Junior, O problema está ai "encontrar"
Entra os FWs, ele encontra... Mas as máquinas dos usuários não encontram... Os FW tmbm servem de gateway para internet... então há uma regra route add defult gw IP_ISP... O que acontece é que quando a máquina na LAN1 pede (ao firewall) para contactar a outra máquina na LAN2 o firewall vai encaminha-lo para a internet.... Acho ke é isso ke acontece No dia 12 de Março de 2013 à2 11:46, Linux - Junior Polegato < [email protected]> escreveu: > Em 12-03-2013 08:19, Jorge Quiterio escreveu: > > Bom a todos!!! >> Tenho dois sites ligados via openvpn. >> nesses dois sites há um firewall configurados para trabalharem como >> gatway para internet... >> mais ou menos assim >> LAN 1--- Firewall 1---- ISP 1----------- ISP2------ Firewall 2----- LAN2 >> em Firewall 1 e em Firewall 2... existem três interfaces: >> eth0 - local >> eth1 - internet >> tun0 - vpn >> em Cada Firewall tenho... >> route add -net LAN[1,2]/24 gw tun0IP dev tun0 >> Consigo...: >> Pingar entre as interfaces tun0 das duas máquinas... >> Pingar entre as interfaces eth1 das duas máquinas.. >> No entanto não consigo fazer com que as máquinas das LAN's 1 e 2 se >> comuniquem >> Alguém tem alguma dica? >> Obrigado >> > > Olá! > > Pense no caminho do pacote, ele deve sair de IP1 (na LAN1) para > IP2 (na LAN2). Então o pacote sai de IP1 e vai para FW1, onde encontra a > regra "route add -net LAN2/24 gw TUN2 dev tun0", assim ele sai via tun0 de > FW1 em destino ao FW2, para o IP de TUN2 (IP de tun0 em FW2). Em FW2 ele > deve encontrar a regra "route add -net LAN2/24 dev eth0", então ele sai > pela eth0 de FW2 em direção à rede LAN2, onde encontra IP2. > > Na volta, ele sai de IP2 em direção à IP1, chega em FW2, encontra > a regra "route add -net LAN1/24 gw TUN1 dev tun0", sai por tun0 de FW2 e > chega em FW1, onde encontra o regra "route add -net LAN1/24 dev eth0", sai > pela eth0 de FW1 e direção à LAN1 e encontra o IP1. > > Verifique nos FWs os pacotes de chegam e saem utilizando wireshark > ou tcpdump com o filtro "-i any -n host IP2 or host IP2". > > > []'s > Junior Polegato > > > > -- > To UNSUBSCRIBE, email to > debian-user-portuguese-**[email protected]<[email protected]> > with a subject of "unsubscribe". Trouble? Contact > [email protected] > Archive: > http://lists.debian.org/**513F157A.60809@juniorpolegato.**com.br<http://lists.debian.org/[email protected]> > > -- Jorge Quitério IT Specialist unix.co.ao Linux User: #533142 [email protected] +244 927 161 667
