+ Responder ao Tópico



  1. #1

    Padrão Roteamento VPN

    Pessoal,
    Fiz uma VPN entre a filial e a matriz. O servidor da filial pinga e acessa tanto o servidor quanto as maquinas da rede interna da matriz.
    Mas não estou conseguindo fazer com que as máquinas Windows que estão atrás do servidor da filial acesse as máquinas ou os compartilhamentos no servidor da matriz. Fiz um traceroute de uma máquina da rede interna e o servidor (da filial) não está repassando os pacotes para a matriz.
    Abaixo o arquivo de configuração da filial e as linhas do iptables que se referem à vpn.

    Filial.conf:
    #!/bin/bash
    #Usa o modulo de interface tun carregado anteriormente
    #dev tun
    dev tap
    #Ip remoto a conectar (matriz)
    remote 200.xxx.xxx.xxx
    proto udp
    port 5002
    client
    pull
    keepalive 10 120
    float
    tls-client
    dh keys/dh1024.pem
    ca keys/ca.crt
    cert keys/xxs.crt
    key keys/xxs.key

    Iptables:
    #!/bin/bash
    #Habilita o repasse
    echo 1 > /proc/sys/net/ipv4/ip_forward
    #Carrega módulos
    modprobe ip_tables
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp
    modprobe ip_gre
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    iptables -t nat -s 10.1.1.0/24 -A POSTROUTING -o eth0 -j MASQUERADE
    iptables -t nat -I PREROUTING -i eth1 -p tcp -d 200.171.222.93 --dport 86 -j ACCEPT

    # Cria rotas VPN
    ip route add 172.16.0.0/16 via 10.1.1.3

    #Libera VPN
    $IPTABLES -A TCP_IN_FORWARD -p UDP -i $LAN_IFACE --dport 5002 -j ACCEPT
    $IPTABLES -A TCP_IN_FORWARD -p TCP -i $LAN_IFACE --dport 5002 -j ACCEPT
    $IPTABLES -A TCP_IN_INPUT -p UDP -i $EXT_IFACE --dport 5002 -j ACCEPT
    iptables -A INPUT -i tun0 -j ACCEPT
    iptables -A FORWARD -i tun0 -j ACCEPT
    iptables -A INPUT -i tap0 -j ACCEPT
    iptables -A FORWARD -i tap0 -j ACCEPT

    Se alguém tiver uma dica, fico bastante agradecido, estou realmente precisando fazer isso funcionar logo.

  2. #2

    Padrão

    Amigo...

    De olhar seu arquivo de configuração imagino que esteja usando OpenVPN.

    Para que essa topologia funcione você precisa adicionar do lado do servidor, no arquivo de configuração
    do servidor da filial, o parâmetro "iroute" que indica a rede interna da filial e mais um parametro no arquivo do servidor
    que não me lembro exatamente agora, mas no site da OpenVPN tem um exemplo... olha lá!

  3. #3

    Padrão mais uma coisa...

    Hummm e mais uma coisa...
    Quando você usa um dispositivo TAP, você indica uma VPN em modo bridge!
    Se quiser que ela seja roteada é necessário usar TUN! Isso está descrito também na documentação disponível no site!
    Falowww!!

  4. #4

    Padrão Verificando...

    Opa, André. Obrigado.
    Vou verificar. Te aviso se deu certo. É que só posso mexer no fim de semana.

  5. #5

    Padrão

    Citação Postado originalmente por zenun Ver Post
    Hummm e mais uma coisa...
    Quando você usa um dispositivo TAP, você indica uma VPN em modo bridge!
    Se quiser que ela seja roteada é necessário usar TUN! Isso está descrito também na documentação disponível no site!
    Falowww!!
    Isso Mesmo, Se vc usar como TUN vai precisar usar Rotas sim, mais para o Caso do TAP vc pode criar uma bridge, nesse caso não precisaria de Rotas, pois a rede será uma só.

    FLW

  6. #6

    Padrão

    Olha minha opinião sobre este produto é a que eu NUNCA ouvi falar dele!
    Você vai no site e não tem nada de referência de clientes que usam isso ai!
    Pense que se existir algum BUG de segurança, quem vai dar suporte a isso?
    Eu pelo menos não achei o site do fabricante!

    Acho que vale a pena quebrar um pouco a cabeça com o OpenVPN pois tem suporte ATIVO
    de uma empresa, desenvolvimento constante e muuuuuuita gente usa!
    Cuidado com esses produtos que prometem muito e que não existe muitas referencias!

    E olha o investimento pedido por isso! Se você quer um produto facil para configurar VPN recomendo o Untangle!
    Da uma olhada ali! Permite criar seus links para acesso remoto desde seu computador ou conectar sites!
    Tudo usando uma interface web facil e simples!

    Pensem bem!!

    Abraços,

    André

  7. #7

    Padrão

    Olha amigo não contesto o fato de você usar esse produto ou de ele ser novo!
    Estou com dúvidas sobre a segurança da implementação dos protocolos IPSec!
    E no caso de se ter algum bug de segurança... quem dá suporte a isso?
    Quem desenvolve o firmware deste produto?

    Você disse que você não deixa de usar um produto mesmo que ela seja inseguro?
    VPN é acesso direto a sua rede... é um ponto de acesso onde a segurança DEVE ser
    presada e muito bem cuidada!

    Abraço,

    André