Re: [FUG-BR] Dúvida IPSec: Precisa ser o gateway mesmo?
Olá Tiago, olá pessoal! Estou retomando esse assunto como prometido, pois ainda não consegui fazer uma rota que funcionasse de forma correta :-( O meu problema não é montar VPNs no gateway da rede, mas sim fora dele. Porque não montar no gateway da rede? Porque tenho outro link de internet e outra máquina fazendo redundância com o gateway principal, ou seja, está lá sem fazer quase nada :-) então gostaria de colocar os servidos de VPN no meu link/ maquina de backup. Pois bem, deixe me tentar explicar o que fiz: Host principal, FreeBSD 6.0, 192.168.0.1, gateway da nossa rede: IPSec, host to host: Funciona 100% OpenVPN: client to host: Funciona 100% Host backup, FreeBSD 6.0, 192.168.0.253, backup do gateway: IPSec, host to host: O cara do outro lado só pinga o gateway, não pinga as estaçoes de trabalho OpenVPN: client to host: O cliente só pinga o servidor, não pinga as estaçoes de trabalho. Eu acho que para isso funcionar, quando o cara está conectado pelo OpenVPN, por exemplo, e tentar pingar o host 192.168.0.19 o que deve acontecer é o seguinte: cliente vpn - [pinga] - 192.168.0.1 - [pinga] - 192.168.0.19 192.168.0.19 - [responde] - 192.168.0.1 - [responde] - cliente vpn O que está acontecendo é que o cliente tenta pingar o 192.168.0.19 diretamente, e não consegue... Enfim... se alguém puder me ajudar, eu agradeço antecipadamente! Obrigado, Tiago Cruz On Tue, 2006-01-10 at 01:46 -0200, Tiago N. Sampaio wrote: Bom eh o seguinte... para fazer isso vc vai precisar entender um pouco do fluxo dos pacotes e como jogar eles onde vc quiser... pois bem.. Vamos supor a seguinte situação: A Rede 192.168.1.X --- Freebsd -- 200.200.200.200 (Saida de internet) | rede 172.16.15.X | Rede 192.168.2.X --Freebsd -- 200.200.200.100 (saida de internet) B Alterando um pouco o diagrama acima, existiria uma outra maquina que fecharia o tunel, e que teria rota para todas as redes... apenas colocando uma rota no seu gateway vc repassaria todos os pacotes que teriam como destino 192.168.1.X (por exemplo), da rede 192.168.2.X... é bem simples... veja na pratica... na rede A : route add 192.168.2.0/24 172.16.15.2 (que eh a outra ponta da vpn) Na rede b: Na maquina que estah na ponta da vpn: route add 192.168.1.0/24 172.16.15.1 No seu gateway: route add 192.168.1.0/24 192.168.2.15 (que eh o ip local da maquina que tem a ponta da vpn) Seila ficou meio confuso de entender tudo esse monte de coisas ai em cima... se tiver alguma duvida ainda soh dar um toque. Abraços. Tiago N. Sampaio Tiago Cruz wrote: Olá pessoal! Montei um servidor novo como gateway/ firewall para minha empresa e pintou uma dúvida cruel: O meu servidor de VPN precisa ser, necessariamente, o gateway da minha empresa? Porque tentei por cima montar o IPSec em um servidor que responde pela rede interna no IP 192.168.0.2 e tem um IP externo válido, ou seja, ele não depende do NAT do novo firewall/ gateway para acessar a NET. Bom, a VPN funciona os hosts se pingam entrem si. O host daqui (192.168.0.2) pingam normalmente todos os hosts da rede de lá, mas o gateway de lá (192.168.4.1) apenas consegue pingar a outra ponta da VPN, não consegue pingar nenhum host dentro da minha rede. Bom, tomara que tenham entendido minha dificuldade :) Fico no aguardo de instruções, Obrigado ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Dúvida IPSec: Precisa ser o gateway mesmo?
