Re: [FUG-BR] RES: RES: RES: Nat VPN
Galera, não entendi o lance do redirecionamento. pode explicar melhor, até pq tambem tenho interresse em ter autenticação no AD, hoje faço com o OpenVPN. Em 11/01/08, Diego Piovesan Boschetto[EMAIL PROTECTED] escreveu: É verdade. O problema é o redirecionamento, nat de protocolos que não seja o tcp e udp como o protocolo ip 47 necessário para fazer a vpn com o uso do pptp. Ai é que mata a questão, esse redirecionamento não consigo fazer até hoje. Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa Catarina - Criciúma | +55 48 3431-3100 MSN: [EMAIL PROTECTED] | GTalk: [EMAIL PROTECTED] -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Marcelo de Souza Sant'Anna Enviada em: sábado, 5 de janeiro de 2008 11:36 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: RES: Nat VPN Se você quiser manter seu servidor Windows que faz a VPN hoje fazendo autenticação no A.D., a melhor solução é fazer redirecionamento como já foi citado. O OpenVPN não faz autenticação no A.D. Com relação a usar o OpenVPN como bridge, este foi o meu primeiro teste com ele e confesso que particularmente não gostei. Apesar de não envolver roteamento o desempenho dele foi inferior do que quando o utilizei como gateway VPN, mesmo otimizando-o. Não estou dizendo que ficou uma porcaria, mas notei uma certa diferença. Sem falar no fato de que existem limitações de regras que não podem ser aplicadas quando está no modo bridge. On Sat, 2008-01-05 at 02:19 -0200, Thiago Costa wrote: Certo, vou baixar aqui pra testar :-) On Saturday 05 January 2008 01:12:20 Marcio Antunes wrote: tem sim amigo.. Em 04/01/08, Junior Pires[EMAIL PROTECTED] escreveu: Mas tem um client for windows pro openvpn... =) Em 04/01/08, Thiago Costa [EMAIL PROTECTED] escreveu: On Thursday 03 January 2008 09:55:03 Marcio Antunes wrote: Diego, vc conseguiu fazer essa VPN com Natd ? eu utilizo sem problemas usando o OpenVPN. pq vc não usa esta solução ? Teve um vez que estava com um servidor atraz de NAT e queria fazer VPN nele pra comunicar com outra rede, ai utilizei esse OpenVPN. Aparentemente funciona muito bem. Agora se for colocar maquina Windows na parada não sei se vai funcionar pois o OpenVPN cria interfaces Tun/Tap, acho que o Windows não tem suporte a esse tipo de interface. Nesse caso acho que PPTP vai funcionar bem Em 03/01/08, Thiago Costa[EMAIL PROTECTED] escreveu: On Friday 07 December 2007 11:47:14 Cristiano Maynart Pereira wrote: Pode usar o redirecionamento somente dos protocolos necessários, como o o Alesssando mandou no outro e-mail. Copiado do e-mail do Alessandro: rdr on $ext_if1 proto gre from any to any - 10.22.22.1 rdr on $ext_if1 proto {tcp, udp} from any to any port pptp - 10.22.22.1 Cristiano Maynart -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Diego Piovesan Boschetto Sent: sexta-feira, 7 de dezembro de 2007 11:38 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: [FUG-BR] RES: RES: Nat VPN Certo nesse caso eu conseguiria fazer se tivesse mais de um ip validp, o problema é que tenho apenas um e não posso fazer um RDR de tudo como sugerido. Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa Catarina - Criciúma | +55 48 3431-3100 MSN: [EMAIL PROTECTED] | GTalk: [EMAIL PROTECTED] -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Cristiano Maynart Pereira Enviada em: sexta-feira, 7 de dezembro de 2007 11:10 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: Nat VPN Em relacao ao e-mail do Renato, o que nao funciona com forward é o L2TP. Olhando minhas configuracoes lembrei disso, entao corrigindo minha mensagem anterior meu cenario nao eh igual ao seu, pois nao estou utilizando o L2TP justamente devido a isso, mas acredito que voce tenha uma bom nível de seguranca exigindo MS CHAP2 na conexao da VPN. Segue a configuracao com o PF (ips ficticios): # Variaveis ext_vpn = 200.1.1.1 # ip publico do firewall (no meu caso eh um alias exclusivo para o servidor da vpn) vpn = 192.168.1.1 # ip servidor vpn windows 2003 int_if = bge0# interface interna do firewall ext_if = bge1# interface externa do firewall
