Para a suaLAN , os domínios com intranet.br resolvem para IPs válidos ou locais? Em 15/04/2013 01:30, "PaulinhoLinux" <[email protected]> escreveu:
> Acho que acabei complicando mesmo .... vou tentar me expressar melhor > dessa vez. > > o que eu tenho hoje: > > INTERNET ---> modem adsl velox ---> servidor com firewall e proxy filtro > de pacote e conteúdo com debian ---> rede local > > INTERNET ---> link mpls/link dedicado ---> roteador cisco contendo a > conexão com a matriz ---> cabo de rede desconectado > > > * O que tenho hoje é este cenário. Possuo um Link de internet velox que > chega até um servidor que está rodando um firewall filtro de pacotes e > conteúdo com Debian. > > * E a recém chegada VPN da Matriz, que deverá me conectar aos sistemas > corporativos. > > O que eu preciso fazer: > > * unir a conexão de VPN que chegou (e que me interliga com a matriz) com a > rede atual, permitindo aos computadores da rede local a utilização da > mesma. Esta união deverá ocorrer de forma transparente ao usuário, ou seja, > ele ao digitar www.empresa.intranet.br (ou qualquer domínio .intranet.br) > terá seu tráfego redirecionado para o link de VPN que vem da matriz. Caso > ele deseje acessar qualquer outro site (como por exemplo www.google.com.br) > o tráfego deverá sair pelo link de internet do velox. O link de VPN será > utilizado apenas para os sistemas da Intranet da organização, e a Internet > para todo o restante da navegação. > > * O servidor que atualmente atua como firewall filtro de pacotes e > conteúdo deverá ficar da forma que está hoje, não pretendo mexer nele. > Apenas se for extremamente necessário. Atualmente ele realiza o controle de > internet da empresa através de diversos filtros e classificações de níveis > de usuário, ou seja, ele seria um aliado para o pfsense, fazendo a > filtragem do que pode ou não ser acessado. Imagino que a topologia ideal > seria: > > rede local --- servidor firewall filtro de pacotes e conteúdo --- pfsense > --- os 2 links (internet velox e VPN Matriz) > > OBS1): Tentando explicar um pouco mais, ficaria assim. Caso um pacote > precise chegar até o site www.google.com.br, ele deveria: > > - sair do computador do usuário; > - buscar pelo gateway da rede (que neste caso seria o firewall filtro de > pacotes e conteúdo); > - este deveria verificar quais são as permissões e restrições do usuário > (permitindo ou negando); > - caso este usuário possa acessar o endereço requisitado, este pacote > deverá ser encaminhado ao pfsense; > - o pfsense deverá, analisar se este pacote está tentando acessar um > sistema da intranet da empresa ou um site da internet; > - o pfsense decidirá, por qual rota enviará o pacote, pela internet do > velox, ou pela VPN da Matriz; > - como o pacote deseja acessar o endereço www.google.com.br (que é um > site da internet) este deverá ser encaminhado para a interface de rede que > está conectado o link de internet velox. Mas se fosse um endereço do > domínio .intranet.br ele deveria ser encaminhado para a interface de rede > que está conectado o link de VPN da Matriz. > > > OBS 2): Fiz diversas buscas na internet e encontrei uma informação, > disseram que se eu fizer um load balance com pfsense colocando a rota da > VPN da Matriz como default eu solucionaria o meu problema, mas não tenho > certeza se é esta mesmo a solução para o meu problema. Porque pelo que eu > sei o load balance apenas irá enviar hora um pacote por um link, hora um > pacote pra outro, compensando assim a velocidade e não fazendo esta > separação que eu preciso. > > > Diante do exposto gostaria muito da ajuda de vcs ..... > > Obrigado > > PaulinhoLinux > > > > > > ----------------------------------------------------------------------------------------------------------------------- > PaulinhoLinux > > > e-mail.... paulinholinux arroba yahoo ponto com ponto br > skype.... paulinholinux > > > "Ter problemas na vida é inevitável, > ser derrotado por eles é opcional." > > ----------------------------------------------------------------------------------------------------------------------- > > > ________________________________ > De: Paulo Henrique <[email protected]> > Para: Lista em Português sobre pfSense <[email protected]> > Enviadas: Domingo, 14 de Abril de 2013 19:03 > Assunto: Re: [Pfsense-pt] Problema com Link de internet e VPN > > > Em 14 de abril de 2013 16:33, Jeimerson Chaves <[email protected] > >escreveu: > > > Amigo mas vc vai colocar