Re: [FUG-BR] VPN com redes iguais
Pessoal, Eu ainda não consegui resolver esse assunto, então peço novamente as preciosas dicas dos senhores que entendam um pouco do famigerado Package Filter do FreeBSD 6.0. O que eu preciso fazer é uma solução documentada no FAQ do OpenVPN, mas somente para Linux: Does anybody know how to remap local addresses, if I want to connect two networks with an overlap in the private address range? Using iptables 1.2.7a+ and the NETMAP target: iptables -t nat -A PREROUTING -d 192.168.0.0/24 -j NETMAP --to 192.168.1.0/24 O que eu quero fazer não parece muito difícil, mas eu não sei como fazer essas linhas no pf.conf, olhem: 192.168.0.0/24 192.168.0.0/24 --+-- GW1 GW2 -+--- | [nat2] [nat1] | X Y Bom... a teoria mais apurada está no link abaixo, onde o pessoal da freebsd-net me deu um help teórico, mas eu gostaria de começar a arranhar essas regras na pática: http://lists.freebsd.org/pipermail/freebsd-net/2006-February/009645.html Alguém sabe como eu posso começar? Obrigado! ___ freebsd mailing list freebsd@fug.com.br http://lists.fug.com.br/listinfo.cgi/freebsd-fug.com.br
Re: [FUG-BR] VPN com redes iguais
hmm... eu acho que o problema nêsse post aí é o seguinte: o chamado road-warrior ou um caixeiro-viajante que tem que se conectar de várias partes do mundo e fechar o túnel vpn em seguida. Isso tem que ser destrinchado de modo diferente do mais convencional, quando temos redes e conexões fixas. Eu não me lembro bem onde vi documentação a respeito, mas existe e pode ser encontrada pelo google - hj eu tô preguiçoso e não vou fazê-lo (rs). Mas o seu caso não é bem êsse.. se entendi a prosa desde o comêço, os seus clientes terão conexão fixa porém com (possívelmente) redes iguais ao destino do túnel, com o consequente inconveniente disso não funcionar. Uma alternativa seria a conexão ser feita a um gateway SEU, fazendo o papel de hub/concentrador de conexões, que disponibilizaria um ip-addr SEU (hdcp) e fazendo o tunneling para a rede destino.. os ip-addr disponibilizados seriam, por exemplo, da rede 10.0.0.0/8 (classe A), com nat e o escambau. Se funciona? não vou jurar a respeito. Mas já que o problema é espinhoso.. sei lá, vale tudo, até chá de camomila. Original Message: - From: Tiago Cruz [EMAIL PROTECTED] Se vocês quiserem ler para comentarem algo mais humano, e em português eu iria adorar, heheheheh http://lists.freebsd.org/pipermail/freebsd-net/2006-February/009645.html mail2web - Check your email from the web at http://mail2web.com/ . ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] VPN com redes iguais
Olá Irado, (off: Mandei para você ontem um e-mail daquelas contribuições que fizemos a documentação do IPSec, espero que não tenha se assustado :-p ) On Thu, 2006-02-02 at 05:21 -0500, [EMAIL PROTECTED] wrote: hmm... eu acho que o problema nêsse post aí é o seguinte: o chamado road-warrior ou um caixeiro-viajante que tem que se conectar de várias partes do mundo e fechar o túnel vpn em seguida. É isso mesmo, meu problema. Se o cara quiser se conectar de um aeroporto ou de um hotel, a VPN tem que funcionar. Mas o seu caso não é bem êsse.. se entendi a prosa desde o comêço, os seus clientes terão conexão fixa porém com (possívelmente) redes iguais ao destino do túnel, com o consequente inconveniente disso não funcionar. Isso mesmo, se a rede do cliente for 192.168.0.0 a coisa não funciona. Uma alternativa seria a conexão ser feita a um gateway SEU, fazendo o papel de hub/concentrador de conexões, que disponibilizaria um ip-addr SEU (hdcp) e fazendo o tunneling para a rede destino.. os ip-addr disponibilizados seriam, por exemplo, da rede 10.0.0.0/8 (classe A), com nat e o escambau. Eu havia tentado com o mpd/pptp que dava para o cliente um IP da minha rede interna, algo como 192.168.1.50/22 e não funcionava. Agora, com o OpenVPN, o cara recebe um IP 10.8.0.x/24. Mas para ele acessar a minha rede, eu mando o OpenVPN criar essa rota: push route 192.168.0.0 255.255.252.0 Assim, mesmo o doidinho com um IP 10.8.0.10/24 ele consegue acessar minha rede 192.168.0.0/22. E mesmo assim, não funciona :-p Foi isso que você quis dizer? Brigadduuu!!! -- Tiago Cruz http://linuxrapido.org Linux User #282636 The box said: Requires MS Windows or better, so I installed Linux ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] VPN com redes iguais