[FUG-BR] RES: RES: RES: Nat VPN
É verdade. O problema é o redirecionamento, nat de protocolos que não seja o tcp e udp como o protocolo ip 47 necessário para fazer a vpn com o uso do pptp. Ai é que mata a questão, esse redirecionamento não consigo fazer até hoje. Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa Catarina - Criciúma | +55 48 3431-3100 MSN: [EMAIL PROTECTED] | GTalk: [EMAIL PROTECTED] -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Marcelo de Souza Sant'Anna Enviada em: sábado, 5 de janeiro de 2008 11:36 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: RES: Nat VPN Se você quiser manter seu servidor Windows que faz a VPN hoje fazendo autenticação no A.D., a melhor solução é fazer redirecionamento como já foi citado. O OpenVPN não faz autenticação no A.D. Com relação a usar o OpenVPN como bridge, este foi o meu primeiro teste com ele e confesso que particularmente não gostei. Apesar de não envolver roteamento o desempenho dele foi inferior do que quando o utilizei como gateway VPN, mesmo otimizando-o. Não estou dizendo que ficou uma porcaria, mas notei uma certa diferença. Sem falar no fato de que existem limitações de regras que não podem ser aplicadas quando está no modo bridge. On Sat, 2008-01-05 at 02:19 -0200, Thiago Costa wrote: Certo, vou baixar aqui pra testar :-) On Saturday 05 January 2008 01:12:20 Marcio Antunes wrote: tem sim amigo.. Em 04/01/08, Junior Pires[EMAIL PROTECTED] escreveu: Mas tem um client for windows pro openvpn... =) Em 04/01/08, Thiago Costa [EMAIL PROTECTED] escreveu: On Thursday 03 January 2008 09:55:03 Marcio Antunes wrote: Diego, vc conseguiu fazer essa VPN com Natd ? eu utilizo sem problemas usando o OpenVPN. pq vc não usa esta solução ? Teve um vez que estava com um servidor atraz de NAT e queria fazer VPN nele pra comunicar com outra rede, ai utilizei esse OpenVPN. Aparentemente funciona muito bem. Agora se for colocar maquina Windows na parada não sei se vai funcionar pois o OpenVPN cria interfaces Tun/Tap, acho que o Windows não tem suporte a esse tipo de interface. Nesse caso acho que PPTP vai funcionar bem Em 03/01/08, Thiago Costa[EMAIL PROTECTED] escreveu: On Friday 07 December 2007 11:47:14 Cristiano Maynart Pereira wrote: Pode usar o redirecionamento somente dos protocolos necessários, como o o Alesssando mandou no outro e-mail. Copiado do e-mail do Alessandro: rdr on $ext_if1 proto gre from any to any - 10.22.22.1 rdr on $ext_if1 proto {tcp, udp} from any to any port pptp - 10.22.22.1 Cristiano Maynart -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Diego Piovesan Boschetto Sent: sexta-feira, 7 de dezembro de 2007 11:38 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: [FUG-BR] RES: RES: Nat VPN Certo nesse caso eu conseguiria fazer se tivesse mais de um ip validp, o problema é que tenho apenas um e não posso fazer um RDR de tudo como sugerido. Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa Catarina - Criciúma | +55 48 3431-3100 MSN: [EMAIL PROTECTED] | GTalk: [EMAIL PROTECTED] -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Cristiano Maynart Pereira Enviada em: sexta-feira, 7 de dezembro de 2007 11:10 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: Nat VPN Em relacao ao e-mail do Renato, o que nao funciona com forward é o L2TP. Olhando minhas configuracoes lembrei disso, entao corrigindo minha mensagem anterior meu cenario nao eh igual ao seu, pois nao estou utilizando o L2TP justamente devido a isso, mas acredito que voce tenha uma bom nível de seguranca exigindo MS CHAP2 na conexao da VPN. Segue a configuracao com o PF (ips ficticios): # Variaveis ext_vpn = 200.1.1.1 # ip publico do firewall (no meu caso eh um alias exclusivo para o servidor da vpn) vpn = 192.168.1.1 # ip servidor vpn windows 2003 int_if = bge0# interface interna do firewall ext_if = bge1# interface externa do firewall # Redirecionamento rdr on $ext_if from any to $ext_vpn - $vpn # Regras pass in on $ext_if proto tcp from any to $vpn port 1723 keep state pass in on $ext_if proto gre from any to $vpn keep state Obs.: O firewall esta configurando para bloquear somente