o pfSense no lugar do linux? Não entendi. Onde > ele > > vai ficar nisso? > > Se for vc pode ir em NAT e fazer um redirect para a sua rede. > > > > > > Em 13 de abril de 2013 19:06, PaulinhoLinux <[email protected]> > escreveu: > > > > > > > > > > > Fala galera tdo blzzz... > > > > > > Estou com um problema, e gostaria de obter ajuda. > > > > > > Tenho seguinte cenário: > > > > > > - 1 Link de internet Velox 2 Mbps - conectado na eth0 > > > - 1 Link que contém a VPN da matriz (já tratada pelo router cisco que > me > > > entrega um determinado ip) - conectado na eth1 > > > - Computadores da Rede local - Conectada na eth2 > > > > > > > > > Diante do apresentado segue o que preciso fazer: > > > > > > > > > * Sempre que um equipamento da rede local, que está conectada na eth2, > > > acessar o site www.google.com.br o pacote será encaminhado para a eth0 > > > (link que está conectado o velox). > > > > > > * Sempre que um equipamento da rede local, que está conectado na eth2, > > > acessar o site www.minhaempresa.intranet.br (ou algum domínio . > > intranet.br) > > > o pacote será encaminhado para a eth1 (link que está conectado a VPN da > > > matriz) > > > > > > > > > * Não pretendo retirar o meu squid que roda hoje na rede, até porque > ele > > > possui políticas de acesso a internet e uma geração de relatórios que > me > > > ajuda muito. Este proxy squid ficará conectado entre a eth2 (rede > local) > > e > > > o pfsense (firewall) que fará a concatenação destes links de internet e > > VPN. > > > > > > > > > O meu squid já possui um firewall rodando neste equipamento (script > > criado > > > por mim, que faz apenas o básico de segurança), só que a chegada desta > > VPN > > > complicou um pouco a minha vida. Tentei montar estas regras com o junto > > com > > > as regras do iptables que já estão implementadas hoje neste servidor > mas > > > não obtive sucesso. > > > > > > Após diversas buscas na internet encontrei o pfsense. Ele me pareceu > ser > > > uma excelente ferramenta, só que como não tenho experiência com ele > > (tenho > > > com iptables, squid, mas nunca trabalhei com o pfsense) preciso muito > da > > > ajuda de alguém. Procurei por uma solução para o meu problema no > google, > > > mas não obtive sucesso nas buscas. Gostaria muito de obter a ajuda de > > vcs. > > > Alguém poderia me ajudar? > > > > > > Obrigado, > > > > > > Até mais > > > > > > PaulinhoLinux > > > > > > > > > > > > > > > > > > > > > > > > > > > ----------------------------------------------------------------------------------------------------------------------- > > > PaulinhoLinux > > > > > > > > > e-mail.... paulinholinux arroba yahoo ponto com ponto br > > > skype.... paulinholinux > > > > > > > > > "Ter problemas na vida é inevitável, > > > ser derrotado por eles é opcional." > > > > > > > > > ----------------------------------------------------------------------------------------------------------------------- > > > _______________________________________________ > > > Pfsense-pt mailing list > > > [email protected] > > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > > > > _______________________________________________ > > Pfsense-pt mailing list > > [email protected] > > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > > > > Acho que acabou se embolando no meio de campo. > > Vamos lá... > > A sua saida para a internet ( WAN ) é via a adsl de 2Mb/600kb ( down/up ), > o IP tables que mantem o nat. > Um segundo link que chega no seu roteador cisco é conectado na eth1, o link > é dedicado a VPN não há trafego de internet nele, serve apenas para > conectar a sua rede remota ( LAN2 ). > A interface eth2 é a que se conecta a sua rede da matriz ( LAN1 ). > > Bom nesse cenário, creio que será da seguinte forma a configuração: > > LAN-REMOTA -> VPN-FILIAL -> INTERNET -> VPN-MATRIZ (cisco) -> LAN2 -> > PFsense -> Internet > > A Lan-remota só se comunica na internet apos passar pela Matriz ? > > É isso ? > > -- > :=)><(=: > Rip NoRm4nD. > Flamers > /dev/null !!! > _______________________________________________ > Pfsense-pt mailing list > [email protected] > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > _______________________________________________ > Pfsense-pt mailing list > [email protected] > http://lists.pfsense.org/mailman/listinfo/pfsense-pt > _______________________________________________ Pfsense-pt mailing list [email protected] http://lists.pfsense.org/mailman/listinfo/pfsense-pt