oi, tiago. Bem, o pf tem o rdr que seria (ou é) o correspondente ao natd/ipnat de outros filtros de pacotes. Sugiro FORTEMENTE que leia com atenção o pf.conf que veio no seu /etc, lá vc tem um bocado de exemplos úteis. Quanto ao nat (rdr) saber, é vc quem define isso - leia o pf.conf e vai entender. Básicamente: o acesso via ´interface-a´ deve ser redirecionado para 'interface-b', assumindo o ip-addr desta última. BTW, como bridge creio que não há como fazer o mascaramento. Original Message: - From: Tiago Cruz [EMAIL PROTECTED] Date: Tue, 31 Jan 2006 16:58:50 -0200 To: Freebsd@fug.com.br Subject: Re: [FUG-BR] VPN com redes iguais Mas o pessoal falou do natd, e eu estou usando o pf. Será que posso usar os dois ao mesmo tempo? E como o NAT vai saber quando o 192.168.0.0 eh a minha rede verdadeira e quando o 192.168.0.0 eh a VPN que eu nao consigo acessar? --- saudações, irado furioso com tudo FreeBSD BSD50853/Linux User 179402 Mulheres são como piscinas: o custo de manutenção é alto demais para o tempo que permanecemos dentro delas. mail2web - Check your email from the web at http://mail2web.com/ . ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] VPN com redes iguais
On Wed, 2006-02-01 at 05:08 -0500, [EMAIL PROTECTED] wrote: oi, tiago. Olá Mr Irado-sama :) Bem, o pf tem o rdr que seria (ou é) o correspondente ao natd/ipnat de outros filtros de pacotes. Bom cara... eu to meio perdidão, não sei como começar ao certo. O pessoal da FreeBSD-net me explicou umas coisas meio malucas que tenho que testar. Se vocês quiserem ler para comentarem algo mais humano, e em português eu iria adorar, heheheheh http://lists.freebsd.org/pipermail/freebsd-net/2006-February/009645.html Obrigado! -- Tiago Cruz http://linuxrapido.org Linux User #282636 The box said: Requires MS Windows or better, so I installed Linux ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] VPN com redes iguais
Bom tenhos redes iguais conectadas via pptp porem meu unico problema e o acesso ao gateway se o mesmos forem iguais. Abraço On 2/1/06, Tiago Cruz [EMAIL PROTECTED] wrote: On Wed, 2006-02-01 at 05:08 -0500, [EMAIL PROTECTED] wrote: oi, tiago. Olá Mr Irado-sama :) Bem, o pf tem o rdr que seria (ou é) o correspondente ao natd/ipnat de outros filtros de pacotes. Bom cara... eu to meio perdidão, não sei como começar ao certo. O pessoal da FreeBSD-net me explicou umas coisas meio malucas que tenho que testar. Se vocês quiserem ler para comentarem algo mais humano, e em português eu iria adorar, heheheheh http://lists.freebsd.org/pipermail/freebsd-net/2006-February/009645.html Obrigado! -- Tiago Cruz http://linuxrapido.org Linux User #282636 The box said: Requires MS Windows or better, so I installed Linux ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br -- Rafael Floriano Sousa Sales Segurança da Informação Tompast IT Services e-mail: [EMAIL PROTECTED] +55-11-4051-2204 +55-11-8433-2281 +55-11-4051-2201 ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] VPN com redes iguais
Search the web by email! mailto:[EMAIL PROTECTED] adding your search to the subject line like this: search summer vacations ué.. a mim parece apenas uma condição nat convencional - a rede xxx.xxx.0.xxx sendo nat´ed para sair como xxx.xxx.1.xxx. O exemplo do pf deve cobrir, com segurança isso aí. Ou eu não entendi po** nenhuma? iptables -t nat -A PREROUTING -d 192.168.0.0/24 -j NETMAP --to 192.168.1.0/24 Então realmente eu não sei :-( ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] VPN com redes iguais
On Tue, 2006-01-31 at 18:06 +, [EMAIL PROTECTED] wrote: ué.. a mim parece apenas uma condição nat convencional - a rede xxx.xxx.0.xxx sendo nat´ed para sair como xxx.xxx.1.xxx. O exemplo do pf deve cobrir, com segurança isso aí. Ou eu não entendi po** nenhuma? Mas o pessoal falou do natd, e eu estou usando o pf. Será que posso usar os dois ao mesmo tempo? E como o NAT vai saber quando o 192.168.0.0 eh a minha rede verdadeira e quando o 192.168.0.0 eh a VPN que eu nao consigo acessar? -- Tiago Cruz http://linuxrapido.org Linux User #282636 The box said: Requires MS Windows or better, so I installed Linux ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] VPN com redes iguais
ué.. e o que impede vc de alterar a sua rede (em casa)? Salvo tenha (em casa) uma rede imensa... coisa assim de umas 50 ou mais estações (mesmo assim, o dhcp deve estar no ar). Não me lembra de ter visto, algum dia, algo como o solicitado. Pode até existir, claro. Original Message: - From: Tiago Cruz [EMAIL PROTECTED] Subject: [FUG-BR] VPN com redes iguais Pessoal, Em casa, eu tenho a rede 192.168.0.0/24 e no serviço tenho uma 192.168.0.0/22. --- saudações, irado furioso com tudo FreeBSD BSD50853/Linux User 179402 Mais atrocidades são cometidas em nome das religiões do que em nome do ateísmo. mail2web - Check your email from the web at http://mail2web.com/ . ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] VPN com redes iguais