[FUG-BR] RES: RES: RES: Nat VPN
Apenas com o NATD não consegui. Precisava do protocolo 47 mais não da para natear. Não ultilizo o Open VPN, devido de eu ter um AD todo implementado e funcional o que se integraria com minha solução VPN do Windows 2003 server. Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa Catarina - Criciúma | +55 48 3431-3100 MSN: [EMAIL PROTECTED] | GTalk: [EMAIL PROTECTED] -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Marcio Antunes Enviada em: quinta-feira, 3 de janeiro de 2008 09:55 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: RES: Nat VPN Diego, vc conseguiu fazer essa VPN com Natd ? eu utilizo sem problemas usando o OpenVPN. pq vc não usa esta solução ? Em 03/01/08, Thiago Costa[EMAIL PROTECTED] escreveu: On Friday 07 December 2007 11:47:14 Cristiano Maynart Pereira wrote: Pode usar o redirecionamento somente dos protocolos necessários, como o o Alesssando mandou no outro e-mail. Copiado do e-mail do Alessandro: rdr on $ext_if1 proto gre from any to any - 10.22.22.1 rdr on $ext_if1 proto {tcp, udp} from any to any port pptp - 10.22.22.1 Cristiano Maynart -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Diego Piovesan Boschetto Sent: sexta-feira, 7 de dezembro de 2007 11:38 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: [FUG-BR] RES: RES: Nat VPN Certo nesse caso eu conseguiria fazer se tivesse mais de um ip validp, o problema é que tenho apenas um e não posso fazer um RDR de tudo como sugerido. Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa Catarina - Criciúma | +55 48 3431-3100 MSN: [EMAIL PROTECTED] | GTalk: [EMAIL PROTECTED] -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Cristiano Maynart Pereira Enviada em: sexta-feira, 7 de dezembro de 2007 11:10 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: Nat VPN Em relacao ao e-mail do Renato, o que nao funciona com forward é o L2TP. Olhando minhas configuracoes lembrei disso, entao corrigindo minha mensagem anterior meu cenario nao eh igual ao seu, pois nao estou utilizando o L2TP justamente devido a isso, mas acredito que voce tenha uma bom nível de seguranca exigindo MS CHAP2 na conexao da VPN. Segue a configuracao com o PF (ips ficticios): # Variaveis ext_vpn = 200.1.1.1 # ip publico do firewall (no meu caso eh um alias exclusivo para o servidor da vpn) vpn = 192.168.1.1 # ip servidor vpn windows 2003 int_if = bge0# interface interna do firewall ext_if = bge1# interface externa do firewall # Redirecionamento rdr on $ext_if from any to $ext_vpn - $vpn # Regras pass in on $ext_if proto tcp from any to $vpn port 1723 keep state pass in on $ext_if proto gre from any to $vpn keep state Obs.: O firewall esta configurando para bloquear somente entrada de pacotes. Cristiano Maynart -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Diego Piovesan Boschetto Sent: sexta-feira, 7 de dezembro de 2007 10:10 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: [FUG-BR] RES: Nat VPN Uso o IPFW, mais pode passar as conf do PF pois quem sabe consigo implementar no IPFW. Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa Catarina - Criciúma | +55 48 3431-3100 MSN: [EMAIL PROTECTED] | GTalk: [EMAIL PROTECTED] -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Cristiano Maynart Pereira Enviada em: sexta-feira, 7 de dezembro de 2007 09:56 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] Nat VPN -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Diego Piovesan Boschetto Sent: sexta-feira, 7 de dezembro de 2007 09:11 To: freebsd@fug.com.br Subject: [FUG-BR] Nat VPN Importance: High Olá pessoal gostaria de expor minha situação e saber se alguém poderia me ajudar nela. Estou com um servidor VPN configurado e funcional na minha rede interna uso o Windows 2003 Server a VPN esta configurada para os protocolos PPTP e L2TP. O que gostaria é que da internet (fora de minha rede interna) pode-se fazer essa VPN mais para isso preciso configurar uma espécie de forwarder em meu FreeBSD 5.4-Stable, pois ele é meu gateway (firewall). Hoje possuo uma internet ADSL de o modem faz os redirecionamentos para a interface externa de meu FreeBSD, e a interface interna esta ligado
