Re: [FUG-BR] RES: Nat para tunnel IPSEC
Na verdade é net-to-host eu tenho uma /29 aqui que acessa um /32.. Apenas isso, nada mais... O que acontece aqui, é que lidar com banco eh uma m%$%#$^... Ai eles me deram a diretriz que eu preciso fazer nat de todas as outras maquinas da minha /29 para o ip final 1. Entendeu o meu drama.. Bom dia Tiago, O OpenBSD usa vpn dessa maneira (sem gif - http://www.openbsd.org/cgi-bin/man.cgi?query=vpnapropos=0sektion=0manpath=OpenBSD+Currentarch=i386format=html - muito bom esse manual) E eu fiz uma vez uma VPN FreeBSD OpenBSD e precisei fazer alguma coisa parecida com o que você esta tentando, eu criei a interface gif no FreeBSD (para poder adicionar a rota) e funcionou bem, sem maiores problemas (problema maior que IPSEC é dificil =)). Outra alternativa é você criar/usar uma interface enc onde você deve ter acesso a todos os pacotes que vão para o tunel e ali quem sabe, fazer o nat que você precisa. Abraços, Luiz PS: O bot mandou um recado: 97721255 - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: Nat para tunnel IPSEC
Voce tem certeza que o túnel é site a site? Se o túnel for host a host, você não vai conseguir fazer NAT e nada afins, afinal isto é uma falha de segurança que o IPSEC não iria deixar. Você esta certificando um host a conectar a outro host devidamente autenticado e autorizado, o NAT deixaria n hosts conversarem com a ponta, falha total de segurança. :) -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Tiago Sampaio Enviada em: segunda-feira, 15 de junho de 2009 12:40 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] Nat para tunnel IPSEC Nem é esse o caso.. Ele nem cai no tunnel... Me parece que ele continua na pilha de rede sem cair no tunnel, e com isso cai para o gateway padrão... E VPN3000 é um produto da cisco.. Vpn concentrator ou algo assim... Nunca vi um pessoalmente... Eu estou estabelecendo o tunnel com ele... 2009/6/15 irado furioso com tudo ir...@bsd.com.br Em Mon, 15 Jun 2009 11:35:44 -0300 Tiago Sampaio tnsamp...@bsd.com.br, conhecido consumidor de drogas (BigMac's com Coke) escreveu: Mas quando vc diz não se faz nat, vc quer dizer que é uma boa pratica não se fazer nat pra dentro do tunnel ou o Freebsd não suporta fazer isso? o nat altera o header do pacote, com isso o pacote (do outro lado) é descartado uma vez que o ipsec considera que foi corrompido. Existe bastante informação sobre isso no google, mas fiquei com preguiça de procurar. Aliás, outros produtos para vpn têm a mesma ação. O que é um vpn-3000? dependendo das caracteristicas, êle é o gw para a outra rede, salvo tenha alguma configuração exótica como bridge, por ex. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Os tolos aprendem com a própria experiência.Os inteligentes aprendem com a experiência alheia. [Otto von Bismarck] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Tiago N. Sampaio BSD Certified Associate - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Nat para tunnel IPSEC
Na verdade é net-to-host eu tenho uma /29 aqui que acessa um /32.. Apenas isso, nada mais... O que acontece aqui, é que lidar com banco eh uma m%$%#$^... Ai eles me deram a diretriz que eu preciso fazer nat de todas as outras maquinas da minha /29 para o ip final 1. Entendeu o meu drama.. 2009/6/15 Renato Frederick freder...@dahype.org Voce tem certeza que o túnel é site a site? Se o túnel for host a host, você não vai conseguir fazer NAT e nada afins, afinal isto é uma falha de segurança que o IPSEC não iria deixar. Você esta certificando um host a conectar a outro host devidamente autenticado e autorizado, o NAT deixaria n hosts conversarem com a ponta, falha total de segurança. :) -Mensagem original- De: freebsd-boun...@fug.com.br [mailto:freebsd-boun...@fug.com.br] Em nome de Tiago Sampaio Enviada em: segunda-feira, 15 de junho de 2009 12:40 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] Nat para tunnel IPSEC Nem é esse o caso.. Ele nem cai no tunnel... Me parece que ele continua na pilha de rede sem cair no tunnel, e com isso cai para o gateway padrão... E VPN3000 é um produto da cisco.. Vpn concentrator ou algo assim... Nunca vi um pessoalmente... Eu estou estabelecendo o tunnel com ele... 2009/6/15 irado furioso com tudo ir...@bsd.com.br Em Mon, 15 Jun 2009 11:35:44 -0300 Tiago Sampaio tnsamp...@bsd.com.br, conhecido consumidor de drogas (BigMac's com Coke) escreveu: Mas quando vc diz não se faz nat, vc quer dizer que é uma boa pratica não se fazer nat pra dentro do tunnel ou o Freebsd não suporta fazer isso? o nat altera o header do pacote, com isso o pacote (do outro lado) é descartado uma vez que o ipsec considera que foi corrompido. Existe bastante informação sobre isso no google, mas fiquei com preguiça de procurar. Aliás, outros produtos para vpn têm a mesma ação. O que é um vpn-3000? dependendo das caracteristicas, êle é o gw para a outra rede, salvo tenha alguma configuração exótica como bridge, por ex. -- saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free Os tolos aprendem com a própria experiência.Os inteligentes aprendem com a experiência alheia. [Otto von Bismarck] - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Tiago N. Sampaio BSD Certified Associate - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Tiago N. Sampaio BSD Certified Associate - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