On Sat, 2006-01-28 at 00:44 -0200, Tiago N. Sampaio wrote: A maneira mais simples e rapida eh vc alterar a rede da sua casa pra 192.168.1.0/24 e nunca mais ter dor de cabeça... Ah sim, eu ja fiz isso e funcionou a contento no Linux. No Windows não funciona porque o ICS insiste em usar a apenas 192.168.0.0/24 e não importa o quanto você tente dizer o contrário :-) O problema não é bem a minha casa, só usei ela de exemplo... o problema são os clientes que vão conectar de vários lugares do mundo e eu não tenho como controlar isso :-( Mas se vc REALMENTE quer deixar as rede iguais, tente fazer um bridge... mas naum sei se eh possivel fazer isso, usando encapsulamento IPSEC... Eu estou usando o OpenVPN, você sabe de maiores informações de como usar essa técnica ninja? Valeu!!! -- Tiago Cruz http://linuxrapido.org Linux User #282636 The box said: Requires MS Windows or better, so I installed Linux ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] VPN com redes iguais
On Mon, 2006-01-30 at 05:41 -0500, [EMAIL PROTECTED] wrote: ué.. e o que impede vc de alterar a sua rede (em casa)? Salvo tenha (em casa) uma rede imensa... coisa assim de umas 50 ou mais estações (mesmo assim, o dhcp deve estar no ar). Expliquei no e-mail anterior: O problema não é minha casa, mas sim os outros clientes que deverão acessar a rede... :) Não me lembra de ter visto, algum dia, algo como o solicitado. Pode até existir, claro. Eu achei que não teria jeito, que vocês iam rir da minha cara por querer algo tão sem lógica (na minha cabeça) Mas ja que existe tal técnica Samurai de 500 anos, estou curioso para domina-la :-p -- Tiago Cruz http://linuxrapido.org Linux User #282636 The box said: Requires MS Windows or better, so I installed Linux ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] VPN com redes iguais
bem.. continua sendo (pra mim, claro) meio obscuro. Devo entender que, por exemplo, seus clientes PODEM TER redes iguais àquela da emprêsa e que, por isso, fica mais ou menos impraticável mudar o ip-addr de todo mundo. Bem.. é um complicador, de fato. A únicas coisas que posso imaginar, em principio, seriam as seguintes: a) vc passar a ser um hub concentrador das vpn´s dos clientes, que acessariam sua máquina/gateway via - por exemplo - ssh e, a partir de sua autenticação, serem nat´d e em seguida encaminhados via SEU túnel. Nem imagino como isso seria - é apenas uma besteira intelectual.. err.. exercício intelectual, por enquanto :) b) hmm.. não é o caso de rirmos da sua cara. O problema existe, com características próprias. Inusitado, incomum, mas não ridículo :) c) de que técnica samurai é essa à qual vc se refere? boiei.. Original Message: - From: Tiago Cruz [EMAIL PROTECTED] Expliquei no e-mail anterior: O problema não é minha casa, mas sim os outros clientes que deverão acessar a rede... :) Eu achei que não teria jeito, que vocês iam rir da minha cara por querer algo tão sem lógica (na minha cabeça) Mas ja que existe tal técnica Samurai de 500 anos, estou curioso para domina-la :-p --- saudações, irado furioso com tudo FreeBSD BSD50853/Linux User 179402 Mais atrocidades são cometidas em nome das religiões do que em nome do ateísmo. mail2web - Check your email from the web at http://mail2web.com/ . ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] VPN com redes iguais
A maneira mais simples e rapida eh vc alterar a rede da sua casa pra 192.168.1.0/24 e nunca mais ter dor de cabeça... Mas se vc REALMENTE quer deixar as rede iguais, tente fazer um bridge... mas naum sei se eh possivel fazer isso, usando encapsulamento IPSEC... T+ Tiago Cruz wrote: Pessoal, Em casa, eu tenho a rede 192.168.0.0/24 e no serviço tenho uma 192.168.0.0/22. Então, quando conecto via VPN de casa para cá... bom... não dá certo, porque não consigo pingar nada :-) Nem minha rede interna e nem a rede do serviço. Enfim, alguém conhece alguma forma forma exótica de fazer isso funcionar, algum Ninjitsu ou algo parecido? :-) Obrigado, Tiago Cruz ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
[FUG-BR] VPN com redes iguais
Pessoal, Em casa, eu tenho a rede 192.168.0.0/24 e no serviço tenho uma 192.168.0.0/22. Então, quando conecto via VPN de casa para cá... bom... não dá certo, porque não consigo pingar nada :-) Nem minha rede interna e nem a rede do serviço. Enfim, alguém conhece alguma forma forma exótica de fazer isso funcionar, algum Ninjitsu ou algo parecido? :-) Obrigado, Tiago Cruz ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