Re: [FUG-BR] RES: RES: RES: Nat VPN
Olha, eu acho o openvpn muito bom.. e utilizamos inclusive com servidores win 2003, sem problemas. Me lembro uma vez que um amigo da Lista falou que pode utilizar com autenticação nao sei se é integrado ao AD. Em 03/01/08, Diego Piovesan Boschetto[EMAIL PROTECTED] escreveu: Apenas com o NATD não consegui. Precisava do protocolo 47 mais não da para natear. Não ultilizo o Open VPN, devido de eu ter um AD todo implementado e funcional o que se integraria com minha solução VPN do Windows 2003 server. Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa Catarina - Criciúma | +55 48 3431-3100 MSN: [EMAIL PROTECTED] | GTalk: [EMAIL PROTECTED] -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Marcio Antunes Enviada em: quinta-feira, 3 de janeiro de 2008 09:55 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: RES: Nat VPN Diego, vc conseguiu fazer essa VPN com Natd ? eu utilizo sem problemas usando o OpenVPN. pq vc não usa esta solução ? Em 03/01/08, Thiago Costa[EMAIL PROTECTED] escreveu: On Friday 07 December 2007 11:47:14 Cristiano Maynart Pereira wrote: Pode usar o redirecionamento somente dos protocolos necessários, como o o Alesssando mandou no outro e-mail. Copiado do e-mail do Alessandro: rdr on $ext_if1 proto gre from any to any - 10.22.22.1 rdr on $ext_if1 proto {tcp, udp} from any to any port pptp - 10.22.22.1 Cristiano Maynart -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Diego Piovesan Boschetto Sent: sexta-feira, 7 de dezembro de 2007 11:38 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: [FUG-BR] RES: RES: Nat VPN Certo nesse caso eu conseguiria fazer se tivesse mais de um ip validp, o problema é que tenho apenas um e não posso fazer um RDR de tudo como sugerido. Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa Catarina - Criciúma | +55 48 3431-3100 MSN: [EMAIL PROTECTED] | GTalk: [EMAIL PROTECTED] -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Cristiano Maynart Pereira Enviada em: sexta-feira, 7 de dezembro de 2007 11:10 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: Nat VPN Em relacao ao e-mail do Renato, o que nao funciona com forward é o L2TP. Olhando minhas configuracoes lembrei disso, entao corrigindo minha mensagem anterior meu cenario nao eh igual ao seu, pois nao estou utilizando o L2TP justamente devido a isso, mas acredito que voce tenha uma bom nível de seguranca exigindo MS CHAP2 na conexao da VPN. Segue a configuracao com o PF (ips ficticios): # Variaveis ext_vpn = 200.1.1.1 # ip publico do firewall (no meu caso eh um alias exclusivo para o servidor da vpn) vpn = 192.168.1.1 # ip servidor vpn windows 2003 int_if = bge0# interface interna do firewall ext_if = bge1# interface externa do firewall # Redirecionamento rdr on $ext_if from any to $ext_vpn - $vpn # Regras pass in on $ext_if proto tcp from any to $vpn port 1723 keep state pass in on $ext_if proto gre from any to $vpn keep state Obs.: O firewall esta configurando para bloquear somente entrada de pacotes. Cristiano Maynart -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Diego Piovesan Boschetto Sent: sexta-feira, 7 de dezembro de 2007 10:10 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: [FUG-BR] RES: Nat VPN Uso o IPFW, mais pode passar as conf do PF pois quem sabe consigo implementar no IPFW. Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa Catarina - Criciúma | +55 48 3431-3100 MSN: [EMAIL PROTECTED] | GTalk: [EMAIL PROTECTED] -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Cristiano Maynart Pereira Enviada em: sexta-feira, 7 de dezembro de 2007 09:56 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] Nat VPN -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Diego Piovesan Boschetto Sent: sexta-feira, 7 de dezembro de 2007 09:11 To: freebsd@fug.com.br Subject: [FUG-BR] Nat VPN Importance: High Olá pessoal gostaria de expor minha situação e saber se alguém poderia me ajudar nela. Estou com um servidor VPN configurado e funcional na minha rede interna uso o Windows 2003 Server a VPN esta configurada para os protocolos PPTP e L2TP. O que
