+ Responder ao Tópico



  1. #1

    Padrão rotas na conexao pptp para utentes

    Falaì pessoal.....

    eu tenho um probleminha que nao consigo resolver. Criei dois utentes para conectar em VPN pptp e funciona muito bem sò que os utentes quando fazem a conexao conseguem ver toda a minha rede.

    Queria criar uma regra para que eles pudessem ver sò um endereço IP ou um range de endereços.

    Sei que è possivel mas nao consigo configurar. Alguém pode dar uma mao??????

    Muito obrigado......

  2. #2

    Padrão Re: Rotas na conexão PPTP para utentes

    Boa tarde.

    O que você pode fazer é marcar a conexão desses utentes (usuários), com o uso do Mangle. Dessa forma será possível definir o que pode (ou não) ser alcançado dentro da rede, com o uso de filtros (Filter).

    Se for possível, forneça mais detalhamentos sobre o seu cenário de rede. Dessa forma, conforme for, pode ser resolvido de forma mais simples, usando apenas regras de rotas (/ip routes rules).
    Última edição por trober; 01-11-2013 às 09:12.

  3. #3

    Padrão Re: rotas na conexao pptp para utentes

    Opa Trober, obrigado pela resposta!!

    Eu tenho tres redes:

    Rede 1: 192.168.10.X (principal)
    Rede 2: 192.168.1.X (usuario esterno 1)
    Rede 3: 192.168.2.X (usuario esterno 2)

    O usuario esterno1 se conecta na rede principal através da VPN PPTP e tem que fazer uma conexao com a AS400 no endereço 192.168.10.2 e ele tem que poder alcançar sò esse endereço. Todo o resto da rede nao pode ser alcançado.

    O usuario esterno2 se conecta na rede principal através da VPN PPTP e tem que fazer uma conexao com um servidor e algumas perifericas no range de endereços 192.168.10.30-40 e ele tem que poder alcançar somente esses endereços. Todo o resto da rede nao pode ser alcançado.

    Esse é o cenario que eu tenho atualmente.

    Agora eu nao tenho pratica nem com o mangle (o que entendi que é um estrumento muito potente) e nem com rotas nesse caso.

    Vc pode me dar alguma indicaçao.

    Muito obrigado.
    Havock

  4. #4

    Padrão Re: Rotas na conexão PPTP para utentes

    Citação Postado originalmente por havock Ver Post
    ...Eu tenho tres redes:
    Rede 1: 192.168.10.X (principal)
    Rede 2: 192.168.1.X (usuario esterno 1)
    Rede 3: 192.168.2.X (usuario esterno 2)...
    Grato pela descrição do cenário.

    Montei aqui no meu laboratório um ambiente simulando seu cenário. Criei regras abaixo que, não são as mais bonitas, tampouco elegantes, mas que resolvem seu problema, sem usar Mangle. O correto seria usar marcação de rotas com Mangle. Que fique claro isso para não dizerem que mostrei a forma errada

    Citação Postado originalmente por havock Ver Post
    ...O usuario esterno1 se conecta na rede principal através da VPN PPTP e tem que fazer uma conexao com a AS400 no endereço 192.168.10.2 e ele tem que poder alcançar sò esse endereço. Todo o resto da rede nao pode ser alcançado...
    A primeira linha deste bloco de código permite que 192.168.10.2 (seu AS400) seja alcançável por quem vier de 192.168.1.0/24. A segunda regra nega o acesso originado em 192.168.1.0/24, com destino à rede 192.168.10.0/24.

    Código :
    /ip route rule add action=lookup      disabled=no dst-address=192.168.10.2/32 src-address=192.168.1.0/24   table=main comment="Route Rule - Permitir acesso de clientes de VPN1 ao AS400"
    /ip route rule add action=unreachable disabled=no dst-address=192.168.10.0/24 src-address=192.168.1.0/24   comment="Route Rule - Negar acesso de clientes de VPN1 ao resto da rede"

    Citação Postado originalmente por havock Ver Post
    O usuario esterno2 se conecta na rede principal através da VPN PPTP e tem que fazer uma conexao com um servidor e algumas perifericas no range de endereços 192.168.10.30-40 e ele tem que poder alcançar somente esses endereços. Todo o resto da rede nao pode ser alcançado.
    As dez primeiras linhas deste bloco de códigos permite que os hosts de final 30 até 40 sejam alcançáveis por quem vier de 192.168.2.0/24. A última regra nega o acesso originado em 192.168.2.0/24, com destino à rede 192.168.10.0/24.

