+ Responder ao Tópico



  1. Entendi...depois olhando com mais calma percebi isso!!!

    Seria bem isso mesmo, na verdade o direitor só quer que saia pelo link ponto-a-ponto se esse cair então entra a vpn que usa a internet.

    A VPN, e o link P2P, já se falam, mas não estou conseguindo rotear as redes para usar o P2P. Vou postar abaixo minhas configurações se puder dar umas dicas ou se eu tiver que criar um novo tópico me avise.
    Eu agradeço.
    Abs.

    P2P entre matriz e filial, tenho seguinte cenário.
    São dois servidores com três placa de rede cada.
    O servidor da matriz está asssim:

    Eth0: 192.168.0.3 - Rede local
    Eth2: Ip público fixo
    Eth3: 172.16.1.253 - Link ponto a ponto com a filial.
    Tun0: 10.1.1.1 - Tunel VPN que sai pela internet para filial

    O servidor da filial esta'assim:
    Eth0: Ip publico fixo
    Eth2: 192.168.1.1 - Rede local
    Eth3: 172.16.2.253 - Link ponto a ponto com a matriz.
    Tun0: 10.1.1.2 - Tunel VPN que sai pela internet para matriz

    - O túnel e as redes via VPN se enxergam se problemas.
    - Agora é necessário fazer com que as redes 192.168.0.0 e 192.168.1.0 se enxergem via P2P.
    - Do IP 172.16.1.253 eu pingo o 172.16.2.253 e vice versa.
    - Da rede 192.168.0.0 quando pingo a rede 192.168.1.0, para no 172.168.1.254 que o Gateway, logo algo nas regras está errado e ainda não consegui entender.

    Quais regras devo configurar para que funcione esse roteamento? A idéia também é manter o a VPN (10.0.0.0) ativa e criar um backup, se cair o ponto a ponto a VPN assume.

    Abaixo as configurações da MATRIZ

    ###Route -n (servidor Matriz)###

    Tabela de Roteamento IP do Kernel
    Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
    10.1.1.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
    200.15.124.100 0.0.0.0 255.255.255.240 U 0 0 0 eth2
    172.16.2.0 172.16.1.254 255.255.255.0 UG 0 0 0 eth3
    192.168.1.0 10.1.1.1 255.255.255.0 UG 0 0 0 tun0
    192.168.0.0 192.168.0.3 255.255.255.0 UG 0 0 0 eth0
    172.16.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth3
    169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
    127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
    0.0.0.0 200.15.124.101 0.0.0.0 UG 0 0 0 eth2

    ###IPTABLES MATRIZ###

    #! /bin/bash

    #Inicializa modulos
    echo 1 > /proc/sys/net/ipv4/ip_forward
    modprobe iptable_nat

    #Flush all
    iptables -F
    iptables -X

    #drop all
    iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn -j DROP
    iptables -A INPUT -p icmp -i eth2 -j DROP

    #Libera acesso a VPN somente para os ips abaixo
    iptables -A FORWARD -s 192.168.0.3 -d 192.168.1.0/24 -j ACCEPT
    iptables -A FORWARD -s 192.168.0.1 -d 192.168.1.0/24 -j ACCEPT
    iptables -A FORWARD -s 192.168.0.133 -d 192.168.1.0/24 -j ACCEPT
    iptables -A FORWARD -s 192.168.0.83 -d 192.168.1.0/24 -j ACCEPT

    #Bloqueia acesso a VPN para o restante da rede
    iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j DROP

    #Nesse processo estou apontando uma rota para gateway filial
    route del -net 192.168.1.0 netmask 255.255.255.0
    route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.1.1.1
    route del -net 192.168.0.0 netmask 255.255.255.0
    route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.0.3

    #Aqui estou liberando a máscara
    iptables -t nat -A POSTROUTING -o tun+ -j MASQUERADE

    #Ativa squid
    iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

    #E aqui estou permitindo a passagem de pacotes entre as redes
    iptables -A FORWARD -i tun0 -s 192.168.1.0/24 -d 192.168.0.0/24 -j ACCEPT
    #iptables -A FORWARD -i eth0 -j ACCEPT
    #iptables -A FORWARD -i eth2 -j ACCEPT
    #iptables -A FORWARD -i eth3 -j ACCEPT

