Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 9459 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to configure Microsoft DirectAccess

Bembel
Dear all,

I have been banging my head trying to find a valid configuration for Microsoft's DirectAccess using our firewalls (HA cluster, both running 9.003-16).

As already stated in the few threads here packets cannot be altered so NAT is not an option. One of my colleagues configured their Checkpoint to respond to the client's ARP request with the DA machine's address rather than the firewall's and once the packet hits the Checkpoint firewall it gets automatically routed (static route) to the DA machine in the DMZ. Both the external firewall interface for DA and the DA machine internally have the same (additional) public IP addresses.

On our firewalls I tried static and policy routes but without success. Does anyone have this configuration up-and-running?

Cheers,

Bembel


This thread was automatically locked due to age.
  • 0 in reply to jeff.welling
    Please see this page for what to add firewall rules for: Forefront UAG DirectAccess prerequisites


    Hi Jeff,

    thank you for your post, but this is one of the documents I read first when setting up the whole infrastructure.

    Problem is that I must not use NAT and furthermore have to transfer packets from the external Internet side to our DMZ unaltered. Additionally the endpoint IP address is configured twice - on our firewall AND on the UAG machine - in order to be able to activate DirectAccess on the UAG. This is the setup which is working with a Checkpoint but I cannot put in the same rules on my firewall, at least I do not know which rule is correct (policy based, interface or gateway etc.?). That's the reason I am asking for assistance in this forum - if someone would have already configured this successfully it would be great to share the setup configuration.

    Cheers,

    Bembel
  • 0 in reply to Bembel
    Hi Bembel,

      We too had an issue with this with our checkpoint firewalls.  We had to request a new block of ip address and make a second dmz with public address to be able to put direct access behide a firewall. So we have one dmz with a 192.168.230.*** that is non routeable. Than another dmz with say 64.234.23.***. Remember if you are doing an array with the UAG servers on VMware, make sure your switch supports multicasting.
    Hope this helps

    Thanks
    Zach
  • 0
    Dear all,

    turned out I was never able to configure DirectAccess on Windows Server 2008 R2 (TMG/UAG) to run behind our UTMs, so I put one of the UAG NICs directly on the Internet (which is Microsoft's recommended design).
    Now that we migrated DirectAccess (now called "RemoteAccess") to Windows Server 2012, which is capable of SSL NAT, the "external" NIC is on the DMZ and behind our UTMs again.

    Case closed (but without a real solution).

    Cheers!

    Bembel
  • 0 in reply to Bembel
    I am also interest in this, I have multiple services published through UTM WebServer protection e.g. workfolders, RD Gateway, various websites. However, I cannot seem to get DirectAccess 2012r2 working. I have published as normal for HTTPS (443) and also created a DNAT rule to allow TCP 62000 and Firewall (this does test successfully from external). But, DirectAccess will not seem to connect; have anyone been able to do this?

    I am using a single nic, if I change this rule to send 443 direct, missing out UTM it works, but I lose all my other services.
  • 0
    Hi, sabe, and welcome to the User BB!

    #2 in Rulz will help you understand why the DNAT does what it does.  I don't think that you can have only part of the conversation between server and client go through Webserver Protection, so I don't think you can use that at all for DirectAccess.

    Cheers - Bob
    PS I deleted your duplicate post in the other thread.