    Código :
    /ip route rule add action=lookup      disabled=no dst-address=192.168.10.30/32 src-address=192.168.2.0/24   table=main comment="Route Rule - Permitir acesso de clientes de VPN2 aos perifericos"
    /ip route rule add action=lookup      disabled=no dst-address=192.168.10.31/32 src-address=192.168.2.0/24   table=main comment="Route Rule - Permitir acesso de clientes de VPN2 aos perifericos"
    /ip route rule add action=lookup      disabled=no dst-address=192.168.10.32/32 src-address=192.168.2.0/24   table=main comment="Route Rule - Permitir acesso de clientes de VPN2 aos perifericos"
    /ip route rule add action=lookup      disabled=no dst-address=192.168.10.33/32 src-address=192.168.2.0/24   table=main comment="Route Rule - Permitir acesso de clientes de VPN2 aos perifericos"
    /ip route rule add action=lookup      disabled=no dst-address=192.168.10.34/32 src-address=192.168.2.0/24   table=main comment="Route Rule - Permitir acesso de clientes de VPN2 aos perifericos"
    /ip route rule add action=lookup      disabled=no dst-address=192.168.10.35/32 src-address=192.168.2.0/24   table=main comment="Route Rule - Permitir acesso de clientes de VPN2 aos perifericos"
    /ip route rule add action=lookup      disabled=no dst-address=192.168.10.36/32 src-address=192.168.2.0/24   table=main comment="Route Rule - Permitir acesso de clientes de VPN2 aos perifericos"
    /ip route rule add action=lookup      disabled=no dst-address=192.168.10.37/32 src-address=192.168.2.0/24   table=main comment="Route Rule - Permitir acesso de clientes de VPN2 aos perifericos"
    /ip route rule add action=lookup      disabled=no dst-address=192.168.10.38/32 src-address=192.168.2.0/24   table=main comment="Route Rule - Permitir acesso de clientes de VPN2 aos perifericos"
    /ip route rule add action=lookup      disabled=no dst-address=192.168.10.39/32 src-address=192.168.2.0/24   table=main comment="Route Rule - Permitir acesso de clientes de VPN2 aos perifericos"
    /ip route rule add action=lookup      disabled=no dst-address=192.168.10.40/32 src-address=192.168.2.0/24   table=main comment="Route Rule - Permitir acesso de clientes de VPN2 aos perifericos"
    /ip route rule add action=unreachable disabled=no dst-address=192.168.10.0/24  src-address=192.168.2.0/24              comment="Route Rule - Negar acesso de clientes de VPN2 ao resto da rede"

    E de presente, uma regra que nega os clientes da VPN1 visualizarem clientes da VPN2, e vice-versa
    Código :
    /ip route rule add action=drop disabled=no dst-address=192.168.2.0/24 src-address=192.168.1.0/24 comment="Router Rule - Clientes de VPN1 nao contatam com VPN2"
    /ip route rule add action=drop disabled=no dst-address=192.168.1.0/24 src-address=192.168.2.0/24 comment="Router Rule - Clientes de VPN2 nao contatam com VPN1"

    Como reforcei acima, esta não é a forma mais elegante de resolver o problema. Mas considerando a sua não familiaridade com Mangle, é a forma alternativa de resolver o problema.

    Acredito que você já deve saber disso, mas não custa ser redundante: As regras precisam estar na ordem em que foram informadas.

    Após aplicar, por favor, avisa aí se funcionou (ou não)
    Última edição por trober; 01-11-2013 às 09:13.

  5. #5

    Padrão Re: rotas na conexao pptp para utentes

    Cara desculpa ae pela demora de "alguns" meses, mas esse era un projeto que estava começando e o cliente nao quis mais continuar. Agora eu precisei dessa regra em um outro cliente e deu beleza!!!! Show de bola rapaz........ estou começando a pegar familiaridare com o Mangle também!!! Mais uma vez desculpa pelo atraso...... Muito obrigado pelo seu tempo dedicado!! um abraçao..... havock

  6. #6

    Padrão Re: Rotas na conexão PPTP para utentes

    Citação Postado originalmente por havock Ver Post
    ...Muito obrigado pelo seu tempo dedicado!! ...
    Que bom! Fico contente em saber que a ajuda foi válida
    Última edição por trober; 01-11-2013 às 09:14.