Problema: AD e duas redes diefrentes
-
Salve galera, preciso de ajuda para resolver um problema com o AD em minha rede, tenho o seguinte cenário:
VLAN1 - 172.16.115.0/24
AD - 172.16.115.2VLAN2 - 172.16.116.0/24
Bom, tenho duas VLAN's e meu AD está dentro da primeira(172.16.115.x), preciso que os pc's da segunda VLAN (172.16.116.x) possam fazer o logon no AD que está dentro da primeira.
Gostaria de saber qual a melhor maneira e a mais segura para fazer isso? Liberando regras no firewall? fazendo uma ponte entre as duas redes? E se eu fizer uma DMZ para o AD, como posso colocar as VLAN's para se comunicarem com ele?
OBS.: Essas redes não passam pelo SQUID/SQUIDGUARD.
-
esta na mesma rede ou pula por vpn ? Se tiver na mesma rede colcoa na rota amigao.
-
Está na mesma rede, tentei faze a rota mais não funcionou legal, os mapeamentos das pastas compartilhadas no AD não funcionaram, coloquei as VLAN's em bridge, mais não sei se esse é o melhor caminho a seguir.
Att
-
como que estao suas acls / rules?
-
Quem separa as duas redes? É o seu firewall?
tipo:
REDE_1 –-(firewall)--- REDE_2
:
:
(SRV_AD)Sua rede está mais ou menos assim?
-
amigo tenta nas regras colocar qualquer protocolo (any) pois pode ser isso o problema
-
Tenho um cenário idêntico ao seu, porém usando um outro firewall.
O que fiz lá é o seguinte:06 REGRAS DE FIREWALL IDA E VOLTA:
AD enxerga VLAN2 pelo protocolo TCP em todas as portas e todos os endereços
AD enxerga VLAN2 pelo protocolo UDP em todas as portas e todos os endereços
AD enxerga VLAN2 pelo protocolo ICPM em todas as portas e todos os endereçose
VLAN2 enxerga AD pelo protocolo TCP em todas as portas e todos os endereços
VLAN2 enxerga AD pelo protocolo UDP em todas as portas e todos os endereços
VLAN2 enxerga AD pelo protocolo ICPM em todas as portas e todos os endereçosNeste cliente funciona assim, mas o firewall é outro - como falei.
-
Boas,
a maneira mais segura é o que tens, uma VLAN para rede local + outra vlan para a rede onde se encontra o teu servidor AD
a unica coisa que tens de fazer é, e por questões de segurança, criar duas regras na interface da vlan (rede local)
1º permitir autenticação
2º negar o resto entre as duas vlansimagina o seguinte cemário (autenticação RADIUS de uma vlan para a outra)
UDP 172.16.116.0/24 any 172.16.115.2 1812 permit
* * * 172.16.115.0/24 * DROPmuitos podem perguntar o porque dessa segunda regra?!
porque normalmente o pessoal tem a regra de default criada
* * * * * permito que faz o com que a tua vlan local consiga aceder a qualquer outra vlan, assim as duas regras que te indiquei em cima, tem de ficar em primeiro lugar, de modo a serem as primeiras a serem executadas.
outra possibilidade é nessa regra de default, obrigares que o gateway seja a WAN. Assim qualquer tentativa de acesso entre a vlan local para a vlan onde se encontra a AD, é desviado para a WAN. Eu pessoalmente não aconselho essa tecnica, pois vais ocupar processamento, e eventualmente largura de banda para a internet. Já para não falar que correr o risco de um dia mais tarde criares uma otura regra e não te lembrares do pormenor que tens de forçar sempre o gateway para a WAN
Assim sendo só tens de verificar qual o porto que é usado para autenticação Windows na AD, (usa o Wireshark, ou os LOG's do PFSense) e substitui o porto que te indiquei 1812 para o que precisas
um abraço
-
já agora, relativamente a regras na vlan onde se encontra o AD, podes colocar o que quiseres pois a resposta como está relacionado com um pedido já feito, não é analisado pelas regras de firewall.
-
Colocar em bridge e/ou criar regras permitindo todo o acesso é quase a mesma coisa que deixar o ad na mesma rede das estações.
Dependendo do uso(ad+dns+dhcp+compartilhamento+rdp), sugiro deixar na mesma rede.