A todos que visitarem este tópico, aviso que o problema está resolvido. Por não possuir experiência com o pfsense, mas possuir bom conhecimento de Debian resolvi o meu problema da seguinte forma:
- Optei por não utilizar o pfsense e sim o Debian devido a minha familiaridade com o sistema e tbem alguns problemas que tive com 3 placas de rede (qdo conectava apenas 2 interfaces funcionava, qdo conectava 3 interfaces uma delas apresentava queda. Ficava caindo constantemente. TRoquei o PC, troquei as placas de rede,mas não adiantou); - realizei algumas alterações em alguns serviços que já existiam em me servidor, os serviços alterados foram: DNS, DHCP, SQUID, Script Firewall, e rotas - Algumas das configurações utilizadas para a solução deste problema foram: * Alterações no Script do Firewall ############### ALTERAÇÕES NO FIREWALL ##################################### # Fazer com que cada pacote que sai por eth1 (VPN) tenho o IP do roteador na eth1 iptables -t nat -A POSTROUTING -o <INTERFACE VPN> -j MASQUERADE # Fazer com que cada pacote que sai por etho (Velox) tenho o IP do roteador na eth0 iptables -t nat -A POSTROUTING -o <INTERFACE VELOX> -j MASQUERADE ############### FIM DAS ALTERAÇÕES NO FIREWALL ############################# * Alterações nas rotas ############### ALTERAÇÕES NAS ROTAS ##################################### # Rotear pacotes para a rede da VPN para eth1, deve-se conhecer a(s) rede(s), uma entrada para cada uma route add -net <ENDEREÇO DE REDE DA REDE DE DESTINO - VPN> gw <ENDEREÇO IP DO GATEWAY DA VPN> dev <INTERFACE VPN> # Tirar roteamento padrão para eth1 (VPN), pode dar erro, mas ignore route del default gw <gateway_da_vpn> dev <INTERFACE VPN> # Colocar roteamento padrão para eth0 (Velox), pode dar erro, mas ignore route add default gw <gateway_da_velox> dev <INTERFACE VELOX> ############### FIM DAS ALTERAÇÕES NAS ROTAS ############################ - Após estas alterações utilizei-me do meu DNS interno para resolver os domínios da minha Intranet - Alterei o DNS de todas as estações da rede, através do meu DHCP, para utilizarem-se apenas do DNS local - Alterei no SQUID para que ele busque apenas as resoluções de nomes do meu DNS local, ignorando o resolv.conf E pronto .... Tudo funcionando .... Tenho certeza que se fosse fazer com o pfsense seria até mais simples, mas como disse anteriormente, não tenho conhecimento desta ferramenta e devido a isso resolvi fazer com a que possuo mais familiaridade. Até mais, e boa sorte pra quem estiver com o mesmo problema !!! Até mais PaulinhoLinux ----------------------------------------------------------------------------------------------------------------------- PaulinhoLinux e-mail.... paulinholinux arroba yahoo ponto com ponto br skype.... paulinholinux "Ter problemas na vida é inevitável, ser derrotado por eles é opcional." ----------------------------------------------------------------------------------------------------------------------- ________________________________ De: Bruno Antunes <[email protected]> Para: PaulinhoLinux <[email protected]> Enviadas: Segunda-feira, 15 de Abril de 2013 12:39 Assunto: Re: [Pfsense-pt] Problema com Link de internet e VPN Para os sites que são acessíveis via VPN, basta uma rota no pfsense. Os outros sites, resolvem para o IP público da outra ponta? Em 15/04/2013 09:56, "PaulinhoLinux" <[email protected]> escreveu: Alguns sites se eu digitar o endereço www.site.intranet.br são acessíveis tanto pela VPN qto pela internet. A diferença é o conteúdo disponibilizado. >O da internet com conteúdo específico para ampla divulgação, e o site que está >hospedado via VPN (na intranet) possui as informações divulgadas na internet e >tbm outras informações, que apenas deverão ser acessadas pelo pessoal da >Matriz. > > >Nem todos os sites são assim, mas existem esses casos. > > > > > > >----------------------------------------------------------------------------------------------------------------------- >PaulinhoLinux > > > >e-mail.... paulinholinux arroba yahoo ponto com ponto br >skype.... paulinholinux > > > >"Ter problemas na vida é inevitável, >ser derrotado por eles é opcional." >----------------------------------------------------------------------------------------------------------------------- > > >________________________________ > De: Bruno Antunes <[email protected]> >Para: PaulinhoLinux <[email protected]> >Cc: Lista em Português sobre pfSense <[email protected]> >Enviadas: Segunda-feira, 15 de Abril de 2013 7:09 >Assunto: Re: [Pfsense-pt] Problema com Link de internet e VPN > > > >Para a suaLAN >, os domínios com intranet.br resolvem para IPs válidos ou locais? >Em 15/04/2013 01:30, "PaulinhoLinux" <[email protected]> escreveu: > >Acho que acabei complicando mesmo .... vou tentar me expressar melhor dessa >vez. >> >>o que eu tenho hoje: >> >>INTERNET ---> modem adsl velox ---> servidor com firewall e proxy filtro de >>pacote e conteúdo com debian ---> rede local >> >>INTERNET ---> link mpls/link dedicado ---> roteador cisco contendo a conexão >>com a matriz ---> cabo de rede desconectado >> >> >>* O que tenho hoje é este cenário. Possuo um Link de internet velox que chega >>até um servidor que está rodando um firewall filtro de pacotes e conteúdo com >>Debian. >> >>* E a recém chegada VPN da Matriz, que deverá me conectar aos sistemas >>corporativos. >> >>O que eu preciso fazer: >> >>* unir a conexão de VPN que chegou (e que me interliga com a matriz) com a >>rede atual, permitindo aos computadores da rede local a utilização da mesma. >>Esta união deverá ocorrer de forma transparente ao usuário, ou seja, ele ao >>digitar www.empresa.intranet.br (ou qualquer domínio .intranet.br) terá seu >>tráfego redirecionado para o link de VPN que vem da matriz. Caso ele deseje >>acessar qualquer outro site (como por exemplo www.google.com.br) o tráfego >>deverá sair pelo link de internet do velox. O link de VPN será utilizado >>apenas para os sistemas da Intranet da organização, e a Internet para todo o >>restante da navegação. >> >>* O servidor que atualmente atua como firewall filtro de pacotes e conteúdo >>deverá ficar da forma que está hoje, não pretendo mexer nele. Apenas se for >>extremamente necessário. Atualmente ele realiza o controle de internet da >>empresa através de diversos filtros e classificações de níveis de usuário, ou >>seja, ele seria um aliado para o pfsense, fazendo a filtragem do que pode ou >>não ser acessado. Imagino que a topologia ideal seria: >> >>rede local --- servidor firewall filtro de pacotes e conteúdo --- pfsense --- >>os 2 links (internet velox e VPN Matriz) >> >>OBS1): Tentando explicar um pouco mais, ficaria assim. Caso um pacote precise >>chegar até o site www.google.com.br, ele deveria: >> >>- sair do computador do usuário; >>- buscar pelo gateway da rede (que neste caso seria o firewall filtro de >>pacotes e conteúdo); >>- este deveria verificar quais são as permissões e restrições do usuário >>(permitindo ou negando); >>- caso este usuário possa acessar o endereço requisitado, este pacote deverá >>ser encaminhado ao pfsense; >>- o pfsense deverá, analisar se este pacote está tentando acessar um sistema >>da intranet da empresa ou um site da internet; >>- o pfsense decidirá, por qual rota enviará o pacote, pela internet do velox, >>ou pela VPN da Matriz; >>- como o pacote deseja acessar o endereço www.google.com.br (que é um site da >>internet) este deverá ser encaminhado para a interface de rede que está >>conectado o link de internet velox. Mas se fosse um endereço do domínio >>.intranet.br ele deveria ser encaminhado para a interface de rede que está >>conectado o link de VPN da Matriz. >> >> >>OBS 2): Fiz diversas buscas na internet e encontrei uma informação, disseram >>que se eu fizer um load balance com pfsense colocando a rota da VPN da Matriz >>como default eu solucionaria o meu problema, mas não tenho certeza se é esta >>mesmo a solução para o meu problema. Porque pelo que eu sei o load balance >>apenas irá enviar hora um pacote por um link, hora um pacote pra outro, >>compensando assim a velocidade e não fazendo esta separação que eu preciso. >> >> >>Diante do exposto gostaria muito da ajuda de vcs ..... >> >>Obrigado >> >>PaulinhoLinux >> >> >> >> >>----------------------------------------------------------------------------------------------------------------------- >>PaulinhoLinux >> >> >>e-mail.... paulinholinux arroba yahoo ponto com ponto br >>skype.... paulinholinux >> >> >>"Ter problemas na vida é inevitável, >>ser derrotado por eles é opcional." >>----------------------------------------------------------------------------------------------------------------------- >> >> >>________________________________ >> De: Paulo Henrique <[email protected]> >>Para: Lista em Português sobre pfSense <[email protected]> >>Enviadas: Domingo, 14 de Abril de 2013 19:03 >>Assunto: Re: [Pfsense-pt] Problema com Link de internet e VPN >> >> >>Em 14 de abril de 2013 16:33, Jeimerson Chaves <[email