VPN PPTP com Duas internet

[Camargosjr]

Pessoal, eu tenho um VPN PPTP funcionando normalmente, porém adquiri um novo link de internet e gostaria de dedica-lo exclusivamente ao vpn, como poderia ser feito isso deixando a rede interna navegando por outra internet adsl?

[andrecarlim]

O segundo link que adquiriu é do lado do cliente vpn ou do lado do servidor VPN?

[Camargosjr]

O segundo link que adquiriu é do lado do cliente vpn ou do lado do servidor VPN?

Do lado do servidor.

[andrecarlim]

Bom, não sei como você recebe os links, mas de modo geral vou usar endereços fictícios e você ajusta conforme sua necessidade.

Supondo que do lado do servidor seja link1 -> ether1 -> 100.100.100.1 e link2 -> ether2 -> 200.200.200.2, lan -> ether3 -> 192.168.0.1/24 e você queira que a rede interna (lan) use o link2 para acessar a internet, você cria um SNAT desse modo "src-add 192.168.0.0/24 -> out-interf. ether2 -> masquerade". Assim a rede interna "sai" pelo link2.

Para usar o link1 na VPN, basta lá no cliente apontar para o IP do link1, a VPN estabelece normal, faltando apenas acertar o roteamento da vpn!

[Camargosjr]

Bom, não sei como você recebe os links, mas de modo geral vou usar endereços fictícios e você ajusta conforme sua necessidade.

Supondo que do lado do servidor seja link1 -> ether1 -> 100.100.100.1 e link2 -> ether2 -> 200.200.200.2, lan -> ether3 -> 192.168.0.1/24 e você queira que a rede interna (lan) use o link2 para acessar a internet, você cria um SNAT desse modo "src-add 192.168.0.0/24 -> out-interf. ether2 -> masquerade". Assim a rede interna "sai" pelo link2.

Para usar o link1 na VPN, basta lá no cliente apontar para o IP do link1, a VPN estabelece normal, faltando apenas acertar o roteamento da vpn!

Fazendo dessa forma que vc sugeriu, a rede interna do lado do servidor vai enxergar o rede interna do lado do cliente? Obrigado!

[AndrioPJ]

Pessoal, eu tenho um VPN PPTP funcionando normalmente, porém adquiri um novo link de internet e gostaria de dedica-lo exclusivamente ao vpn, como poderia ser feito isso deixando a rede interna navegando por outra internet adsl?

ambos os links de internet estão chegando no mesmo router?

[Camargosjr]

ambos os links de internet estão chegando no mesmo router?

Sim, os dois links chegam no mesmo router.

[andrecarlim]

Fazendo dessa forma que vc sugeriu, a rede interna do lado do servidor vai enxergar o rede interna do lado do cliente? Obrigado!

Se você acertar as rotas vai sim, por isso te disse que tem que arrumar o roteamento!

[Camargosjr]

Se você acertar as rotas vai sim, por isso te disse que tem que arrumar o roteamento!

Vc poderia ser um pouco mais especifico sobre as rotas?
No meu cenário foi criado duas rotas padrão, uma pro link 1 e outra para o link 2, sendo o segundo distance = 2. As rotas para a vpn também estão funcionando.

[andrecarlim]

Vc poderia ser um pouco mais especifico sobre as rotas?
No meu cenário foi criado duas rotas padrão, uma pro link 1 e outra para o link 2, sendo o segundo distance = 2. As rotas para a vpn também estão funcionando.

Sim, quando me referi a roteamento, não estou falando de configurar o gateway padrão, estou falando de fazer o seguinte, supondo que no lado do cliente da vpn seja a rede interna (lan) o bloco de ip 192.168.1.0/24 e do lado do servidor da vpn seja a rede interna (lan) o bloco 192.168.0.0/24, você tem que, no lado do cliente, criar uma rota assim: dst-addr 192.168.0.0/24 gateway "interface da vpn". E do lado do servidor da vpn criar uma assim: dst-addr 192.168.1.0/24 gateway "interface da vpn deste cliente", existe até uns opção, no lado de servidor, que você configura a rota no cliente no "secret" dele, se estiver usando Mikrotik é claro.

Uma dica, se até aqui não conseguiu entender, infelizmente ninguém até pode te ajudar, você precisa estudar redes, modelo osi, roteamento e etc. Não gosto muito muito de entregar tudo tão fácil assim, mas... em todo caso você precisa ter um mínimo de conhecimento de roteamento para gerenciar VPN's.

E para aqueles que dirão "faz um EoIP que fica mais fácil" eu digo: fuja! O eoip vai "ligar" diretamente as duas redes possibilitando a passagem de broadcast e etc, não recomendo isso de modo nenhum! Pelo menos não no teu caso.

[Camargosjr]

Sim, quando me referi a roteamento, não estou falando de configurar o gateway padrão, estou falando de fazer o seguinte, supondo que no lado do cliente da vpn seja a rede interna (lan) o bloco de ip 192.168.1.0/24 e do lado do servidor da vpn seja a rede interna (lan) o bloco 192.168.0.0/24, você tem que, no lado do cliente, criar uma rota assim: dst-addr 192.168.0.0/24 gateway "interface da vpn". E do lado do servidor da vpn criar uma assim: dst-addr 192.168.1.0/24 gateway "interface da vpn deste cliente", existe até uns opção, no lado de servidor, que você configura a rota no cliente no "secret" dele, se estiver usando Mikrotik é claro.

Uma dica, se até aqui não conseguiu entender, infelizmente ninguém até pode te ajudar, você precisa estudar redes, modelo osi, roteamento e etc. Não gosto muito muito de entregar tudo tão fácil assim, mas... em todo caso você precisa ter um mínimo de conhecimento de roteamento para gerenciar VPN's.

E para aqueles que dirão "faz um EoIP que fica mais fácil" eu digo: fuja! O eoip vai "ligar" diretamente as duas redes possibilitando a passagem de broadcast e etc, não recomendo isso de modo nenhum! Pelo menos não no teu caso.

Certo! Essas rotas da forma que você citou como exemplo já foram criadas e estão funcionando normalmente. Como eu disse anteriormente, a VPN sobe está funcional, isso quando eu uso o meu primeiro link que já tenho há mais tempo. O meu problema começa com o segundo link que eu quero dedicá-lo apenas a internet do lado do servidor e manter o primeiro link apenas para VPN, mas quando eu faço um SNAT da rede interna do lado do servidor para sair para o segundo link (Novo), a internet sai por esse segundo link porém não consigo acessar o lado dos clientes da VPN.

Para sair pelo segundo link eu precisei fazer uma marcação na tabela mangle. Devo estar fazendo alguma coisa errada!

Obrigado por todas suas respostas e sua dica andrecarlim, vou estudar!

[andrecarlim]

Olha, sendo honesto, vejo pelo menos duas opções a serem analisadas, pode ter regras de firewall erradas afetando essa comunicação, ou as rotas estão configuradas errada, eu tenho cenários exatamente iguais que funcionam sem marcar nada na mangle nem nada. Com certeza você tem configuração errada em seu(s) roteador(es).

[andrecarlim]

Se precisar de uma consultoria me chame no [email protected]