    #Libera acesso INTRANET
    iptables -t nat -A PREROUTING -i eth2 -p tcp -m tcp --dport 24801 -j DNAT --to-destination 192.168.0.1:80

    #Libera DNS
    iptables -I INPUT -s 200.15.124.133 -j ACCEPT
    iptables -I INPUT -s 200.15.124.134 -j ACCEPT

    ###IPTABLES -L (MATRIZ)###

    Chain INPUT (policy ACCEPT)
    target prot opt source destination
    ACCEPT 0 -- 189.10.59.25.dsl.telesp.net.br anywhere
    ACCEPT 0 -- web1.embratel.com.br anywhere
    ACCEPT 0 -- mail.embratel.com.br anywhere
    ACCEPT tcp -- 192.168.0.0/24 anywhere tcp flags:FIN,SYN,RST,ACK/SYN
    DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN
    DROP icmp -- anywhere anywhere

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination
    ACCEPT 0 -- proxy.digivoice 192.168.1.0/24
    ACCEPT 0 -- 192.168.0.1 192.168.1.0/24
    ACCEPT 0 -- 192.168.0.133 192.168.1.0/24
    ACCEPT 0 -- 192.168.0.83 192.168.1.0/24
    DROP 0 -- 192.168.0.0/24 192.168.1.0/24
    ACCEPT 0 -- 192.168.1.0/24 192.168.0.0/24

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination

    ###Route -N (servidor Filial)###

    Tabela de Roteamento IP do Kernel
    Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface
    10.1.1.1 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
    172.16.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth3
    192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
    200.203.154.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
    192.168.0.0 10.1.1.2 255.255.255.0 UG 0 0 0 tun0
    172.16.1.0 172.16.2.254 255.255.255.0 UG 0 0 0 eth3
    169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
    127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
    0.0.0.0 200.203.154.1 0.0.0.0 UG 0 0 0 eth0

    ###IPTABLES - FILIAL###
    #! /bin/bash

    echo 1 > /proc/sys/net/ipv4/ip_forward

    #Nesse processo estou apontando uma rota para gateway filial
    route del -net 192.168.0.0 netmask 255.255.255.0
    route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.1.1.2

    #Flush all
    iptables -F
    iptables -X

    #Drop all
    iptables -P INPUT DROP

    #Libera rede vinda da VPN
    iptables -A INPUT -s 10.1.1.1 -p tcp -j ACCEPT
    iptables -A INPUT -s 10.1.1.1 -p udp -j ACCEPT
    iptables -A INPUT -s 10.1.1.1 -p icmp -j ACCEPT

    #Libera rede com ip da DigiVoice
    iptables -A INPUT -s 200.203.154.2 -p tcp -j ACCEPT
    iptables -A INPUT -s 200.203.154.2 -p udp -j ACCEPT
    iptables -A INPUT -s 200.203.154.2 -p icmp -j ACCEPT

    #Libera SP acessar servidor local
    iptables -I INPUT -s 192.168.1.0/24 -j ACCEPT

    #Aqui estou liberando a máscara
    iptables -t nat -A POSTROUTING -o tun+ -j MASQUERADE

    #E aqui estou permitindo a passagem de pacotes entre as redes
    iptables -A FORWARD -i tun0 -s 192.168.0.0/24 -d 192.168.1.0/24 -j ACCEPT

    # Sinalizacao SIP
    iptables -A INPUT -p udp --dport 5060 -j ACCEPT

    # RTP
    iptables -A INPUT -p udp --dport 10000:20000 -j ACCEPT

    # IAX2
    iptables -A INPUT -p udp --dport 4569 -j ACCEPT

    #localhost
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    #NAT
    iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
    iptables --append FORWARD --in-interface eth0 -j ACCEPT