Bom eh o seguinte... para fazer isso vc vai precisar entender um pouco do fluxo dos pacotes e como jogar eles onde vc quiser... pois bem.. Vamos supor a seguinte situação: A Rede 192.168.1.X --- Freebsd -- 200.200.200.200 (Saida de internet) | rede 172.16.15.X | Rede 192.168.2.X --Freebsd -- 200.200.200.100 (saida de internet) B Alterando um pouco o diagrama acima, existiria uma outra maquina que fecharia o tunel, e que teria rota para todas as redes... apenas colocando uma rota no seu gateway vc repassaria todos os pacotes que teriam como destino 192.168.1.X (por exemplo), da rede 192.168.2.X... é bem simples... veja na pratica... na rede A : route add 192.168.2.0/24 172.16.15.2 (que eh a outra ponta da vpn) Na rede b: Na maquina que estah na ponta da vpn: route add 192.168.1.0/24 172.16.15.1 No seu gateway: route add 192.168.1.0/24 192.168.2.15 (que eh o ip local da maquina que tem a ponta da vpn) Seila ficou meio confuso de entender tudo esse monte de coisas ai em cima... se tiver alguma duvida ainda soh dar um toque. Abraços. Tiago N. Sampaio Tiago Cruz wrote: Olá pessoal! Montei um servidor novo como gateway/ firewall para minha empresa e pintou uma dúvida cruel: O meu servidor de VPN precisa ser, necessariamente, o gateway da minha empresa? Porque tentei por cima montar o IPSec em um servidor que responde pela rede interna no IP 192.168.0.2 e tem um IP externo válido, ou seja, ele não depende do NAT do novo firewall/ gateway para acessar a NET. Bom, a VPN funciona os hosts se pingam entrem si. O host daqui (192.168.0.2) pingam normalmente todos os hosts da rede de lá, mas o gateway de lá (192.168.4.1) apenas consegue pingar a outra ponta da VPN, não consegue pingar nenhum host dentro da minha rede. Bom, tomara que tenham entendido minha dificuldade :) Fico no aguardo de instruções, Obrigado ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] Dúvida IPSec: Precisa ser o gateway mesmo?
Tiago, meu xará valeu pela resposta :) O problema é que eu não pude esperar e deixar sem resolver, então acabei colocando a mesma no gateway mesmo, e funcionou de prima! Mesmo assim, obrigado! Talvez ajude outra pessoa no futuro! On Tue, 2006-01-10 at 01:46 -0200, Tiago N. Sampaio wrote: Bom eh o seguinte... para fazer isso vc vai precisar entender um pouco do fluxo dos pacotes e como jogar eles onde vc quiser... pois bem.. Vamos supor a seguinte situação: A Rede 192.168.1.X --- Freebsd -- 200.200.200.200 (Saida de internet) | rede 172.16.15.X | Rede 192.168.2.X --Freebsd -- 200.200.200.100 (saida de internet) B Alterando um pouco o diagrama acima, existiria uma outra maquina que fecharia o tunel, e que teria rota para todas as redes... apenas colocando uma rota no seu gateway vc repassaria todos os pacotes que teriam como destino 192.168.1.X (por exemplo), da rede 192.168.2.X... é bem simples... veja na pratica... na rede A : route add 192.168.2.0/24 172.16.15.2 (que eh a outra ponta da vpn) Na rede b: Na maquina que estah na ponta da vpn: route add 192.168.1.0/24 172.16.15.1 No seu gateway: route add 192.168.1.0/24 192.168.2.15 (que eh o ip local da maquina que tem a ponta da vpn) Seila ficou meio confuso de entender tudo esse monte de coisas ai em cima... se tiver alguma duvida ainda soh dar um toque. Abraços. Tiago N. Sampaio Tiago Cruz wrote: Olá pessoal! Montei um servidor novo como gateway/ firewall para minha empresa e pintou uma dúvida cruel: O meu servidor de VPN precisa ser, necessariamente, o gateway da minha empresa? Porque tentei por cima montar o IPSec em um servidor que responde pela rede interna no IP 192.168.0.2 e tem um IP externo válido, ou seja, ele não depende do NAT do novo firewall/ gateway para acessar a NET. Bom, a VPN funciona os hosts se pingam entrem si. O host daqui (192.168.0.2) pingam normalmente todos os hosts da rede de lá, mas o gateway de lá (192.168.4.1) apenas consegue pingar a outra ponta da VPN, não consegue pingar nenhum host dentro da minha rede. Bom, tomara que tenham entendido minha dificuldade :) Fico no aguardo de instruções, Obrigado ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br -- Tiago Cruz http://linuxrapido.org Linux User #282636 The box said: Requires MS Windows or better, so I installed Linux ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br