lunedì, febbraio 18, 2013

TMG 2010 & Azure: Implementare una VPN IPsec Site-2-Cloud

VPNCloud-PremiseMarc Terblanche ha pubblicato sul suo blog l’interessante articolo “Windows Azure Virtual Network VPN with TMG 2010” su come realizzare con TMG 2010 una VPN Site-2-Cloud, connettendo con un tunnell IPsec la rete aziendale tradizionale (on-premise) con una infrastruttura (Domain Controller, DNS, Gateway) nel cloud basata su Windows Azure.

Prerequisito è che sia già presente una infrastruttura nel cloud (Iaas) con Domain Controller, DNS, Gateway, ma se non ne avete una e volete provare la soluzione di Marc, bisogna crearsi un account di prova su Windows Azure (90gg gratis). In fondo a questo post troverete i link di approfondimento.

Nota Importante: La soluzione VPN Site-2-Cloud è ufficialmente supportata da Microsoft solo con end-point CISCO e JUNIPER e non con TMG 2010, ma Marc è riuscito nell’impresa!! Un grazie a Marc.

Comunque, tornando al nostro TMG 2010, Marc indica quattro condizioni affinché tutto funzioni a dovere:

 

  1. TMG deve avere un indirizzo IP Pubblico, deve essere l’endpoint del tunnell IPSec.
  2. TMG deve essere aggiornato al SP1 U1 con l’aggiunta della Hotfix KB2523881 (Se avete TMG 2010 SP2 aggiornato con le ultime patch siete a posto)
  3. Configurare MTU da 1500 a 1350 su TMG con il seguente comando
    netsh interface ipv4 set interface “nome-interaccia-esterna” MTU=1350
  4. Disabilitare nella System Policy la RPC Strict Compliance

Una volta verificati i quattro punti, configurato TMG seguendo le indicazioni dell’articolo di Marc, si riavvia TMG 2010. Adesso siete pronti per connettere il vostro TMG 2010 al cloud.

L’idea di avere un Domain Controller nel cloud spaventa un pò, ma se pensiamo a funzionalità quale il RODC (Read Only Domain Controller)non è poi così male. Alla fine, l’installazione nel cloud, può essere vista come un sito remoto non gestito e non presidiato, ma con una differenza enorme; questo sito avrebbe una potenziale disponibilità di tipo globale!! con tutti i benefici del caso.

Di seguito trovate alcuni link di approfondimento.

Per domande e commenti potete scrivere sul blog, sul forum di ISAserver.it oppure scrivermi una mail a lconte<at>isaserver.it.
A presto

Luca Conte
Fondatore di ISAserver.it/TMGServer.com
MCSE/MCSA:Security, MCT, MCITP:Windows 2008
MCTS: Windows Virtualization, VMWare VCP
IEEE Member, CS Member, ITIL v3 Foundation
Consulting Services & Professional Training


Riferimenti:
Windows Azure Virtual Network VPN with TMG 2010 [ENG]
Windows Azure Virtual Network
VPN Devices for Virtual Network
Windows Azure Virtual Machines
Create a Virtual Network for Cross-Premises Connectivity
Windows Azure Name Resolution Overview
IPsec Configuraytion - MSDN forum post
Guidelines for Deploying Windows Server Active Directory on Windows Azure Virtual Machines

Etichette: , , ,

0 Comments:

Posta un commento

<< Home