Acessar a Internet da matriz, via VPN, na Filial...

Montei um servidor em Slack10 c/ 2 serviços, compartilhamento de internet e compartilhamento de InterLan (serviço da Brasil Telecom para interligação de redes), usando iproute e iptables. Na Matriz eu "pingo" a Filial, mas da Filial eu só acesso as maquinas da Matriz através de regras de Iptables, ex:

iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 139 -j DNAT --to-destination 10.3.46.10:139
iptables -t nat -A PREROUTING -i eth2 -p udp --dport 139 -j DNAT --to-destination 10.3.46.10:139

iptables -t nat -A POSTROUTING -o eth0 -p tcp -s 10.3.47.0/24 --dport 139 -j SNAT --to-source 10.3.46.4
iptables -t nat -A POSTROUTING -o eth0 -p udp -s 10.3.47.0/24 --dport 139 -j SNAT --to-source 10.3.46.4

iptables -I FORWARD -s 10.3.46.4 -p tcp --sport 139 -j ACCEPT
iptables -I FORWARD -s 10.3.46.4 -p tcp --dport 139 -j ACCEPT
iptables -I FORWARD -s 10.3.46.4 -p udp --sport 139 -j ACCEPT
iptables -I FORWARD -s 10.3.46.4 -p udp --dport 139 -j ACCEPT

Porém sergiu um novo desafio, permitir a navegação na Filial utilizando a Internet da Matriz, via InterLan, isso é possivel?

Desde ja agradeço a atenção.

Não entendi muito bem o que vc deseja fazer. esclareça melhor. vc por acaso deseja navegar na web usando a Intranet q vc desenvolveu?
Ou seja< vai usar a VPN para se conectar ao provedor de internet da Matriz para receber acesso a rede web?

Aew,

Na matriz vc tem IP´s validos?? ou voce quer fazer um NAT para a filial usar?


O seu Servidor pinga o ponto-filial ?

nunca fiz dessa forma, mas tenta fazer um NAT...

outra coisa.. a InterLan da BrTelecom permiti isso?? sera que nao é bloqueado ?

flws

Citação:

---

Postado originalmente por VoipOnline

Não entendi muito bem o que vc deseja fazer. esclareça melhor. vc por acaso deseja navegar na web usando a Intranet q vc desenvolveu?
Ou seja< vai usar a VPN para se conectar ao provedor de internet da Matriz para receber acesso a rede web?

---

Sim, eu tenho a VPN que conecta a filial ao servidor da matriz, que ja compartilha a internet na matriz, o que eu qro agora é usar tmb a internet da matriz na filial.

Citação:

---

Postado originalmente por cebolark

Aew,

Na matriz vc tem IP´s validos?? ou voce quer fazer um NAT para a filial usar?


O seu Servidor pinga o ponto-filial ?

nunca fiz dessa forma, mas tenta fazer um NAT...

outra coisa.. a InterLan da BrTelecom permiti isso?? sera que nao é bloqueado ?

flws

---

Sim, da matriz eu pingo as maquinas da filial, mais da filial eu só pingo o servidor da matriz.
Eu gostaria de tentar NAT, mais nem imagino por onde começar.
Creio q naum seje bloqueado, o q a InterLan faz é só interligar os pontos, permitindo que de matriz eu acesse a filial e vice-versa, porém pra isso acontecer as maquinas da filial tem de ter como gateway o roteador da filial e as maquinas da matriz tem que ter como gateway o roteador da matriz.

É simples, defina o ip VPN remoto como default gateway da tua rede.

Sds,

Citação:

---

Postado originalmente por karfax

É simples, defina o ip VPN remoto como default gateway da tua rede.

Sds,

---

O problema é que para a matriz "enxergar" a filial o gateway padrão da matriz tem que ser o IP do roteador da matriz, e para a filial "enxergar" a matriz o gateway padrão da filial tem de ser o ip do roteador da filial.

Isso ai é rolo com roteamento heim... vc precisaria fazer alguns acertos nas tabelas de roteamento de cada Interlan. Na matriz não defina como default gw o roteador Interlan da filial. Simplesmente adicione as rotas estáticas - rotas de rede (isto já será suficiente). O default gateway no roteador Interlan da matriz precisaria ser o seu servidor Linux. No Linux vc faz os acertos de NAT conforme julgar necessário. Outra alternativa seria criar um esquema de tunelamente diretamente entre um gateway linux na matriz e outro na filial. Qdo o tunel for estabelecido basta que a filial use a interface de tunel como default gw.

Existem várias situações que podem ser pensadas. Vc tem MSN?

Nao faz pelo msn nao. Posta ai pra gente saber como foi resolvido.

Pessoal. Seguinte...
Tenho uma empresa com 2 filiais interligadas via roteador.
No Servidor principal tenho a internet compartilhada e as regras de roteamento:
route add -net 192.168.2.0 gw 192.168.1.1 netmask 255.255.255.0 dev eth1
route add -net 192.168.3.0 gw 192.168.1.1 netmask 255.255.255.0 dev eth1

Onde 192.168.2.1 roteador filial 1 e 192.168.3.1 roteador filial 2
192.168.1.1 roteador matriz.
Com esses comandos eles já acessam a internet via Squid.
Nao precisei acrescentar mais nada.

