TMG and ICMP Redirect

By Andrei Ungureanu - Last updated: Friday, June 22, 2012 - Save & Share - Leave a Comment

Scenariul cu ICMP Redirect apare in momentul in care avem statiile setate cu default gateway ip-ul TMG-ului dar exista si alte subneturi interne ce sunt rutate printr-un alt router intern. Ceva ce seamana cu poza de mai jos:

image

In poza vedeti ca pentru requesturile ce ar trebuie rutate prin acel router intern, TMG-ul trimite un pachet de tip ICMP redirect ce adauga o ruta statica pe statia ce a facut cererea si o redirecteaza catre acel ruter intern. Am pus postul pentru ca am gasit numeroase informatii confuze pe internet inclusiv ceva de la Microsoft cum ca TMG/ISA nu suporta trafic redirection si pornind de aici toata lumea a zis ca nu se poate. Ba se poate.

Prima data sa clarificam ce face setarea EnableICMPRedirect din registry:

image

Permite statiei sa accepte noua ruta trimisa de TMG. Aceasta setare nu trebuie pusa pe TMG ci pe clienti (si e Enable by default deci nu trebuie sa faceti nimic). Dupa cum mai vedeti acolo sus mai exista si IPEnableRouter. Nu trebuie activata. Mai ales pe TMG. Daca activati asa ceva pe TMG zapaciti tot.

Pe TMG trebuie definit protocolul ICMP Redirect exact ca mai jos:

image

ICMP Type 5 Code 0. Nu altceva cum e scris pe net.

image

Iar regula, ceva in genul celei din poza de mai sus. Altfel TMG nu o sa trimita raspunsul la clienti.

Si aproape ca uitasem. RRAS trebuie sa fie activ pe TMG.

Posted in Forefront, Networking • Tags: , Top Of Page

Write a comment