Forefront TMG 2010 routing probleempje...

[DDragon80]

Indien iemand ervaring met Microsoft Forefront TMG 2010 heeft. Hier een complexer probleempje.

Volgende situatie:

Forefront TMG 2010 Server met volgende specs:
- VPN clients op subnet X. (10.10.10.0/24)
- 1x NIC op subnet A (internal 192.168.1.0/24)
- 1x NIC op subnet B (internal 10.1.0.0/16).
- 1x NIC op subnet C (external).

Firewall Policy:
Allow routing tussen Subnet A en Subnet B.
Allow routing tussen Subnet X en Subnet A en B.

Routing Policy:
Routing tussen Subnet A en Subnet B.
Routing tussen Subnet X (VPN) en Subnet A en B (Internal).

Probleem:
Een VPN Client doet een PING doet naar een multihomed server op het internal netwerk.
Deze multihomed server heeft 2 NIC dus, met elk een segment in Subnet A en B.
Er staat een static route op deze server voor (VPN) 10.10.10.0/24 naar Subnet B.
Indien de ping naar de NIC gaat van subnet A, werkt dit niet.
Indien de ping naar de NIC gaat van subnet B, werkt dit wel.

Indien ik ping vanuit de TMG Server naar de NIC van zowel Subnet A als B werkt dit ook correct,
dus enkel met de VPN clients gaat hier is fout...

 

[Quit]

Er moet ergens iets geblokt worden naar Subnet A, waarschijnlijk hier : Er staat een static route op deze server voor (VPN) 10.10.10.0/24 naar Subnet B.
Is daar een Bridge te maken ?

 

[DDragon80]

Een bridge maken op dergelijke servers is totaal uitgesloten. Probleem zit'm op de TMG vermoed ik. Op de TMG gaat de ping nog, enkel met de VPN clients van de TMG gaat het fout bij een subnet wissel onderweg.

 

[Quit]

Dat gaat mijn kennis te ver. Ik heb redelijke kennis met servers, maar met virtuele omgeving niet.
Sorry, ik kan je hier dan niet verder helpen.

 

[DDragon80]

Geen probleem hoor. Is dan ook geen alledaags probleempje. VPN networking is op zich nog geen virtuele omgeving, de Hyper-V waar de TMG onder draait daarentegen wel. Maar is op zich niet relevant met het probleem vermoed ik. Een oplossing zou zijn één enkel subnet te voorzien voor het internal netwerk op de TMG server. Maar...

 

[DDragon80]

Ondertussen heb ik een oplossing en oorzaak van bovenstaand probleem.
Oorzaak is volgende; ping vertrekt vanuit Subnet A en komt terug via Subnet B. Forefront ziet dit als een spoofed IP address en reageerd met een traffic drop.
Een mogelijke oplossing hiervoor is het uitschakelen van IP spoof detection op Forefront (registry key toevoegen; DisableSpoofDetection).
Niet onmiddellijk de meest gewenste oplossing maar uit noodzaak momenteel wel de enige oplossing.

 

[Quit]

Als het een lokaal netwerk betreft hoeft het uitschakelen van spoofing geen probleem te zijn. Ik neem aan dat alle IP adressen hier geautoriseerd zijn.

 

[DDragon80]

Forefront TMG is een firewall/VPN applicatie. Dus het is niet de meest perfecte oplossing laten we zeggen.