Re: [FUG-BR] VPN + PF
> -Original Message- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On > Behalf Of Darci Dambrós Junior > Sent: terça-feira, 18 de março de 2008 09:18 > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > Subject: [FUG-BR] VPN + PF > > Prezados, > > Estamos tentando "abrir" o firewall para acessar a VPN da USP. Eles > usam > PPTP e, portanto, utilizam a porta 1723 e o protocolo GRE (protocolo IP > - 47). > > O problema é que não estamos conseguindo nos conectar na VPN quando > liberamos apenas a porta informada pelo suporte. > > Tentei as duas linhas abaixo, porém, não funcionou: > > pass in on $int_if proto tcp from $pc_interno to $ip_usp port { 1723 } > keep state > > e > > pass in on $int_if proto tcp from any to $ip_usp keep state > > Cheguei a conclusão que é problema de firewall depois de abrir toda a > interface (pass in on $int_if) e testar a conexão com sucesso. > > Alguma dica para resolver o problema? > > Obrigado > > -- > > Atenciosamente, > > Darci Dambrós Junior > > Olá Darci, Quando é utilizado o GRE, deve ser usada a regra: pass in on $int_if proto gre from any to $ip_usp keep state Juntamente com a regra que você já fez: pass in on $int_if proto tcp from $pc_interno to $ip_usp port 1723 keep state Qualquer problema, utilize a interface pflog e o tcpdump para verificar o que está sendo filtrado. __ Cristiano Maynart - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN + PF
o pptp usa protocolo gre tbm. Adicione uma regra assim pass in quick on $ext_if inet proto gre from any to $ext_ip keep state Em 18/03/08, Darci Dambrós Junior<[EMAIL PROTECTED]> escreveu: > Prezados, > > Estamos tentando "abrir" o firewall para acessar a VPN da USP. Eles usam > PPTP e, portanto, utilizam a porta 1723 e o protocolo GRE (protocolo IP > - 47). > > O problema é que não estamos conseguindo nos conectar na VPN quando > liberamos apenas a porta informada pelo suporte. > > Tentei as duas linhas abaixo, porém, não funcionou: > > pass in on $int_if proto tcp from $pc_interno to $ip_usp port { 1723 } > keep state > > e > > pass in on $int_if proto tcp from any to $ip_usp keep state > > Cheguei a conclusão que é problema de firewall depois de abrir toda a > interface (pass in on $int_if) e testar a conexão com sucesso. > > Alguma dica para resolver o problema? > > Obrigado > > -- > > Atenciosamente, > > Darci Dambrós Junior > > > > Aviso de confidencialidade: > > > Esta mensagem da Empresa Brasileira de Pesquisa Agropecuária (Embrapa), > empresa pública federal regida pelo disposto na Lei Federal nº 5.851, de 7 de > dezembro de 1972, é enviada exclusivamente a seu destinatário e pode conter > informações confidenciais, protegidas por sigilo profissional. Sua utilização > desautorizada é ilegal e sujeita o infrator às penas da lei. Se você a > recebeu indevidamente, queira, por gentileza, reenviá-la ao emitente, > esclarecendo o equívoco. > > Confidentiality note: > > This message from Empresa Brasileira de Pesquisa Agropecuária (Embrapa) a > government company established under Brazilian law (5.851/72) is directed > exclusively to its addresse and may contain confidential data, protected > under professional secrecy rules. Its unauthorized use is illegal and may > subject the transgressor to the law's penalties. If you're not the addresse, > please send it back, elucidating the failure. > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Giancarlo Rubio - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] VPN + PF