protected]>escreveu: >> >>> Amigo mas vc vai colocar o pfSense no lugar do linux? Não entendi. Onde ele >>> vai ficar nisso? >>> Se for vc pode ir em NAT e fazer um redirect para a sua rede. >>> >>> >>> Em 13 de abril de 2013 19:06, PaulinhoLinux <[email protected]> escreveu: >>> >>> > >>> > >>> > Fala galera tdo blzzz... >>> > >>> > Estou com um problema, e gostaria de obter ajuda. >>> > >>> > Tenho seguinte cenário: >>> > >>> > - 1 Link de internet Velox 2 Mbps - conectado na eth0 >>> > - 1 Link que contém a VPN da matriz (já tratada pelo router cisco que me >>> > entrega um determinado ip) - conectado na eth1 >>> > - Computadores da Rede local - Conectada na eth2 >>> > >>> > >>> > Diante do apresentado segue o que preciso fazer: >>> > >>> > >>> > * Sempre que um equipamento da rede local, que está conectada na eth2, >>> > acessar o site www.google.com.br o pacote será encaminhado para a eth0 >>> > (link que está conectado o velox). >>> > >>> > * Sempre que um equipamento da rede local, que está conectado na eth2, >>> > acessar o site www.minhaempresa.intranet.br (ou algum domínio . >>> intranet.br) >>> > o pacote será encaminhado para a eth1 (link que está conectado a VPN da >>> > matriz) >>> > >>> > >>> > * Não pretendo retirar o meu squid que roda hoje na rede, até porque ele >>> > possui políticas de acesso a internet e uma geração de relatórios que me >>> > ajuda muito. Este proxy squid ficará conectado entre a eth2 (rede local) >>> e >>> > o pfsense (firewall) que fará a concatenação destes links de internet e >>> VPN. >>> > >>> > >>> > O meu squid já possui um firewall rodando neste equipamento (script >>> criado >>> > por mim, que faz apenas o básico de segurança), só que a chegada desta >>> VPN >>> > complicou um pouco a minha vida. Tentei montar estas regras com o junto >>> com >>> > as regras do iptables que já estão implementadas hoje neste servidor mas >>> > não obtive sucesso. >>> > >>> > Após diversas buscas na internet encontrei o pfsense. Ele me pareceu ser >>> > uma excelente ferramenta, só que como não tenho experiência com ele >>> (tenho >>> > com iptables, squid, mas nunca trabalhei com o pfsense) preciso muito da >>> > ajuda de alguém. Procurei por uma solução para o meu problema no google, >>> > mas não obtive sucesso nas buscas. Gostaria muito de obter a ajuda de >>> vcs. >>> > Alguém poderia me ajudar? >>> > >>> > Obrigado, >>> > >>> > Até mais >>> > >>> > PaulinhoLinux >>> > >>> > >>> > >>> > >>> > >>> > >>> > >>> > >>> ----------------------------------------------------------------------------------------------------------------------- >>> > PaulinhoLinux >>> > >>> > >>> > e-mail.... paulinholinux arroba yahoo ponto com ponto br >>> > skype.... paulinholinux >>> > >>> > >>> > "Ter problemas na vida é inevitável, >>> > ser derrotado por eles é opcional." >>> > >>> > >>> ----------------------------------------------------------------------------------------------------------------------- >>> > _______________________________________________ >>> > Pfsense-pt mailing list >>> > [email protected] >>> > http://lists.pfsense.org/mailman/listinfo/pfsense-pt >>> > >>> _______________________________________________ >>> Pfsense-pt mailing list >>> [email protected] >>> http://lists.pfsense.org/mailman/listinfo/pfsense-pt >>> >> >>Acho que acabou se embolando no meio de campo. >> >>Vamos lá... >> >>A sua saida para a internet ( WAN ) é via a adsl de 2Mb/600kb ( down/up ), >>o IP tables que mantem o nat. >>Um segundo link que chega no seu roteador cisco é conectado na eth1, o link >>é dedicado a VPN não há trafego de internet nele, serve apenas para >>conectar a sua rede remota ( LAN2 ). >>A interface eth2 é a que se conecta a sua rede da matriz ( LAN1 ). >> >>Bom nesse cenário, creio que será da seguinte forma a configuração: >> >>LAN-REMOTA -> VPN-FILIAL -> INTERNET -> VPN-MATRIZ (cisco) -> LAN2 -> >>PFsense -> Internet >> >>A Lan-remota só se comunica na internet apos passar pela Matriz ? >> >>É isso ? >> >>-- >>:=)><(=: >>Rip NoRm4nD. >>Flamers > /dev/null !!! >>_______________________________________________ >>Pfsense-pt mailing list >>[email protected] >>http://lists.pfsense.org/mailman/listinfo/pfsense-pt >>_______________________________________________ >>Pfsense-pt mailing list >>[email protected] >>http://lists.pfsense.org/mailman/listinfo/pfsense-pt >> > > _______________________________________________ Pfsense-pt mailing list [email protected] http://lists.pfsense.org/mailman/listinfo/pfsense-pt