    IPTABLES -L (FILIAL)
    Chain INPUT (policy DROP)
    target prot opt source destination
    ACCEPT 0 -- 192.168.1.0/24 anywhere
    ACCEPT tcp -- 10.1.1.1 anywhere
    ACCEPT udp -- 10.1.1.1 anywhere
    ACCEPT icmp -- 10.1.1.1 anywhere
    ACCEPT tcp -- 200.203.154.2-dns-br.embratel.net.br anywhere
    ACCEPT udp -- 200.203.154.2-dns-br.embratel.net.br anywhere
    ACCEPT icmp -- 200.203.154.2-dns-br.embratel.net.br anywhere
    ACCEPT udp -- anywhere anywhere udp dpt:sip
    ACCEPT udp -- anywhere anywhere udp dpts:ndmp:dnp
    ACCEPT udp -- anywhere anywhere udp dpt:iax
    ACCEPT 0 -- anywhere anywhere
    ACCEPT 0 -- anywhere anywhere state RELATED,ESTABLISHED

    Chain FORWARD (policy ACCEPT)
    target prot opt source destination
    ACCEPT 0 -- 192.168.0.0/24 192.168.1.0/24
    ACCEPT 0 -- anywhere anywhere

    Chain OUTPUT (policy ACCEPT)
    target prot opt source destination

  2. Ôpa Pedro...
    Me tira uma dúvida... ou melhor... qual seria sua opinião hehe...
    Tava testando o iproute2...
    Testei mandando tudo de um IP para tal gateway...
    A questão é o seguinte... temos uma rede interna... com servidor web, mail, dns, dhcp... blablabla...
    Aí se quero acessar meu site como estou mandando tudo para tal gateway, minha conexão é realizada por fora... e não internamente...

    invés de:
    PC -> ACESSO HTTP REDE INTERNA

    fica sendo:
    PC -> VÁÁÁÁÁRIOS SALTOS -> ACESSO HTTP REDE EXTERNA

    Teria como pelo iproute2 alterar isso?
    Só veio a cabeça invés de mandar todo o tráfego da VLAN pelo gateway, utilizar o iptables para marcar pacotes com destino diferente da DMZ e esses irem pro gateway...

    Espero que tenha dado pra entender hehe...
    Valeu!!



  3. Rapaz.. Pra ser sincero não entendi...

    Faz um pequeno diagrama da sua rede com o Dia e põe aqui que fica mais claro a situação. Se puder, faz da topologia lógica e física. Mas lhe adianto que o IPRoute2 faz miséria! Ele é muito completo.

  4. É o seguinte...

    Algumas VLANs vão por tal gateway... e outras por outro...
    Temos uma DMZ... com www e etc... DNS interno e tal...

    Aí quando queremos acessar o site local acessamos internamente...
    Meu dns diz que eh 10.algo por exemplo...

    Só que quando coloco pra ir por tal gateway tudo vai por ele...
    Aí se quero acessar meu WWW interno... eu "saio" por uma conexão pra acessar pela conexão externa de outro provedor...

    Aí queria que tudo que fosse interno... "não saisse"...
    Se eu quiser acessar www.eu.com, acesse internamente... e não ir pelo gateway pra depois acessar como se fosse de fora....

    Está algo tipo "ip rule add from 10.0.0.120 table 20"...
    E essa tabela 20 manda tudo por um gateway pra fora...
    E eu preciso que eu querendo acessar o www.eu.com acesse internamente...
    Não que seja PC -> REDE_DE_FORA -> MEU_WWW_EXTERNO ... E sim PC -> MEU WWW_INTERNO

    Consegui ou enrolei? hehe

    Victor Hugo



  5. Você já configurou seu DNS?

    Quando você requisita Site.com.br, o DNS vai traduzir esse nome em um endereço. Se sua rede está indo pelo endereço externo, é por que o DNS o está enviando. Você já tentou usar o endereço IP para acessar o serviço? Se o problema pesistir, ai sim pode ser um problema de roteamento. Ai você volta por aqui. Mas coloque suas configurações. Endereços de rede, regras de roteamento, diagramas, etc.






Tópicos Similares

  1. Balanceamento de Carga do Link
    Por SeuMadruga no fórum Redes
    Respostas: 27
    Último Post: 10-05-2015, 19:55
  2. Balanceamento de portas entre 2 links
    Por angelangra no fórum Redes
    Respostas: 15
    Último Post: 20-11-2007, 01:03
  3. Balanceamento de carga usando 2 links
    Por dumer99 no fórum Redes
    Respostas: 16
    Último Post: 14-12-2006, 15:42
  4. Respostas: 1
    Último Post: 16-08-2006, 09:08
  5. Respostas: 3
    Último Post: 19-01-2003, 10:32

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L