Re: [FUG-BR] RES: RES: RES: Nat VPN
Você pode usar outro modo de autenticação no OpenVPN sim, mas não é com o AD. O modo de autenticação alternativo do OpenVPN é usando o PAM ou Token. http://openvpn.net/howto.html#auth Marcelo de Souza Sant'Anna On Thu, 2008-01-03 at 11:35 -0300, Marcio Antunes wrote: Olha, eu acho o openvpn muito bom.. e utilizamos inclusive com servidores win 2003, sem problemas. Me lembro uma vez que um amigo da Lista falou que pode utilizar com autenticação nao sei se é integrado ao AD. Em 03/01/08, Diego Piovesan Boschetto[EMAIL PROTECTED] escreveu: Apenas com o NATD não consegui. Precisava do protocolo 47 mais não da para natear. Não ultilizo o Open VPN, devido de eu ter um AD todo implementado e funcional o que se integraria com minha solução VPN do Windows 2003 server. Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa Catarina - Criciúma | +55 48 3431-3100 MSN: [EMAIL PROTECTED] | GTalk: [EMAIL PROTECTED] -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Marcio Antunes Enviada em: quinta-feira, 3 de janeiro de 2008 09:55 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: RES: Nat VPN Diego, vc conseguiu fazer essa VPN com Natd ? eu utilizo sem problemas usando o OpenVPN. pq vc não usa esta solução ? Em 03/01/08, Thiago Costa[EMAIL PROTECTED] escreveu: On Friday 07 December 2007 11:47:14 Cristiano Maynart Pereira wrote: Pode usar o redirecionamento somente dos protocolos necessários, como o o Alesssando mandou no outro e-mail. Copiado do e-mail do Alessandro: rdr on $ext_if1 proto gre from any to any - 10.22.22.1 rdr on $ext_if1 proto {tcp, udp} from any to any port pptp - 10.22.22.1 Cristiano Maynart -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Diego Piovesan Boschetto Sent: sexta-feira, 7 de dezembro de 2007 11:38 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: [FUG-BR] RES: RES: Nat VPN Certo nesse caso eu conseguiria fazer se tivesse mais de um ip validp, o problema é que tenho apenas um e não posso fazer um RDR de tudo como sugerido. Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa Catarina - Criciúma | +55 48 3431-3100 MSN: [EMAIL PROTECTED] | GTalk: [EMAIL PROTECTED] -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Cristiano Maynart Pereira Enviada em: sexta-feira, 7 de dezembro de 2007 11:10 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: Nat VPN Em relacao ao e-mail do Renato, o que nao funciona com forward é o L2TP. Olhando minhas configuracoes lembrei disso, entao corrigindo minha mensagem anterior meu cenario nao eh igual ao seu, pois nao estou utilizando o L2TP justamente devido a isso, mas acredito que voce tenha uma bom nível de seguranca exigindo MS CHAP2 na conexao da VPN. Segue a configuracao com o PF (ips ficticios): # Variaveis ext_vpn = 200.1.1.1 # ip publico do firewall (no meu caso eh um alias exclusivo para o servidor da vpn) vpn = 192.168.1.1 # ip servidor vpn windows 2003 int_if = bge0# interface interna do firewall ext_if = bge1# interface externa do firewall # Redirecionamento rdr on $ext_if from any to $ext_vpn - $vpn # Regras pass in on $ext_if proto tcp from any to $vpn port 1723 keep state pass in on $ext_if proto gre from any to $vpn keep state Obs.: O firewall esta configurando para bloquear somente entrada de pacotes. Cristiano Maynart -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Diego Piovesan Boschetto Sent: sexta-feira, 7 de dezembro de 2007 10:10 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: [FUG-BR] RES: Nat VPN Uso o IPFW, mais pode passar as conf do PF pois quem sabe consigo implementar no IPFW. Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa Catarina - Criciúma | +55 48 3431-3100 MSN: [EMAIL PROTECTED] | GTalk: [EMAIL PROTECTED] -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Cristiano Maynart Pereira Enviada em: sexta-feira, 7 de dezembro de 2007 09:56 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] Nat VPN -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Diego Piovesan Boschetto Sent: sexta-feira, 7 de dezembro de 2007
Re: [FUG-BR] RES: RES: RES: Nat VPN
Apesar de ter esta facilidade, o protocolo PPTP não é mais aconselhável devido às inúmeras falhas de segurança do mesmo. A solução melhor utilizada hoje é a com certificado digital com passphrase, usando OpenVPN. Um dos principais problemas do PPTP é que ele usa o protocolo GRE que tem sérios problemas de trabalhar com NAT. Aconselho ler este artigo: http://www.dicas-l.com.br/dicas-l/20060316.php Marcelo de Souza Sant'Anna On Thu, 2008-01-03 at 12:23 -0200, Diego Piovesan Boschetto wrote: Apenas com o NATD não consegui. Precisava do protocolo 47 mais não da para natear. Não ultilizo o Open VPN, devido de eu ter um AD todo implementado e funcional o que se integraria com minha solução VPN do Windows 2003 server. Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa Catarina - Criciúma | +55 48 3431-3100 MSN: [EMAIL PROTECTED] | GTalk: [EMAIL PROTECTED] -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Marcio Antunes Enviada em: quinta-feira, 3 de janeiro de 2008 09:55 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: RES: Nat VPN Diego, vc conseguiu fazer essa VPN com Natd ? eu utilizo sem problemas usando o OpenVPN. pq vc não usa esta solução ? Em 03/01/08, Thiago Costa[EMAIL PROTECTED] escreveu: On Friday 07 December 2007 11:47:14 Cristiano Maynart Pereira wrote: Pode usar o redirecionamento somente dos protocolos necessários, como o o Alesssando mandou no outro e-mail. Copiado do e-mail do Alessandro: rdr on $ext_if1 proto gre from any to any - 10.22.22.1 rdr on $ext_if1 proto {tcp, udp} from any to any port pptp - 10.22.22.1 Cristiano Maynart -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Diego Piovesan Boschetto Sent: sexta-feira, 7 de dezembro de 2007 11:38 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: [FUG-BR] RES: RES: Nat VPN Certo nesse caso eu conseguiria fazer se tivesse mais de um ip validp, o problema é que tenho apenas um e não posso fazer um RDR de tudo como sugerido. Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa Catarina - Criciúma | +55 48 3431-3100 MSN: [EMAIL PROTECTED] | GTalk: [EMAIL PROTECTED] -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Cristiano Maynart Pereira Enviada em: sexta-feira, 7 de dezembro de 2007 11:10 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: Nat VPN Em relacao ao e-mail do Renato, o que nao funciona com forward é o L2TP. Olhando minhas configuracoes lembrei disso, entao corrigindo minha mensagem anterior meu cenario nao eh igual ao seu, pois nao estou utilizando o L2TP justamente devido a isso, mas acredito que voce tenha uma bom nível de seguranca exigindo MS CHAP2 na conexao da VPN. Segue a configuracao com o PF (ips ficticios): # Variaveis ext_vpn = 200.1.1.1 # ip publico do firewall (no meu caso eh um alias exclusivo para o servidor da vpn) vpn = 192.168.1.1 # ip servidor vpn windows 2003 int_if = bge0# interface interna do firewall ext_if = bge1# interface externa do firewall # Redirecionamento rdr on $ext_if from any to $ext_vpn - $vpn # Regras pass in on $ext_if proto tcp from any to $vpn port 1723 keep state pass in on $ext_if proto gre from any to $vpn keep state Obs.: O firewall esta configurando para bloquear somente entrada de pacotes. Cristiano Maynart -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Diego Piovesan Boschetto Sent: sexta-feira, 7 de dezembro de 2007 10:10 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: [FUG-BR] RES: Nat VPN Uso o IPFW, mais pode passar as conf do PF pois quem sabe consigo implementar no IPFW. Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa Catarina - Criciúma | +55 48 3431-3100 MSN: [EMAIL PROTECTED] | GTalk: [EMAIL PROTECTED] -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Cristiano Maynart Pereira Enviada em: sexta-feira, 7 de dezembro de 2007 09:56 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] Nat VPN -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Diego Piovesan Boschetto Sent: sexta-feira, 7 de dezembro de 2007 09:11 To: freebsd@fug.com.br Subject: [FUG-BR] Nat VPN Importance: High Olá pessoal gostaria de expor minha situação e saber se
Re: [FUG-BR] RES: RES: RES: Nat VPN
eu ja havia postado aqui mais essa solucao tbm e legal http://freshmeat.net/projects/openvpn-auth-passwd/ Em 03/01/08, Marcelo de Souza Sant'Anna[EMAIL PROTECTED] escreveu: Você pode usar outro modo de autenticação no OpenVPN sim, mas não é com o AD. O modo de autenticação alternativo do OpenVPN é usando o PAM ou Token. http://openvpn.net/howto.html#auth Marcelo de Souza Sant'Anna On Thu, 2008-01-03 at 11:35 -0300, Marcio Antunes wrote: Olha, eu acho o openvpn muito bom.. e utilizamos inclusive com servidores win 2003, sem problemas. Me lembro uma vez que um amigo da Lista falou que pode utilizar com autenticação nao sei se é integrado ao AD. Em 03/01/08, Diego Piovesan Boschetto[EMAIL PROTECTED] escreveu: Apenas com o NATD não consegui. Precisava do protocolo 47 mais não da para natear. Não ultilizo o Open VPN, devido de eu ter um AD todo implementado e funcional o que se integraria com minha solução VPN do Windows 2003 server. Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa Catarina - Criciúma | +55 48 3431-3100 MSN: [EMAIL PROTECTED] | GTalk: [EMAIL PROTECTED] -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Marcio Antunes Enviada em: quinta-feira, 3 de janeiro de 2008 09:55 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: RES: Nat VPN Diego, vc conseguiu fazer essa VPN com Natd ? eu utilizo sem problemas usando o OpenVPN. pq vc não usa esta solução ? Em 03/01/08, Thiago Costa[EMAIL PROTECTED] escreveu: On Friday 07 December 2007 11:47:14 Cristiano Maynart Pereira wrote: Pode usar o redirecionamento somente dos protocolos necessários, como o o Alesssando mandou no outro e-mail. Copiado do e-mail do Alessandro: rdr on $ext_if1 proto gre from any to any - 10.22.22.1 rdr on $ext_if1 proto {tcp, udp} from any to any port pptp - 10.22.22.1 Cristiano Maynart -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Diego Piovesan Boschetto Sent: sexta-feira, 7 de dezembro de 2007 11:38 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: [FUG-BR] RES: RES: Nat VPN Certo nesse caso eu conseguiria fazer se tivesse mais de um ip validp, o problema é que tenho apenas um e não posso fazer um RDR de tudo como sugerido. Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa Catarina - Criciúma | +55 48 3431-3100 MSN: [EMAIL PROTECTED] | GTalk: [EMAIL PROTECTED] -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Cristiano Maynart Pereira Enviada em: sexta-feira, 7 de dezembro de 2007 11:10 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: Nat VPN Em relacao ao e-mail do Renato, o que nao funciona com forward é o L2TP. Olhando minhas configuracoes lembrei disso, entao corrigindo minha mensagem anterior meu cenario nao eh igual ao seu, pois nao estou utilizando o L2TP justamente devido a isso, mas acredito que voce tenha uma bom nível de seguranca exigindo MS CHAP2 na conexao da VPN. Segue a configuracao com o PF (ips ficticios): # Variaveis ext_vpn = 200.1.1.1 # ip publico do firewall (no meu caso eh um alias exclusivo para o servidor da vpn) vpn = 192.168.1.1 # ip servidor vpn windows 2003 int_if = bge0# interface interna do firewall ext_if = bge1# interface externa do firewall # Redirecionamento rdr on $ext_if from any to $ext_vpn - $vpn # Regras pass in on $ext_if proto tcp from any to $vpn port 1723 keep state pass in on $ext_if proto gre from any to $vpn keep state Obs.: O firewall esta configurando para bloquear somente entrada de pacotes. Cristiano Maynart -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Diego Piovesan Boschetto Sent: sexta-feira, 7 de dezembro de 2007 10:10 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: [FUG-BR] RES: Nat VPN Uso o IPFW, mais pode passar as conf do PF pois quem sabe consigo implementar no IPFW. Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa Catarina - Criciúma | +55 48 3431-3100 MSN: [EMAIL PROTECTED] | GTalk: [EMAIL PROTECTED] -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Cristiano Maynart Pereira Enviada em: sexta-feira, 7 de dezembro de 2007
Re: [FUG-BR] RES: RES: RES: Nat VPN
Em 03/01/08, Giancarlo Rubio[EMAIL PROTECTED] escreveu: eu ja havia postado aqui mais essa solucao tbm e legal http://freshmeat.net/projects/openvpn-auth-passwd/ Em 03/01/08, Marcelo de Souza Sant'Anna[EMAIL PROTECTED] escreveu: Você pode usar outro modo de autenticação no OpenVPN sim, mas não é com o AD. O modo de autenticação alternativo do OpenVPN é usando o PAM ou Token. http://openvpn.net/howto.html#auth Marcelo de Souza Sant'Anna On Thu, 2008-01-03 at 11:35 -0300, Marcio Antunes wrote: Olha, eu acho o openvpn muito bom.. e utilizamos inclusive com servidores win 2003, sem problemas. Me lembro uma vez que um amigo da Lista falou que pode utilizar com autenticação nao sei se é integrado ao AD. Em 03/01/08, Diego Piovesan Boschetto[EMAIL PROTECTED] escreveu: Apenas com o NATD não consegui. Precisava do protocolo 47 mais não da para natear. Não ultilizo o Open VPN, devido de eu ter um AD todo implementado e funcional o que se integraria com minha solução VPN do Windows 2003 server. Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa Catarina - Criciúma | +55 48 3431-3100 MSN: [EMAIL PROTECTED] | GTalk: [EMAIL PROTECTED] -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Marcio Antunes Enviada em: quinta-feira, 3 de janeiro de 2008 09:55 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: RES: Nat VPN Diego, vc conseguiu fazer essa VPN com Natd ? eu utilizo sem problemas usando o OpenVPN. pq vc não usa esta solução ? Em 03/01/08, Thiago Costa[EMAIL PROTECTED] escreveu: On Friday 07 December 2007 11:47:14 Cristiano Maynart Pereira wrote: Pode usar o redirecionamento somente dos protocolos necessários, como o o Alesssando mandou no outro e-mail. Copiado do e-mail do Alessandro: rdr on $ext_if1 proto gre from any to any - 10.22.22.1 rdr on $ext_if1 proto {tcp, udp} from any to any port pptp - 10.22.22.1 Cristiano Maynart -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Diego Piovesan Boschetto Sent: sexta-feira, 7 de dezembro de 2007 11:38 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: [FUG-BR] RES: RES: Nat VPN Certo nesse caso eu conseguiria fazer se tivesse mais de um ip validp, o problema é que tenho apenas um e não posso fazer um RDR de tudo como sugerido. Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa Catarina - Criciúma | +55 48 3431-3100 MSN: [EMAIL PROTECTED] | GTalk: [EMAIL PROTECTED] -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Cristiano Maynart Pereira Enviada em: sexta-feira, 7 de dezembro de 2007 11:10 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] RES: Nat VPN Em relacao ao e-mail do Renato, o que nao funciona com forward é o L2TP. Olhando minhas configuracoes lembrei disso, entao corrigindo minha mensagem anterior meu cenario nao eh igual ao seu, pois nao estou utilizando o L2TP justamente devido a isso, mas acredito que voce tenha uma bom nível de seguranca exigindo MS CHAP2 na conexao da VPN. Segue a configuracao com o PF (ips ficticios): # Variaveis ext_vpn = 200.1.1.1 # ip publico do firewall (no meu caso eh um alias exclusivo para o servidor da vpn) vpn = 192.168.1.1 # ip servidor vpn windows 2003 int_if = bge0# interface interna do firewall ext_if = bge1# interface externa do firewall # Redirecionamento rdr on $ext_if from any to $ext_vpn - $vpn # Regras pass in on $ext_if proto tcp from any to $vpn port 1723 keep state pass in on $ext_if proto gre from any to $vpn keep state Obs.: O firewall esta configurando para bloquear somente entrada de pacotes. Cristiano Maynart -Original Message- From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On Behalf Of Diego Piovesan Boschetto Sent: sexta-feira, 7 de dezembro de 2007 10:10 To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Subject: [FUG-BR] RES: Nat VPN Uso o IPFW, mais pode passar as conf do PF pois quem sabe consigo implementar no IPFW. Diego Piovesan Boschetto | Carbonífera Criciúma S/A Santa Catarina - Criciúma | +55 48 3431-3100 MSN: [EMAIL