Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 9462 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to configure Microsoft DirectAccess

Bembel
Dear all,

I have been banging my head trying to find a valid configuration for Microsoft's DirectAccess using our firewalls (HA cluster, both running 9.003-16).

As already stated in the few threads here packets cannot be altered so NAT is not an option. One of my colleagues configured their Checkpoint to respond to the client's ARP request with the DA machine's address rather than the firewall's and once the packet hits the Checkpoint firewall it gets automatically routed (static route) to the DA machine in the DMZ. Both the external firewall interface for DA and the DA machine internally have the same (additional) public IP addresses.

On our firewalls I tried static and policy routes but without success. Does anyone have this configuration up-and-running?

Cheers,

Bembel


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to jeff.welling
    Please see this page for what to add firewall rules for: Forefront UAG DirectAccess prerequisites


    Hi Jeff,

    thank you for your post, but this is one of the documents I read first when setting up the whole infrastructure.

    Problem is that I must not use NAT and furthermore have to transfer packets from the external Internet side to our DMZ unaltered. Additionally the endpoint IP address is configured twice - on our firewall AND on the UAG machine - in order to be able to activate DirectAccess on the UAG. This is the setup which is working with a Checkpoint but I cannot put in the same rules on my firewall, at least I do not know which rule is correct (policy based, interface or gateway etc.?). That's the reason I am asking for assistance in this forum - if someone would have already configured this successfully it would be great to share the setup configuration.

    Cheers,

    Bembel
  • 0 in reply to Bembel
    Hi Bembel,

      We too had an issue with this with our checkpoint firewalls.  We had to request a new block of ip address and make a second dmz with public address to be able to put direct access behide a firewall. So we have one dmz with a 192.168.230.*** that is non routeable. Than another dmz with say 64.234.23.***. Remember if you are doing an array with the UAG servers on VMware, make sure your switch supports multicasting.
    Hope this helps

    Thanks
    Zach