Com a estrurura q eu tenho hj eu acesso o servidor da matriz pela filial. porém há a necessidade tmb de acessar a internet.

Na matriz eu tenho:

Usuário
IP: 10.3.46.10
Gateway: 10.3.46.4

Servidor:
eth0: 10.3.46.4
eth1: 200.xxx.xxx.xxx
eth2: 10.3.45.6
#----------------------------------------------------------------------------
# InterLan
ifconfig eth2 10.3.45.6 netmask 255.255.255.0 broadcast 10.3.45.255 up
ip route add default via 10.3.45.5 table itlan
ip rule add to 10.3.45.0/24 pref 20 table 2
ip rule add to 10.3.47.0/24 pref 20 table 2
ip rule add to 192.168.0.0/24 pref 20 table 2
#----------------------------------------------------------------------------
# IpTurbo
ifconfig eth1 200.xxx.xxx.xxx netmask 255.255.255.248 up
ip route add default via 200.xxx.xxx.xxx table net
ip rule add to all pref 30 table 3
#----------------------------------------------------------------------------

Roteador
LAN: 10.3.45.5
WAN: 192.168.0.1

Na Filial tenho:

Usuário:
IP: 10.3.47.10
Gateway: 10.3.47.5

Roteador:
LAN: 10.3.47.5
WAN: 192.168.0.2

Com essa configuração da matriz eu faço:
1 - pingo o roteador da filial
2 - pingo as todas maquinas da filial
3 - Acesso todas as maquinas da filial

Com essa configuração da filial eu faço:
1 - pingo o roteador da matriz
2 - pingo somente a eth2 do servidor da matriz
3 - acesso outras maquinas somente c/ regras de Iptables (NAT), redirecionando as portas.

O que eu preciso agora é navegar na filial usando a internet q esta compartilhada no servidor da matriz na eth1. Pensei em usar NAT fazendo redirecionamentos, mais não sei c eh possivel.
Pensei tmb em colocar como gateway do roteador da matriz o ip do servidor, mais tmb não sei c da certo. O Roteador é um Cisco 1700 (1721)

Desde ja agradeço a atenção de todos...

P.s.: Meu msn ta nesse icone abaixo (MSNM) e c conseuir resolver esse desafio certamente colocarei a disposição do forum, ja q uma mão lava a outra sempre...

A primeira coisa que vc precisa fazer é validar o roteamento de pacotes originados por 10.3.45.5 (seu gw da matriz) e destinado as estações da rede 10.3.46. Ou o seu roteador Interlan não tem rota para esta rede ou o seu gateway/fw Linux esta negando o forward neste sentido.

Faz assim:
telnet 10.3.45.5
"digite a senha de acesso simples"
ena
"digite a senha definida para enable"
ping
"<ENTER> em Protocol [IP]"
"10.3.46.10"
"<ENTER> para o resto"

De preferência qdo vc fizer isto deixe um terminal aberto com o tcpdump sniffando este tráfego. Assim vc já consegue saber de imediato se o pacote esta sendo repassado ao Linux. Algo como:
tcpdump -i any icmp and dst host 10.3.46.10 -n

Aparentemente, basta conferir se o roteador da matriz tem uma rota similar a (use o comando sh run (após o ena)) :
ip route 10.3.46.0 255.255.255.0 10.3.45.6

Aliás, o que comentei seria para que a filial tivesse "livre" acesso a matriz. Para fornecer internet a coisa muda um pouco mais.

Para disponibilizar a navegação (HTTP) basta disponibilizar o Squid a filial (coisa que já esta ok). Mas se você também quiser fazer roteamento de pacotes para Internet, ai a coisa complica um pouco mais.

No roteamento para Internet, vc precisaria de algo similiar a:
Em 10.3.45.5
ip route 0.0.0.0 0.0.0.0 10.3.45.6
ip route 10.3.47.0 255.255.255.0 IP_WAN_EM_10_3_47_5

"Sem falar nas permissões de roteamento no Linux"

Talvez o ideal fosse vc fazer o seguinte:

Instale um servidor de VPN no gateway Linux da Matriz (openswan ou o OpenVPN) - o openvpn é muito bom e simples. Instale um "cliente" OpenVPN na filial (um gateway Linux na filial tb). Use a interface de VPN da filial como o default gateway no roteador Linux da filial. Fazendo isto, vc consegue disponibilizar a Internet sem mudar grandes coisas nos roteadores da BrT.

Bom, tem várias formas... no final da tarde entro no MSN, se vc estiver online e quiser trocar umas idéias!

Muito obrigado a todos pela ajuda, resolvi o problema colocando como gateway do roteador da matriz o IP 10.3.46.5.