Prezados, Estamos tentando "abrir" o firewall para acessar a VPN da USP. Eles usam PPTP e, portanto, utilizam a porta 1723 e o protocolo GRE (protocolo IP - 47). O problema é que não estamos conseguindo nos conectar na VPN quando liberamos apenas a porta informada pelo suporte. Tentei as duas linhas abaixo, porém, não funcionou: pass in on $int_if proto tcp from $pc_interno to $ip_usp port { 1723 } keep state e pass in on $int_if proto tcp from any to $ip_usp keep state Cheguei a conclusão que é problema de firewall depois de abrir toda a interface (pass in on $int_if) e testar a conexão com sucesso. Alguma dica para resolver o problema? Obrigado -- Atenciosamente, Darci Dambrós Junior Aviso de confidencialidade: Esta mensagem da Empresa Brasileira de Pesquisa Agropecuária (Embrapa), empresa pública federal regida pelo disposto na Lei Federal nº 5.851, de 7 de dezembro de 1972, é enviada exclusivamente a seu destinatário e pode conter informações confidenciais, protegidas por sigilo profissional. Sua utilização desautorizada é ilegal e sujeita o infrator às penas da lei. Se você a recebeu indevidamente, queira, por gentileza, reenviá-la ao emitente, esclarecendo o equívoco. Confidentiality note: This message from Empresa Brasileira de Pesquisa Agropecuária (Embrapa) a government company established under Brazilian law (5.851/72) is directed exclusively to its addresse and may contain confidential data, protected under professional secrecy rules. Its unauthorized use is illegal and may subject the transgressor to the law's penalties. If you're not the addresse, please send it back, elucidating the failure. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] VPN & PF
Oi pessoal, Depois de passar o dia inteiro fazendo testes (infelizmente mal sucedidos) e preciso da ajuda de voces... Estou montando um firewall simples: pf, nat, squid e openvpn O openvpn ja esta conectando e estou fazendo os testes com ele no momento, mas minha dificuldade é tratar os pacotes dessa interface (tun0) A unica forma que consegui deixar acessivel foi colocar um set skip on tun0 Ai tudo funcionou perfeito, mas por consequencia, nao consegui bloquear nada depois heheh :-) Segue abaixo um pedaco do log, numa tentativa de conexao SSH sem o set skip on tun0 00 rule 1/0(match): block unkn(255) on tun0: 10.0.2.6.1562 > 10.0.1.1.22: tcp 28 [bad hdr length 0 - too short, < 20] 3. 018822 rule 1/0(match): block unkn(255) on tun0: 10.0.2.6.1562 > 10.0.1.1.22: tcp 28 [bad hdr length 0 - too short, < 20] 6. 037354 rule 1/0(match): block unkn(255) on tun0: 10.0.2.6.1562 > 10.0.1.1.22: tcp 28 [bad hdr length 0 - too short, < 20] E agora o meu pf.conf para analise: ### ## Definindo nome das interfaces e Gateways ### ### int_if="re0" # interface da rede interna ext_if="nfe0" # interface internet lan_net="10.0.1.0/24" # rede interna vpn_net="10.0.2.0/24" # rede vpn ext_gw="192.168.1.1" # gateway da internet # autoriza a rede interna acessar esses servicos externos allow_tcp="{ ftp ftp-data ssh domain https }" allow_udp="{ ftp ftp-data domain }" # autoriza conexoes nesse servidor para rede externa e interna services_ext_tcp="{ ssh http }" services_int_tcp="{ ftp ssh http }" # Diretoria table { 192.168.1.59 } # nao filtra na interface loopback set skip on lo0 # faz scrub em pacotes que chegam scrub in all # SQUID - redireciona acessos http para squid (3128) #rdr on $ext_if inet proto tcp from any to any port www -> 127.0.0.1 port 3128 # redireciona todos os pacotes enviados para o servidor atraves da vpn para o ip interno rdr on tun0 inet from any to 10.0.2.1 -> 10.0.1.1 # nat #nat on $ext_if from !($ext_if) to any -> ($ext_if) # define o politica padrao (bloqueia tudo) block log all # Antispoof para rede interna antispoof log quick for $int_if inet # vpn set skip on tun0 block in quick proto tcp from 10.0.2.6 to 10.0.1.1 port 22 # aceita conexoes de computadores da diretoria (VPN) pass in quick on $ext_if from pass out quick on $ext_if from # permite conexoes ssh na interface externa pass in quick on $ext_if proto tcp from any \ to port ssh flags S/SA synproxy state # libera os servicos para internet (services_ext) pass in on $ext_if proto tcp from any to port $services_ext_tcp # libera servicos para a rede interna (services_int) pass in on $int_if proto tcp from any to port $services_int_tcp # aceita trafego indo e vindo para a rede interna pass in on $int_if from $lan_net to any pass out on $int_if from any to $lan_net # libera tcp, udp e icmp saindo pela interface externa (Internet) # para portas definidas em allow_[tcp/udp] # mantem o estado em udp e icmp e usa modulate state em tcp. pass out on $ext_if proto tcp from any to port $allow_tcp modulate state flags S/SA pass out on $ext_if proto udp from any to port $allow_udp keep state pass out on $ext_if proto icmp all keep state - Muito obrigado pela ajuda Abracos Igor - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN + PF
On 06/03/07, Rafael - Gmail <[EMAIL PROTECTED]> wrote: > Boa tarde pessoal, > > Estou precisando da ajuda de vocês na seguinte tarefa: > > Eu configurei VPN em dois servidores Free, está funcionando legal, os dois > se enxergam e as rotas foram adicionadas. > Agora a dúvida : > Eu consigo através do PF ou alguma outra maneira, juntar duas redes internas > (matriz + filial) iguais (ambas 192.168.0.0) ? > Pela lógica acho que não seria possível, porém, pergunto aos amigos. > > Aceito sugestões. > > Att, > Rafael Simão > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > Rafael, eu acho que é possível, porém não sei exatamente como fazer. A teoria seria essa: deixe a VPN funcionando e depois crie interfaces do tipo bridge em cada ponta da VPN e redirecione todo pacote de broadcast e rede 192.168.0.0 para a VPN. Por favor, me corrijam se estiver errado. Abraços -- Gilberto Villani Brito System Administrator Londrina - PR Brazil gilbertovb(a)gmail.com - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN + PF
Core, Realmente merece um puxão de orelha e esse alguém não sou eu ... rsrs, até porque sou novo na empresa e cheguei com essa "missão" de migrar todos pra FreeBSD, uma vez que eram todos Linux (Slackware). Não será nenhum problema real mudar o escopo dessa rede da filial, uma vez que estão no DHCP, pra ser sincero eu jáhavia pensado nessa porssibilidade, sendo que o adm do servidor oracle me olhou de cara feia quando toquei nesse assunto (rsrsrs). Obrigado pelas dicas de vocês, são sempre bem-vindas pois quando se está sozinho e não se tem muita experiência assim (como eu) é sempre bom ouvir idéias e conselhos, sugestões ... ajudam a relaxar e decidir "melhor". Att, Rafael Simão - Original Message - From: "c0re dumped" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" Sent: Tuesday, March 06, 2007 4:05 PM Subject: Re: [FUG-BR] VPN + PF Olá Rafael. Bem, primeiramente, um puxão de orelha pro cara que projetou o endereçamento da rede (espero que nao tenha sido vc) =D. Sua situação tá um pouco complicada pq o gateway vpn tem que discernir duas redes fisicamente separadas, mas com o mesmo endereçamento. Como endereçar os pacotes que estão saindo, e os que estão chegando, ou seja, como saber qual é a rede 192.168.0.0 correta ? Acho que a melhor solução seria você redistribuir o endereçamento dessas redes de uma forma razoável. Por exemplo, a rede matriz poderia ser 192.168.0.0/22 e filial poderia ser 192.168.4.0/22. Desta forma você teria um range razoável de endereços para ambos os sites. O único problema seria reconfigurar o endereçamento nas máquinas, dependendo da quantidade de máquinas que usam ip fixo. Se você estiver usando DHCP, não será muito complicado. Outra forma seria usar uma máquina fazendo NAT pra uma das redes pra diferenciar o endereçamento, mas não recomendo que faça isso pq pode acabar complicando ainda mais tua vida. just my 2 cents. []'s -- No stupid signatures here. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN + PF
Olá Rafael. Bem, primeiramente, um puxão de orelha pro cara que projetou o endereçamento da rede (espero que nao tenha sido vc) =D. Sua situação tá um pouco complicada pq o gateway vpn tem que discernir duas redes fisicamente separadas, mas com o mesmo endereçamento. Como endereçar os pacotes que estão saindo, e os que estão chegando, ou seja, como saber qual é a rede 192.168.0.0 correta ? Acho que a melhor solução seria você redistribuir o endereçamento dessas redes de uma forma razoável. Por exemplo, a rede matriz poderia ser 192.168.0.0/22 e filial poderia ser 192.168.4.0/22. Desta forma você teria um range razoável de endereços para ambos os sites. O único problema seria reconfigurar o endereçamento nas máquinas, dependendo da quantidade de máquinas que usam ip fixo. Se você estiver usando DHCP, não será muito complicado. Outra forma seria usar uma máquina fazendo NAT pra uma das redes pra diferenciar o endereçamento, mas não recomendo que faça isso pq pode acabar complicando ainda mais tua vida. just my 2 cents. []'s -- No stupid signatures here. - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN + PF
Irado, Você teria alguma sugestão ? Obrigado pela atenção. Att, Rafael Simão - Original Message - From: "irado furioso com tudo" <[EMAIL PROTECTED]> To: Sent: Tuesday, March 06, 2007 3:08 PM Subject: Re: [FUG-BR] VPN + PF Em Tue, 6 Mar 2007 13:32:23 -0300 "Rafael - Gmail" <[EMAIL PROTECTED]> escreveu: > Eu consigo através do PF ou alguma outra maneira, juntar duas redes > internas (matriz + filial) iguais (ambas 192.168.0.0) ? > Pela lógica acho que não seria possível, porém, pergunto aos amigos. como é que vc faria o roteamento "daqui pra lá"? o gateway-vpn ficaria confuso em saber onde determinada máquina estaria, se dêste lado, se do outro, uma vez que a rede é a mesma. -- flames > /dev/null saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free "Não é evidente que Deus exista." (San Tomaz de Aquino) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] VPN + PF
Em Tue, 6 Mar 2007 13:32:23 -0300 "Rafael - Gmail" <[EMAIL PROTECTED]> escreveu: > Eu consigo através do PF ou alguma outra maneira, juntar duas redes > internas (matriz + filial) iguais (ambas 192.168.0.0) ? > Pela lógica acho que não seria possível, porém, pergunto aos amigos. como é que vc faria o roteamento "daqui pra lá"? o gateway-vpn ficaria confuso em saber onde determinada máquina estaria, se dêste lado, se do outro, uma vez que a rede é a mesma. -- flames > /dev/null saudações, irado furioso com tudo Linux User 179402/FreeBSD BSD50853/FUG-BR 154 Não uso drogas - 100% Miko$hit-free "Não é evidente que Deus exista." (San Tomaz de Aquino) - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] VPN + PF
Boa tarde pessoal, Estou precisando da ajuda de vocês na seguinte tarefa: Eu configurei VPN em dois servidores Free, está funcionando legal, os dois se enxergam e as rotas foram adicionadas. Agora a dúvida : Eu consigo através do PF ou alguma outra maneira, juntar duas redes internas (matriz + filial) iguais (ambas 192.168.0.0) ? Pela lógica acho que não seria possível, porém, pergunto aos amigos. Aceito sugestões. Att, Rafael Simão - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd