Início > Fore Front TMG 2010 > Erros no acesso ao facebook e bancos via TMG

Erros no acesso ao facebook e bancos via TMG

Saudações,

Na semana passada um de nossos clientes nos reportou dois problemas distintos:

1 – erro no acesso ao Facebook para publicação de conteúdo – o cliente atua na área de mídias digitais

2 – erro no envio de documentos via Bradesco Empresas e Safra Empresas

Caso Facebook

Ao analisar os logs do Forefront TMG, verificamos um time-out em um determinado IP que, vimos que se tratar de IP da range do Facebook. Apesar de se tratar de acesso ao um site de redes sociais, o tema era crítico por ser muito usado pelo cliente para publicação de conteúdos e também e gera receita.

De forma mais política do que técnica, abrimos um chamado no Microsoft onde tive o prazer de ser atendido pelo amigo Eng Daniel Pires! Em paralelo a nossa análise, o Daniel verificou pelo Data Packager do TMG que este IP que identificamos como a fonte do problema, estava cadastrado na rede interna do produto.

Pra ser sincero, esta era a última coisa que imaginava, pois, pelo relatório do Data Packager, o Daniel verificou que, para este IP, o TMG tratava o acesso como “Internal to Internal”.

Quando removemos este IP o problema foi resolvido.

Ao investigar o porque deste IP na rede interna, verificamos por meio de alguns blog’s na internet que o Facebook, desde o dia 16/09/2012, moveu todo seu conteúdo de págnas pessoais, fotos e videos para a infra estrutura da Akamai – o que explicava domínios da Akamai sendo resolvidos nos log’s.

Nosso cliente até a 2 anos atrás, hospedava conteúdo na Akamai e por isso o IP estava ali…apesar que, ficamos sem entender ainda porque o mesmo foi colocado na rede interna.

Como muitas pessoas relataram problemas no acesso ao Facebook nos últimos dias, vai aí duas dicas para resolver o problema:

1 – Se sua empresa teve algum tipo de relação com a Akamai, verifique se nenhum dos IP’s abaixo consta da sua rede interna:

74.125.234.0/24

107.22.198.211

157.55.34.241

157.55.34.242

157.56.229.210

157.55.36.41

173.252.101.16

173.252.101.19

69.63.189.70

69.63.189.74

69.63.190.70

69.63.190.74

69.171.242.70

64.94.107.46

65.55.52.99

66.220.158.70

66.220.158.74

2 – Se vc usa filtro de conteúdo do Forefront TMG (URL Filtering) – as URL’s da Akamai podem fazer parte de categorias bloqueadas na sua infra estrutura, então fique atento e atualize as categorias via informações que você verá nas log’s do produto

Caso Bancos

Também fomos acionados para verificar problemas que os usuários estavam tendo para enviar documentos via sites de Bancos (no caso do cliente, Safra e Bradesco). Não havia nenhum log de erro, ou deny no Forefront TMG e os traces do Network Monitor não retornavam nada suspeito.

A única certeza que tivemos é que, por um device de 3G o problema não ocorria. Um dos responsáveis pelo firewall de borda apontou as requisições de um usuário de testes para uma rede destinada a visitantes e o problema também não ocorreu.

Começamos então a analisar a infra estrutura do TMG que foi montada a alguns tempo:

  • 2 Servidores em balanceamento de carga – detalhe que o IP de balanceamento não estava sendo usado
  • Arquitetura de rede Edge com um IP classe C para rede interna e um IP válido (200) para a externa
  • Os acessos via TMG usam o IP válido da placa externa após validação no firewall
  • Acessos feitos a partir de script wpda.dat para os acessos via Forefront TMG Client
  • O balanceamento era feito através de DNS Round Robin

Fizemos acessos ao site dos bancos utilizando somente um dos servidores TMG por webproxy (declarando no browser o endereço físico do servidor na porta 8080) e o problema não ocorreu. Repetimos o mesmo procedimetnto para o outro node do TMG com o mesmo resultado.

Ao repetir o teste pelo host em que foi definido o DNS Round Robin, vimos que o problema voltou a ocorrer.

Suspeitamos de algum block no destino pois, via DNS Round Robin, as conexões faziam com que a saída ocorresse por mais de um IP válido. Em paralelo um dos analistas envolvidos conseguiu informações de que o Bradesco barra conexões que  usam mais de um IP.

Dessa forma a solução adotada foi a seguinte:

Usar o IP válido definido no NLB do TMG com uma regra de rede apontando todos os acessos oriundos da rede interna para os IP’s do Bradesco.

image

O Procedimento foi feito conforme abaixo:

Criado um Computer Set no Forefront TMG colocando as ranges de IP do Bradesco:

image

image

image

Na console do Forefront TMG, na opção Networks e aba Network Rules

image

No painel a direita, clique em Create a Network Rule, defina um nome para sua regra e clique Next

image

Defina a rede Interna como a rede de origem e clique Next

image

Defina a Computer Set “Bradesco” criada com os IP’s citados no primeiro passo como destino e clique Next

image

Selecione a opção Network Address Translater (NAT) e clique Next

image

Definido o IP de balanceamento previamente configurado para ser o IP a ser usado pelas conexões as ranges definidas na regra clique Next

image

Na tela abaixo clicar em Finish de depois Apply para aplicar a regra

image

Após os procedimentos acima o problema foi resolvido. Lembrando que o mesmo procedimento foi feito para o acesso ao banco Safra com um Computer Set usando as ranges do banco conforme abaixo:

image

Os IP’s citados nas sets são os IP’s válidos dos bancos que você pode tomar nota caso haja necessidade de fazer o procedimento citado neste artigo.

Lembrando que o Bradesco também moveu parte de seu conteúdo para a Akamai. Neste caso atenção para você que usa o URL Filtering ou outra solução de filtro de conteúdo.

Espero que este artigo possa ser útil!~

Abraços

Uilson

Categorias:Fore Front TMG 2010
  1. Paulo Oliveira
    3 de outubro de 2012 às 17:07

    Legal o artigo Uilsão! Bem detalhado!

    • 3 de outubro de 2012 às 17:19

      Valeu Paulo! A dor de cabeça no cliente foi grande…rs.rs

  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: