTP ao Webserver.

– Conseguiamos nos conectar no webserver através de RDP e era possível pingar o servidor. Somente o acesso HTTP recebia Timeout.

– Nos logs do TMG tínhamos a mensagem:

Log type: Web Proxy (Forward)
Status: 10060 A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.

– Estavamos realizando os testes a partir da máquina cliente 192.168.0.10. Ao monitorar o CISCO os pacotes HTTP estavam chegando com o IP 200.200.200.1 que é o IP externo do TMG.

– Como a relação entre as duas redes é de Roteamento, isso significa que o trafego HTTP estava sofrendo NAT e isso não é recomendado em uma VPN IPSEC. O trafego deveria chegar com o IP do cliente.

– Isso ocorre pois quando o trafego HTTP passa pelo TMG ele é tratado pelo Web Proxy Filter e esse filtro sempre utiliza NAT. Mesmo não marcando o endereço de proxy no navegador (Navegando por SecureNAT) o problema ocorre, pois é tratado como transparente Proxy pelo Web Proxy Filter.

– Para solucionar esse problema precisamos de um “workaround” para que o trafego HTTP entre as redes VPN não seja tratado pelo Web Proxy Filter:

– Criar um novo protocolo “HTTP Sem filtro” com a porta 80 outbound e desabilitar o Web Proxy Filter.

– Criar uma nova access rule com Source = “Internal” e Destination = “Rede VPN” utilizando esse novo protocolo criado.

– Criar uma acess rule com All outbound traffic except selected e selecionar o protocol HTTP como exceção – From “Internal” to “Rede VPN”. Colocar essa regra abaixo da regra liberando o trafego “HTTP sem filtro”.

– Outro Workaround é desabilitar o filtro Web Proxy Filter do protocolo HTTP, mas nesse caso teríamos várias desvantagens. Todo o trafego HTTP não seria tratado pelo WebProxy Filter e a funcionalidade de Cache do TMG não funcionaria.

———————————————————————————————-

Renato Marson Pagan