[RESOLU] Comment permettre à mes VPN distants de surfer

[ckilla]

Bonjour,

Je suis sur un ISA 2006.
J'ai des VPN distants (non gérés par ISA) qui doivent pouvoir utiliser mon proxy ISA 2006 pour surfer.

Lorsque j'étais sous ISA 2000 cela fonctionnait mais depuis l'installation de la version 2006, impossible de surfer.

Je suis en configuration parefeu arrière.
Lorsque je tente une connexion je vois dans les logs que l'ip tente la connexion mais la connexion lui est refusée. (Externe => Hote locale).

J'ai tenté bêtement d'ajouter la plage des adresses de mes VPN sur l'interface interne mais cela me génère de suite des alertes de configuration.

Je suis un peu perdu sur ce coup là. si vous avez des idées je suis preneur merci à vous.

[ErwanB]

Bonjour,

quand tu crées ta règle Internet, tu dois pouvoir indiquer "clients vpn" dans "De" non ?

[ckilla]

Bah mon souci c'est que les clients VPN ne sont pas gérés par l'ISA mais par mon autre firewall en frontal.

Donc les requêtes arrivent sur le proxy en tant que demande externe et sont bloquées.

Je ne sais pas s'il faut quand même que je déclare les palges d'adresses IP de mes VPN sur l'ISA quelques part pour permettre cet accès.

En tout cas merci pour ton aide.

[ErwanB]

Bonjour,

Perso, l'allocation d'IP à mes clients VPN se fait en DHCP et j'indique "utiliser le réseau interne suivant" pour obtenir les IP.

De + dans la catégorie "réseaux", mes clients VPN constituent une entité à part, cela simplifie grandement leur administration.

ça va être compliqué si tes clients sont considérés comme requête externe.
est-ce que tu as moyen de modifier cette config ?

[ckilla]

Hello,

De mon coté l'attribution des IP se fait par le routeur présent sur chaque site.

Cette configuration peut évoluer mais cela fonctionnait sur ISA 2000.

Je peux créer une catégorie "réseaux" à part aussi, c'est même mieux pour la gestion c'est clair. Mais mon réel souci est le fait que les plages d'adresses soient vuent comme externe

[ErwanB]

A ce moment là, tu peux créer une catégorie de réseaux repondant aux IP attribuées par ton routeur pour ses clients vpn.
et tu crées des règles spécifiques à ces clients...
es-ce que c'est applicable dans ta config ?

[ckilla]

Je vais tenter mais j'ai un ptit doute

[ckilla]

J'ai tenté de créer un réseau danas lequel j'ai ajouté mes plages d'adresses.

Puis j'ai crée une règle qui permet de surfer des VPN vers l'externe.

Mais sur la journalisation j'ai connexion refusée de "VPN distants" vers "Hôte local"

Snif

[ErwanB]

Bonjour,

et dans la catégorie "configuration / réseaux / règles de réseaux" quelle est la relation de tes clients vpn avec l'extérieur : est-ce que ça NAT ?

par rapport à la nouvelle règle que tu viens de créer, est-ce que ça change quelque chose si tu la places comme toute première règle ?

[ckilla]

Je vais tenter ça en fin de journée merci

[oussema]

Bonjour,

Puisque le VPN n'est pas géré par ISA, donc les clients vpn sont inconnus par rapport à ce dernier d'oû l'impossibilité de l'utiliser comme Serveur proxy.

Pour contrôlez la navigation et avoir une visibilité sur les client VPN, ISA Server doit être deployer en tantque pare-feu avant et qui fait office de Serveur VPN.

@+

[ckilla]

Bonsoir Oussema,

Et bien mon souci est que les clients VPN ne peuvent pas être gérés par ISA.

Je le gère avec un Checkpoint en frontal.

Avant mon proxy était sous ISA 2000 et cela fonctionnait.

[oussema]

Bonsoir,

Et bien mon souci est que les clients VPN ne peuvent pas être gérés par ISA.

Pourrai-je savoir le pourquoi ?

Merci.

[ckilla]

Bonsoir,

Et bien mon souci est que les clients VPN ne peuvent pas être gérés par ISA.

Pourrai-je savoir le pourquoi ?

Merci.

Je me suis mal exprimé...Je ne voulais pas dire ne "peuvent pas" mais ne "sont pas".

J'ai résolu mon souci en ajoutant des règle de routage en dur sur mon OS pour les sites distants.